정책 팩이 이제 Pulumi ESC 환경에 접근할 수 있습니다

I’m sorry, but I don’t have access to the full text of the article you referenced. If you provide the content you’d like translated (excluding any code blocks or URLs), I’ll be happy to translate it into Korean while preserving the original formatting.

문제

Pulumi 정책 팩을 사용하면 인프라 전반에 걸쳐 규칙을 적용할 수 있지만, 일부 정책은 평가하는 리소스 입력값만으로는 충분하지 않습니다. 예를 들어:

• 외부 컴플라이언스 API에 대해 리소스를 검증하는 정책은 API 토큰이 필요합니다.
• 비용‑제어 정책은 개발 환경과 프로덕션 환경에 대해 서로 다른 지출 한계값을 요구할 수 있습니다.
• 접근‑제어 정책은 내부 서비스 레지스트리를 참조해야 할 수도 있습니다.

지금까지 이러한 값들은 정책 그룹 구성에 하드코딩하거나 별도의 프로세스를 통해 관리해야 했으며, 그 결과:

• 보안 위험: 자격 증명이 평문으로 저장됨.
• 운영 부담: 자격 증명을 업데이트하려면 해당 값을 사용하는 모든 정책 그룹을 수정해야 함.
• 환경 구분 부재: 동일한 값이 모든 환경에 적용되어, 환경별로 구성을 달리할 방법이 없음.

What’s new

Policy packs can now reference Pulumi ESC environments, just like stacks already do. When you attach an ESC environment to a policy pack in a policy group, the values from that environment are available to your policies at runtime—whether you’re running preventative or audit policies.

This enables policy packs to use ESC for:

• Secrets: API tokens, service credentials, and other sensitive values managed through ESC’s secrets management, including dynamic credentials from providers like AWS, Azure, and GCP.
• Configuration: Environment‑specific thresholds, allowed regions, service allowlists, and other policy parameters that vary across environments.

작동 방식

정책 그룹 내의 정책 팩에 ESC 환경 참조를 구성합니다. 런타임 시 해당 환경의 값이 해결되어 정책 팩의 구성을 통해 정책에 제공됩니다.

ESC 환경 예시

values:
  compliance:
    apiToken:
      fn::secret: xxxxxxxxxxxxxxxx
    costThreshold: 5000

policyConfig:
  cost-compliance:
    maxMonthlyCost: ${compliance.costThreshold}
    apiEndpoint: https://compliance.example.com
    apiToken: ${compliance.apiToken}

policyConfig 속성은 스택의 pulumiConfig와 같은 방식으로 작동합니다. 각 정책 이름 아래에 중첩된 값들은 런타임에 해당 정책에 대한 구성으로 제공됩니다. 비밀은 암호화된 상태를 유지하며, 환경이 해결될 때만 복호화됩니다.

또한 environmentVariables 속성을 사용하여 값을 정책 런타임의 환경 변수로 주입할 수 있으며, 이는 스택 환경 변수와 동일한 패턴을 따릅니다.

예시: 컴플라이언스 API 검증

새로운 리소스가 프로비저닝되기 전에 외부 컴플라이언스 API에 대해 검증하는 정책을 고려해 보세요. 이 API는 인증 토큰을 필요로 하며, 리소스 구성이 조직의 컴플라이언스 기준을 충족하는지 여부를 반환합니다.

Before:

• API 토큰이 정책 그룹 구성에 평문으로 저장되어 있었습니다.
• 토큰을 교체하려면 모든 정책 그룹을 업데이트해야 했습니다.
• 자격 증명 접근에 대한 감사 로그가 없었습니다.
• 스테이징과 프로덕션에 서로 다른 API 엔드포인트를 사용할 방법이 없었습니다.

After:

• API 토큰이 ESC 환경에 저장됩니다.
• 중앙 집중식 회전: 토큰을 한 번만 업데이트하면, 이를 참조하는 모든 정책 그룹이 변경 사항을 자동으로 반영합니다.
• 접근 제어: ESC의 역할 기반 접근 제어가 누가 자격 증명을 조회하거나 수정할 수 있는지를 관리합니다.
• 감사 로그: 환경에 대한 모든 접근이 기록됩니다.
• 환경 분리: 스테이징과 프로덕션에 서로 다른 ESC 환경을 사용하여 별개의 컴플라이언스 엔드포인트를 지정할 수 있습니다.

시작하기

1. Create 정책 구성 및 비밀을 포함하는 ESC 환경을 생성합니다.
2. Pulumi Cloud 콘솔을 통해 정책 그룹의 정책 팩에 환경을 Attach합니다.
3. 환경이 제공하는 구성 값들을 읽도록 정책을 Update합니다.

더 알아보기

• policyConfig 참조
• Pulumi ESC 문서
• Policy packs 문서
• Pulumi ESC 시작하기