Pulumi ESC vs Vault — secret rotation 자동화 어디가 편한가요

Question

secret 관리 도구 선택 중입니다. 현재는 .env + GitHub Secrets인데 audit log·rotation 필요해 도구 도입 검토.

Pulumi ESC와 HashiCorp Vault 둘 다 평가했는데 결정 어렵습니다.

요구사항

AWS Secrets Manager 통합
secret rotation 자동화 (90일)
K8s + Lambda + Vercel 통합
audit log (SOC2)
운영 부담 최소화

각각 6개월~1년 운영해보신 분 비교 경험 공유 부탁드립니다.

김영삼 · Accepted Answer

둘 다 운영해봤습니다. 정직한 비교. 항목Pulumi ESCVault 학습 곡선2일2주 K8s 통합SDKExternal Secrets Operator 표준 Lambda 통합SDK ~150ms initLambda Extension ~40ms rotationfetch만, rotation은 backend 책임자체 rotation 엔진 self-hostSaaS onlyOSS 또는 Enterprise audit log30일 보관, JSON무제한, Syslog/Splunk 월 비용 (50 secret)$180self-host 인프라 비용 Pulumi ESC가 적합한 경우 K8s + Lambda + Vercel 등 다양한 deploy target secret rotation을 backend(AWS SM, 1Password)에 위임 OK SaaS OK + 운영 부담 최소화 3개월 안에 정착 필요 Vault가 적합한 경우 self-host 필수 (compliance, 데이터 거주성) dynamic

보안전문가태호 · Answer

보안 관점에서 추가하면 — Vault의 dynamic credential 기능이 critical인 워크로드(금융, 의료) 있으면 ESC로는 부족합니다. 정적 secret + rotation만 필요하면 ESC가 답.

sec_park · Answer

SOC2 audit 받으신다면 둘 다 OK. 다만 Vault는 audit log 무제한 보관이 SOC2 권장 사항 충족 쉬워요. ESC는 30일 후 별도 export 필요.

주말프로젝트 · Answer

이건 솔직히 vendor lock-in 우려 영역인 것 같아요. 마이그레이션 부담 미리 계산해보는 게 안전합니다.

한지민 · Answer

관련 자료가 부족해서 답답했는데 자세히 설명해주셔서 도움 많이 됐어요. 참고할게요.

댓글 0