피드로 돌아가기
Keyless by Default: Securing FarmOps Desk without a Single Static Secret
Dev.toDev.to
Security

OIDC 기반 Keyless 아키텍처 구축을 통한 Static Secret 제로화 달성

Keyless by Default: Securing FarmOps Desk without a Single Static Secret

Jamal Ibrahim Umar2026년 6월 27일5intermediate

Context

전통적인 Vercel-AWS 연동 방식의 Static Credential 사용으로 인한 Cloud Supply-chain 공격 노출 위험 존재. 특히 Secret Rotation 관리 부재와 코드 저장소 유출 시 발생하는 보안 취약점 해결 필요.

Technical Solution

  • Vercel OIDC 통합을 통한 15분 만료 기간의 임시 세션 기반 Keycard 인증 체계 구축
  • Database Role과 AI Role의 엄격한 분리를 통한 Blast Radius 최소화 및 Permission Boundary 적용
  • @aws-sdk/rds-signer 기반의 동적 토큰 생성 방식으로 DB 접속 패스워드 저장소 제거
  • Serverless 환경의 HTTP/2 세션 유지 한계 해결을 위한 EC2 기반 Sonic Bridge 전용 서비스 설계
  • GitHub Actions OIDC와 AWS SSM을 결합한 SSH Key-less 배포 파이프라인 구현
  • Serverless 동시성으로 인한 Aurora 커넥션 고갈 방지를 위한 AWS RDS Proxy 도입

1. 정적 액세스 키 대신 OIDC 기반의 Short-lived Token 인증 체계 도입 검토

2. 단일 IAM Role 지양 및 서비스 기능별로 최소 권한 원칙(Least Privilege) 기반 Role 분리

3. DB 접속 시 정적 패스워드 대신 IAM Database Authentication 적용 여부 확인

4. CI/CD 파이프라인 내 SSH Key 저장 금지 및 Cloud Native 배포 도구 활용

원문 읽기