Hashicorp Vault CLI Part 8: Secrets Management and Key-Value Engine

Context

조직에서 secrets을 중앙화된 방식으로 관리하고, 정책 기반 접근 제어를 통해 데이터 보안을 강화해야 할 필요가 있었다. kv-v1과 kv-v2 두 버전 간의 차이와 복구 불가능한 삭제 시나리오 등을 정확히 이해하고 운영해야 한다.

Technical Solution

• Secret Engine 활성화: vault secrets enable kv-v2 명령어로 기본 구성 또는 default-lease-ttl, max-lease-ttl, path 등 옵션 플래그를 지정하여 커스텀 구성 적용
• Secret 저장 및 조회: kv-v1(데이터 버전 관리 없음) 또는 kv-v2(메타데이터 및 버전 추적 지원)를 선택하여 vault kv put/get 명령어로 데이터 관리
• 메타데이터 제어: vault kv metadata 서브커맨드를 사용하여 자동 삭제 기간(TTL) 설정, 메타데이터 조회 및 삭제 수행
• Secret 삭제 정책 구분: soft delete(복구 가능, vault kv delete)와 영구 삭제(복구 불가능, vault kv metadata delete) 두 가지 방식 지원
• Secret Engine 재구성 및 해제: vault secrets tune 으로 기존 엔진 설정 수정, vault secrets disable 으로 엔진 제거

Key Takeaway

Vault CLI의 secrets 및 kv 커맨드를 통해 조직 내 secrets 관리의 전체 생명주기를 정책 기반 접근 제어 하에서 자동화할 수 있으며, kv-v2의 버전 관리 및 메타데이터 기능을 활용하면 실수로 인한 삭제 상황을 복구 가능한 상태로 유지할 수 있다.