DevOps 지식 허브
DevOps 지식 허브

Ansible Vault를 효과적으로 사용하여 구성 비밀 정보를 보호하는 가이드

이 종합적인 Ansible Vault 가이드를 통해 자동화 워크플로를 보호하십시오. 암호 및 API 키와 같은 민감한 구성 데이터를 암호화하는 데 필요한 필수 명령어인 생성, 편집, 보기, 키 재설정 방법을 알아보십시오. 이 문서는 Vault 처리된 파일을 Ansible 플레이북에 통합하는 방법에 대한 실용적인 예제를 제공하며, 인프라 코드에 대한 강력한 보안을 보장하기 위해 마스터 암호를 관리하고 환경별로 비밀 정보를 분리하는 중요한 모범 사례를 간략하게 설명합니다.

34 조회수

Ansible Vault를 사용한 구성 비밀 정보 보호 가이드

Ansible은 강력한 자동화 엔진이지만, 데이터베이스 암호, API 키, 비공개 SSH 키와 같은 민감한 데이터를 관리하려면 강력한 보안 조치가 필요합니다. 이러한 자격 증명을 코드 리포지토리에 일반 텍스트로 저장하는 것은 규정 준수 표준 및 모범 사례를 위반하는 심각한 보안 위험입니다.

Ansible Vault는 구조화된 변수 파일이나 특정 변수를 암호화할 수 있도록 하여 이 문제를 해결하며, 비밀 정보는 Ansible이 필요로 할 때 런타임에만 복호화되도록 보장합니다. 이 가이드는 Ansible Vault를 워크플로에 통합하는 실용적인 단계별 튜토리얼을 제공하며, 암호화된 파일을 관리하고 플레이북에서 해당 비밀 정보를 원활하게 활용하기 위한 필수 명령어를 다룹니다.

Ansible Vault 핵심 개념 이해하기

Ansible Vault는 데이터를 보호하기 위해 강력한 대칭 암호화(AES256)를 사용합니다. 핵심 메커니즘은 마스터 키 역할을 하는 Vault 암호를 요구합니다. 이 암호는 Ansible이 암호화된 콘텐츠에 액세스하거나 수정해야 할 때마다 제공되어야 합니다.

Ansible Vault를 사용하는 이유?

  • 보안: 민감한 데이터를 저장 시 암호화 상태로 유지하여 리포지토리 침해로부터 보호합니다.
  • 규정 준수: 자격 증명 암호화를 요구하는 산업 표준(예: PCI DSS, SOC 2) 준수를 돕습니다.
  • 워크플로: 비밀 정보를 포함하는 구성 파일을 버전 관리 시스템(예: Git)에 안전하게 커밋할 수 있도록 합니다.

필수 Ansible Vault 명령어

ansible-vault 명령어는 플레이북 실행 외부에 있는 암호화된 파일을 관리하는 데 사용되는 독립 실행형 유틸리티입니다.

1. 새 Vault 파일 생성하기

비밀 정보를 위해 특별히 사용될 새 파일을 생성하려면 create 명령을 사용합니다. 이 명령은 즉시 새 볼트 암호를 묻고 기본 텍스트 편집기($EDITOR)에서 파일을 엽니다.

ansible-vault create secrets/db_passwords.yml

예시 콘텐츠 (db_passwords.yml 저장 후):

# 이 파일은 암호화되어 있습니다
db_user: app_admin
db_pass: HighlySecurePassword123!
api_key: abc-123-def-456

편집기를 저장하고 닫으면 콘텐츠가 암호화되며, 파일은 버전 관리에 커밋될 준비가 됩니다.

2. 암호화된 내용 보기

편집하지 않고도 볼트 파일의 내용을 빠르게 검사해야 하는 경우 view 명령을 사용합니다. 볼트 암호를 입력하라는 메시지가 표시됩니다.

ansible-vault view secrets/db_passwords.yml

3. 기존 Vault 파일 편집하기

edit 명령은 비밀 정보를 수정하는 주요 방법입니다. Ansible은 파일을 복호화하고 편집기에서 열며, 저장 시 자동으로 파일을 다시 암호화합니다.

ansible-vault edit secrets/db_passwords.yml

팁: 원활한 편집 경험을 위해 $EDITOR 환경 변수가 올바르게 설정되어 있는지 확인하십시오(예: export EDITOR=vim).

4. 기존 파일 암호화 및 복호화하기

보안이 필요한 기존 일반 텍스트 파일이 있는 경우 encrypt 명령을 사용합니다. 반대로, decrypt는 암호화된 파일을 다시 일반 텍스트로 되돌리는 데 사용됩니다(주의해서 사용해야 하며, 일반적으로 마이그레이션 시에만 사용).

# 기존 파일 암호화
ansible-vault encrypt plain_vars.yml

# 암호화된 파일 복호화 (위험! 필요한 경우에만 사용)
ansible-vault decrypt secured_vars.yml

5. 볼트 암호 변경하기 (Rekey)

암호화된 파일의 마스터 암호를 업데이트하려면 rekey 명령을 사용합니다. 이 명령은 현재 암호를 제공한 다음 새 암호를 설정하도록 요구합니다.

ansible-vault rekey secrets/db_passwords.yml

이는 보안 순환 또는 새 자격 증명 관리 시스템으로 전환할 때 필수적입니다.

Ansible 플레이북에 Vaulted 비밀 정보 통합하기

파일이 암호화되면, 플레이북 실행 중에 파일을 로드하고 필요한 볼트 암호를 공급할 방법이 필요합니다.

암호화된 변수 로드하기

암호화된 변수 파일은 다른 변수 파일과 마찬가지로 로드되며, 일반적으로 플레이북에서 vars_files 지시문을 사용합니다.

플레이북 예시 (site.yml):

---
- name: 데이터베이스 비밀 정보가 필요한 애플리케이션 배포
  hosts: webservers
  vars_files:
    - secrets/db_passwords.yml  # Ansible은 이것이 볼트 처리되었음을 자동으로 감지합니다

  tasks:
    - name: 데이터베이스 사용자 설정 확인
      ansible.builtin.template:
        src: config.j2
        dest: /etc/app/config.conf
        mode: '0600'
      # {{ db_user }} 및 {{ db_pass }}와 같은 변수를 이제 사용할 수 있습니다

실행 중 볼트 암호 공급하기

Ansible은 히스토리나 스크립트에 노출되지 않도록 볼트 암호를 제공하는 몇 가지 안전한 방법을 제공합니다.

방법 1: 대화형 프롬프트

가장 간단한 방법은 --ask-vault-pass 플래그를 사용하는 것입니다. 이 플래그는 런타임에 사용자에게 안전하게 암호를 묻습니다.

ansible-playbook site.yml --ask-vault-pass

방법 2: 암호 파일 사용하기

자동화, CI/CD 파이프라인 또는 대화형 프롬프트가 바람직하지 않은 환경의 경우, 일반 텍스트 암호 파일(종종 기본 리포지토리 외부에 저장되고 제한된 파일 권한을 통해 보호됨)을 사용할 수 있습니다.

# 참고: 암호 파일에는 볼트 암호 텍스트만 포함되어야 합니다.
ansible-playbook site.yml --vault-password-file ~/.ansible/vault_key.txt

방법 3: 단일 변수 암호화(encrypt_string)

전체 YAML 파일 대신 단일의 작은 변수(예: inventory 파일 내의 변수)만 암호화해야 하는 경우 ansible-vault encrypt_string을 사용합니다.

# 'echo' 또는 'printf'를 사용하여 비밀 정보를 직접 전달
ansible-vault encrypt_string 'MySuperSecretAPIKey' --name 'prod_api_key'

이 명령어는 인벤토리 또는 변수 파일에 직접 붙여넣을 수 있는 암호화된 문자열을 출력합니다:

prod_api_key: !vault |
  $ANSIBLE_VAULT;1.1;AES256
  37666236613364656165386638323438646132646337326462613134373463353434613861313361
  ... (나머지 암호화된 데이터)

엔터프라이즈 Vault 관리 모범 사례

효과적인 비밀 정보 관리는 단순히 파일을 암호화하는 것 이상을 포함합니다. 이러한 모범 사례를 채택하면 보안과 유지 관리가 보장됩니다.

1. 전용 볼트 암호 파일

자동화된 환경에서는 항상 --vault-password-file 방법을 사용하십시오. 암호가 포함된 파일은 매우 제한적인 권한(chmod 400)을 가져야 하며 Git에 절대로 커밋해서는 안 됩니다.

2. 환경 분리

서로 다른 환경(개발, 스테이징, 프로덕션)에 대해 별도의 볼트 파일을 사용하십시오. 이를 통해 낮은 위험 환경이 높은 위험 프로덕션 자격 증명에 액세스하는 것을 방지할 수 있습니다.

  • vars/prod_vault.yml
  • vars/stage_vault.yml

인벤토리 그룹 또는 플레이북의 조건부 로직을 사용하여 이러한 파일을 조건부로 로드합니다.

3. 조회 플러그인과의 통합

고급 보안을 위해 Ansible의 lookup 플러그인을 사용하여 Ansible Vault를 외부 비밀 정보 관리 시스템(예: HashiCorp Vault, AWS Secrets Manager)과 통합하십시오. 이렇게 하면 키 관리를 특수화된 도구에 완전히 위임하고 Ansible Vault는 기본 비밀 정보 또는 부트스트래핑에만 사용할 수 있습니다.

4. 그룹 변수 대 플레이북 변수

group_vars/all.yml.vault 또는 group_vars/<group_name>.yml.vault를 사용하여 볼트 처리된 변수를 저장하는 것이 더 깔끔한 경우가 많습니다. Ansible은 해당 그룹 또는 호스트에 대한 변수를 로드할 때 .vault로 끝나는 파일을 자동으로 복호화하려고 시도하여 플레이북 구조를 단순화합니다.

# 구조 예시
inventory/
├── hosts
└── group_vars/
    └── webservers.yml.vault

결론

Ansible Vault는 안전한 Ansible 배포에 필수적인 구성 요소입니다. 민감한 데이터를 저장 시 암호화하고 암호 파일 또는 대화형 프롬프트를 활용함으로써, 자동화가 강력함을 유지하는 동시에 중요한 보안 표준을 준수하도록 보장합니다. 핵심 명령인 create, edit, rekey를 마스터하고 vars_files를 통해 볼트 처리된 파일을 원활하게 통합하면 개발팀이 중요한 자격 증명을 노출하지 않고도 인프라 구성을 안전하게 공동 작업할 수 있습니다.