Terraform State 내 Secret 완전 제거를 위한 Ephemeral 변수 전환 전략

Context

Terraform State 파일 내에 민감한 Secret 데이터가 평문으로 저장되는 보안 취약점 발생. 기존 Module V1 사용자의 경우 신규 배포뿐만 아니라 기존 배포 환경에서도 State 내 Secret을 완전히 제거해야 하는 제약 사항 존재.

Technical Solution

• ephemeral 변수 도입을 통한 State 저장 제외 및 런타임 기반 Secret 처리 구조 설계
• removed 블록과 lifecycle { destroy = false } 설정을 통한 State 내 레거시 리소스의 안전한 제거
• var.private_key_data를 통한 기존 Secret의 수동 추출 및 주입으로 데이터 연속성 확보
• data_json_wo와 같은 Write-only 속성을 활용하여 State에 쓰지 않고 Vault로 직접 전송하는 로직 구현
• 신규 배포와 기존 배포를 분기 처리하는 조건부 로직을 통해 하위 호환성과 보안성 동시 달성

Key Takeaway

인프라 코드 관리 시 State 파일의 불변성을 유지하면서 민감 정보를 제거하기 위해, State 외부에서 값을 주입하는 Ephemeral 레이어 설계가 필수적임.