GCP Secret Manager — 평문 시크릿을 관리되는 비밀로 — 실습 Lab

INCIDENT RESPONSE

0 / 5 단계 완료

📚 PREREQUISITES

Labgcp-iam-least-privilege

Theorycloud/secrets-key-management

Theorycloud/cloud-account-iam

TRACK

CLOUD-GCP

SLA

40분

SEV

SEV-2

PHASES

3단계

ENV

local

INCOMING TICKET

“보안 점검 지적: "DB 비밀번호가 배포 환경변수에 평문으로 박혀 있고, 깃 히스토리에도 남아 있습니다. 시크릿 매니저로 옮기세요."”

YOUR ROLE

클라우드 엔지니어인 당신이

IMPACT IF UNRESOLVED

평문 시크릿 노출 = 유출 시 DB·외부 API 장악. 환경변수·깃 히스토리·이미지 레이어에 비밀이 새는 흔한 사고.

🚨INCIDENT BRIEF

보안 점검에서 빨간 줄이 그어졌습니다. "DB 비밀번호가 배포 환경변수에 평문이고, 깃 히스토리에도 커밋돼 있어요."

평문 시크릿은 여러 곳으로 샙니다: 환경변수, 깃 히스토리, 컨테이너 이미지 레이어, CI 로그.

한 곳만 유출돼도 DB가 털립니다. 해결은 비밀을 관리되는 저장소(Secret Manager)로 옮기고,

누가 읽을 수 있는지(IAM)를 분리하고, 버전으로 교체(로테이션)할 수 있게 만드는 것입니다.

시크릿을 옮기고, 최소 권한으로 접근시키고, 무중단 로테이션까지 구성합니다.

⏱ 40분📊 중급🔧 3단계#gcp#secret-manager#secret#rotation

MISSION

시크릿 생성·버전 등록 (평문 제거)

비밀번호를 Secret Manager에 저장하고, 환경변수/코드의 평문을 참조로 대체할 준비를 한다

최소 권한 접근 — secretAccessor만

앱 서비스 계정에 이 시크릿을 읽을 권한만(secretAccessor) 부여하고, 실제로 읽히는지 검증한다

로테이션 — 새 버전으로 무중단 교체

노출된 비밀을 새 버전으로 교체하고, 앱이 새 값을 쓰며 옛 버전을 폐기하는 흐름을 구성한다

📌 선수 지식

• [실습] gcp-iam-least-privilege

• [이론] cloud/secrets-key-management

• [이론] cloud/cloud-account-iam

ℹ️ 실습 환경

환경: local

필요 도구: gcloud

🔒

실습 실행은 Pro 플랜 전용입니다

인시던트 브리프와 학습 자료는 지금 바로 확인할 수 있습니다. 실제 실습 진행 및 터미널 사용은 Pro 플랜에서 가능합니다.

>_ LAB TERMINAL↔ 너비 조절

NOTES