CodeDeploy

지난 포스팅에선 OIDC를 활용해서 AWS Access Key 없이 안전하게 GitHub Actions와 AWS를 연결하는 보안의 기초를 다졌고 .env 정보들을 Parameter Store로 모두 격리하여 보안을 한 단계 더 강화했다. 또한 ALB(Application Load Balancer)를 도입하여 서버를 인터넷에 직접 노출하지 않는 단일 진입점을 구축했다. 이를 통해 EC2의 퍼블릭 IP가 바뀌어도 안정적인 접속 주소를 유지함은 물론, 보안 그룹 설정을 통해 외부의 불필요한 접근을 차단하는 견고한 인프라 방어선을 완성했다 보안 통로와 안정적인 입구를 확보했다면 이제 그 통로를 통해 들어온 배포 명령을 실제로 수행할 배포 엔진을 조립해볼 차례이다. 오늘 다뤄볼 주제는 바로 AWS CodeDep..

OIDC가 뭘까? OIDC(OpenID Connect)란 OAuth 2.0 기반의 인증 프로토콜이다. 기본적인 Access Key 같은 고정된 비밀키를 저장하지 않고 Github가 발행한 일쇠성 토큰으로 AWS에 안전하게 접속할 수 있는 인증 방식이다. 이 Github 저장소에서 온 요청은 믿어도 된다고 AWS와 Github가 미리 신뢰 관계를 맺어두는 시스템이다. 배포할 때만 잠깐 유효한 권한을 빌려 쓰기 때문에 키 유출 걱정도 없고 관리가 매우 편리한 좋은 방식이다. GitHub Actions → OIDC 토큰 발급 ↓AWS STS (Security Token Service) → 임시 자격 증명 발급 ↓AWS 리소스 접근 (E..