기능 6: 클라우드 시크릿 매니저 통합
개요
Semaphore는 현재 모든 자격 증명을 자체 데이터베이스에 저장합니다. 클라우드 플랫폼을 사용하는 조직은 런타임에 클라우드 공급자의 시크릿 관리 서비스에서 시크릿을 직접 가져오는 방법이 필요합니다. 이를 통해 자격 증명 중복을 방지하고 기존 교체 정책을 활용할 수 있습니다. 이 기능은 AWS Secrets Manager 및 Azure Key Vault와의 네이티브 통합을 Enterprise 전용 기능으로 추가합니다.
동기
- 엔터프라이즈 팀은 이미 확립된 교체 정책, 접근 제어 및 감사 추적을 갖춘 AWS Secrets Manager 또는 Azure Key Vault에서 시크릿을 관리하고 있습니다. 이러한 자격 증명을 Semaphore의 데이터베이스에 복제하면 동기화가 어긋날 수 있는 두 번째 정보 소스가 생성됩니다.
- 클라우드 공급자에서의 자격 증명 교체는 Semaphore에 자동으로 전파되지 않습니다 — 교체할 때마다 영향을 받는 모든 키 스토어 항목을 수동으로 업데이트해야 합니다.
- 규제 산업의 컴플라이언스 및 보안 정책은 시크릿이 클라우드 공급자의 경계를 벗어나거나 타사 데이터베이스에 저장되지 않도록 요구하는 경우가 많습니다.
- Semaphore의 내장 키 스토어에는 클라우드 시크릿 매니저가 기본적으로 제공하는 접근 제어, 감사 세분성 및 교체 자동화 기능이 없습니다.
상세 사양
Enterprise
6.1 AWS Secrets Manager 통합
목표: AWS Secrets Manager에서 런타임에 시크릿을 가져와 팀이 Semaphore의 데이터베이스에 자격 증명을 복제하지 않고도 기존 AWS 시크릿 인프라를 활용할 수 있도록 합니다.
요구 사항:
- 새로운 외부 시크릿 백엔드 타입:
aws_secrets_manager. - 인증 방법:
- IAM 역할 (EC2/ECS/EKS 배포에 권장) — Semaphore에 자격 증명을 저장하지 않습니다.
- 액세스 키 + 시크릿 키 — Semaphore의 키 스토어에 저장 (암호화).
- 외부 ID를 사용한 역할 위임 — 교차 계정 접근용.
- 시크릿은 ARN 또는 이름 + 선택적 버전/스테이지로 참조됩니다.
field선택자를 사용한 JSON 구조 시크릿 지원으로 개별 값을 추출할 수 있습니다 (예:{"username": "admin", "password": "..."}→password추출).- 자동 시크릿 교체 지원 — AWS가 시크릿을 교체하면 Semaphore는 다음 태스크 실행 시 새 값을 가져옵니다.
- 구성 모델:
{
"name": "Production AWS",
"type": "aws_secrets_manager",
"region": "us-east-1",
"auth_method": "iam_role",
"role_arn": "arn:aws:iam::123456789:role/semaphore-secrets",
"external_id": "optional-external-id"
}
- 키 스토어 항목 참조:
{
"type": "external",
"backend": "aws_secrets_manager",
"secret_name": "production/db_password",
"field": "password",
"aws_config_id": 1
}
관련 이슈: #2248
6.2 Azure Key Vault 통합
목표: Azure Key Vault에서 런타임에 시크릿을 가져와 Azure를 사용하는 조직이 Semaphore에 저장하지 않고도 자격 증명을 중앙에서 관리하고 교체할 수 있도록 합니다.
요구 사항:
- 새로운 외부 시크릿 백엔드 타입:
azure_key_vault. - 인증 방법:
- 관리 ID (Azure VM/AKS 배포에 권장) — Semaphore에 자격 증명을 저장하지 않습니다.
- 클라이언트 시크릿을 사용한 서비스 프린시펄.
- 인증서를 사용한 서비스 프린시펄.
- 시크릿은 vault URL + 시크릿 이름 + 선택적 버전으로 참조됩니다.
- vault에서 시크릿, 키 및 인증서 검색을 지원합니다.
- 자동 시크릿 교체 지원 — Azure가 시크릿을 교체하면 Semaphore는 다음 태스크 실행 시 새 값을 가져옵니다.
- 구성 모델:
{
"name": "Production Azure",
"type": "azure_key_vault",
"vault_url": "https://my-vault.vault.azure.net",
"auth_method": "managed_identity",
"tenant_id": "...",
"client_id": "..."
}
- 키 스토어 항목 참조:
{
"type": "external",
"backend": "azure_key_vault",
"secret_name": "db-password",
"version": "latest",
"azure_config_id": 1
}
6.3 통합 외부 시크릿 참조
목표: 지원되는 모든 클라우드 공급자의 시크릿을 가리키는 공통 키 스토어 항목 타입을 제공합니다.
요구 사항:
- 새로운 키 스토어 타입: “External Reference” — 시크릿 자체가 아닌 시크릿에 대한 포인터(예: AWS ARN, Azure vault URL + 시크릿 이름)를 저장합니다.
- 태스크 실행 시 Semaphore는 클라우드 공급자의 API를 호출하여 참조를 해석하고 현재 값을 가져옵니다.
- 해석된 값은 Semaphore의 데이터베이스에 저장되지 않습니다 — 태스크 실행 중 메모리에만 존재합니다.
- 클라우드 시크릿 매니저에 대한 연결은 프로젝트 또는 시스템 수준에서 구성됩니다 (URL, 인증 방법, 네임스페이스/접두사).
- UI는 외부 참조를 구별 가능한 배지/아이콘과 백엔드 타입 (AWS/Azure)으로 표시합니다.
- 저장 시 유효성 검사: Semaphore는 참조를 해석하려고 시도하며, 시크릿에 접근할 수 없는 경우 경고를 표시합니다 (저장을 차단하지 않음).
6.4 시크릿 캐싱
목표: 해석된 시크릿을 메모리에 캐싱하여 클라우드 공급자에 대한 API 호출을 줄입니다.
요구 사항:
- 선택적 단기 메모리 캐시 (구성 가능한 TTL, 기본 5분)로 클라우드 공급자에 대한 API 호출을 줄입니다.
- 캐시는 메모리 내에만 존재하며 Semaphore 재시작 시 무효화됩니다.
- 캐시는 백엔드 구성 ID + 시크릿 참조를 키로 사용하므로, 여러 템플릿에서 사용되는 동일한 시크릿은 TTL 윈도우당 한 번만 가져옵니다.
- 캐시는 백엔드 구성별로 비활성화할 수 있습니다 (TTL을 0으로 설정). 항상 최신 값을 가져와야 하는 시크릿에 사용합니다 (예: 활성 교체 중).
- 구성: 백엔드 구성의
cache_ttl필드 (예:"cache_ttl": "5m").
데이터베이스 스키마 변경
새로운 테이블:
secret_backend— 클라우드 공급자 구성을 저장 (project_id, type, name, config JSON, created_at, updated_at)
변경되는 테이블:
access_key— 컬럼 추가:external_backend_id(integer, nullable, FK tosecret_backend) — 클라우드 공급자 구성에 대한 링크external_reference(JSON, nullable) — 시크릿 포인터를 저장 (ARN, vault URL, 시크릿 이름, field, 버전)
API Endpoints
GET/POST /api/project/{id}/secret-backends— 백엔드 구성 목록/생성PUT/DELETE /api/project/{id}/secret-backends/{backend_id}— 백엔드 업데이트/삭제POST /api/project/{id}/secret-backends/{backend_id}/test— 연결 및 인증 테스트POST /api/project/{id}/secret-backends/{backend_id}/resolve— 시크릿 참조 해석 (유효성 검사용)
구성
새로운 구성 옵션:
| Key | Env Var | Default | 설명 |
|---|---|---|---|
secret_cache_ttl |
SEMAPHORE_SECRET_CACHE_TTL |
5m |
해석된 외부 시크릿의 기본 메모리 내 캐시 TTL |
secret_resolve_timeout |
SEMAPHORE_SECRET_RESOLVE_TIMEOUT |
10s |
시크릿 해석 시 클라우드 공급자 API 응답의 최대 대기 시간 |
