OIDC 기반 4계층 보안 패턴을 통한 200개 파이프라인 권한 제어

Context

기존 CI/CD 파이프라인의 long-lived credentials 사용으로 인한 보안 취약점과 관리되지 않는 과도한 권한 부여 문제 분석. 특히 외부 액션 및 라이브러리 침해를 통한 AWS 계정 전체 권한 탈취 리스크가 임계점에 도달한 상황.

Technical Solution

• OIDC(OpenID Connect) 도입을 통한 Keyless 인증 체계 구축으로 자격 증명 노출 경로 제거
• Repo 중심이 아닌 IAM Role 중심의 신뢰 경계 설계를 통해 환경별/파이프라인별 격리 구현
• Trust Policy에 Branch 및 Repository 조건을 명시하여 비인가된 파이프라인의 Role Assume 차단
• SCP, Permission Boundary, Identity Policy의 3단계 계층형 가드레일 적용으로 권한 상승 방지
• Dev 환경의 CloudTrail 기록 기반 IAM Access Analyzer 분석을 통한 Least-Privilege 정책의 Prod 배포 프로세스 정립
• IAM 변경 사항을 코드화하여 PR 리뷰 및 검증 단계를 거치는 GitOps 방식의 권한 관리 적용