피드로 돌아가기
Dev.toDevOps
원문 읽기
AWS ECR 기반 CI/CD 구축을 통한 이미지 배포 최적화 및 보안 강화
DEVOPS_ECR
AI 요약
Context
외부 Registry 사용 시 발생하는 데이터 Egress 비용과 보안 취약점 해결을 위한 내부 저장소 도입 필요성 대두. IAM 권한 관리의 복잡성과 EC2 서버 내 고정 자격 증명 노출로 인한 보안 리스크를 해결해야 하는 상황.
Technical Solution
- AWS ECR 도입을 통한 AWS 내부 네트워크 기반의 고속 이미지 Pull 및 Egress 비용 제거 구조 설계
- GitHub Actions 전용 IAM User와 EC2 전용 IAM Role을 분리하여 최소 권한 원칙(Principle of Least Privilege) 적용
- Tag Immutability 설정을 통한 이미지 덮어쓰기 방지로 배포 버전의 일관성 및 추적 가능성 확보
- Scan on Push 기능을 활용한 CVE 취약점 자동 분석으로 컨테이너 보안 수준 상향
- 12시간 주기 갱신되는 ECR 임시 토큰 기반의 인증 체계를 통해 자격 증명 탈취 리스크 최소화
- 커스텀 이미지는 ECR에 저장하고 공식 이미지는 Docker Hub에서 직접 가져오는 하이브리드 이미지 소싱 전략 채택
실천 포인트
1. ECR 생성 시 Tag Immutability 및 Scan on Push 옵션 활성화 여부 확인
2. EC2 인스턴스에 Access Key를 직접 저장하는 대신 IAM Role을 통한 임시 자격 증명 할당 적용
3. GitHub Secrets를 활용하여 AWS_ACCESS_KEY_ID 및 SSH Private Key의 노출 방지
4. Docker Compose 파일 내 이미지 경로를 ECR URI로 업데이트하여 내부 통신 경로 최적화