피드로 돌아가기
Terraform CI/CD with Google Cloud: Plan on Pull Request and Apply with Approval
Dev.toDev.to
Infrastructure

WIF 기반 Keyless 인증과 Approval Flow를 통한 인프라 변경 제어 체계 구축

Terraform CI/CD with Google Cloud: Plan on Pull Request and Apply with Approval

Abraham Naiborhu2026년 5월 24일9intermediate

Context

로컬 터미널 중심의 개별 배포 방식으로 인한 협업 불가 및 변경 이력 추적의 한계 발생. 정적 Service Account JSON 키 사용에 따른 보안 취약점과 리뷰 없는 즉시 반영 구조의 위험성 상존.

Technical Solution

  • Workload Identity Federation 도입을 통한 OIDC 기반 Keyless 인증 체계 구현으로 정적 자격 증명 노출 위험 제거
  • Pull Request 이벤트 기반의 자동 Terraform Plan 실행 및 PR 코멘트 자동화를 통한 사전 리뷰 프로세스 강제
  • GitHub Environment Approval 단계를 적용한 Manual Apply 워크플로우 설계를 통한 실행 권한 분리
  • Terraform Plan 아티팩트 업로드 및 해당 파일을 통한 Apply 실행으로 Plan과 Apply 간의 일관성 보장
  • OIDC Token과 Google Workload Identity Provider 간의 attribute condition 설정을 통한 특정 Repository 접근 제한

- CI/CD 파이프라인 내 정적 JSON 키 제거 및 OIDC 기반 Workload Identity Federation 적용 검토 - Infrastructure as Code 적용 시 'Plan(리뷰) -> Approval(승인) -> Apply(실행)'의 단계적 파이프라인 설계 - Terraform Plan 결과를 아티팩트로 저장하여 Apply 시점에 동일한 실행 계획이 적용되는지 검증

원문 읽기