API 키, 비밀번호 등 시크릿(Secret) 안전하게 관리

Vault는 데이터 암호화(Data Encryption) 기능을 통해 시크릿(Secret)을 안전하게 저장한다. 영구 저장소(Persistent Storage)에 데이터를 쓰기 전에 암호화하여, 저장소에 대한 접근 권한만으로는 시크릿(Secret)에 접근할 수 없도록 한다. 또한, Vault는 키/값(Key/Value) 쌍을 저장할 수 있으며, 디스크, 콘술(Consul) 등 다양한 백엔드(Backend)를 지원한다.

Vault는 동적 시크릿(Dynamic Secrets)을 생성하여, AWS, SQL 데이터베이스 등 특정 시스템에 대한 접근 권한을 부여한다. 예를 들어, 애플리케이션이 S3 버킷에 접근해야 할 경우, Vault는 해당 애플리케이션에 유효한 권한을 가진 AWS 키 페어를 생성한다. 생성된 동적 시크릿(Dynamic Secrets)은 임대(Lease)를 통해 관리되며, 임대 기간이 만료되면 자동으로 폐기된다.

Vault는 각 시크릿(Secret)에 임대(Lease)를 연결하여, 시크릿(Secret)의 수명을 관리한다. 임대 기간이 만료되면 Vault는 해당 시크릿(Secret)을 자동으로 폐기한다. 클라이언트는 내장된 갱신 API를 통해 임대를 갱신할 수 있다. 이러한 임대 및 갱신(Leasing and Renewal) 메커니즘은 시크릿(Secret)의 안전한 관리를 돕는다.

Vault는 시크릿(Secret) 폐기(Revocation) 기능을 통해, 특정 사용자 또는 특정 유형의 시크릿(Secret)을 폐기할 수 있다. 이는 키 롤링(Key Rolling) 및 침해 발생 시 시스템 잠금에 유용하다. Vault는 세분화된 접근 제어(Access Control)를 제공하여, 시크릿(Secret)에 대한 접근 권한을 제한하고, 상세한 감사 로그(Audit Log)를 기록한다.