Secret Store 연동

Overview

Integrations 메뉴에서는 Secret Store의 정보를 입력하고 관리합니다.

Secret Store 를 통해 안전하게 DB 및 서버 인증 정보를 관리할 수 있고, 사용자에게 직접적인 인증 정보 노출 없이 DB 및 서버에 안전하게 접속이 가능합니다. 커넥션 접속 정보 저장 시 인증정보를 QueryPie 내부에 저장하는 것이 아닌 Secret Store 에서 가져와 인증할 수 있도록 설정할 수 있습니다.

실제 Secret Store의 사용 여부는 Security메뉴에서 설정할 수 있습니다. 다음은 QueryPie에서 지원 중인 Secret Store 서비스 목록입니다.

HashiCorp Vault
Microsoft Active Directory
AWS Secrets Manager (QueryPie ACP 버전 11.6.0 버전 부터 사용가능)

HashiCorp Vault 연동 정보 입력하기

Vault 연동시 사전 준비 사항:

QueryPie 연동할 Vault 서버:
- Vault 와 연동하기 위해서는 해당 Vault 서버가 동작하고 있어야 합니다. Vault 서비스가 실행되고, API 요청을 처리할 수 있고, Vault에서 인증 처리를 수행할 수 있어야 합니다.
Vault에 저장된 리소스의 인증 정보:
- Vault와 연동하기 위해서는 Vault 에 접속할 서비스(ex. DB, Server 등)의 인증 정보를 미리 저장해두어야 합니다. 연동하려는 서비스에 대한 접근 권한과 인증 정보(ex. Username, Password, API 키 등)을 Vault에 저장한 상태를 의미합니다.
인증 정보 호출을 위한 올바른 경로(Path):
- Vault에 저장된 자격 증명을 식별하는 데 사용되는 경로(패스)는 정확해야 합니다. 이것은 Vault에서 어떤 자격 증명을 가져와야 하는지를 지정하는 경로를 말합니다. 이 경로는 Vault에 저장된 자원 및 자격 증명과 연결됩니다.

보다 자세한 Vault 구성은 Hashicorp Vault Documentation 공식 문서 를 참고해주세요.

Administrator > General > System > Integrations > HashiCorp Vault > Connect

HashiCorp Vault 페이지에서 Connect 버튼을 클릭합니다.
Name : Secret Store의 명칭을 입력합니다.
Service: 이 Secret Store의 연결을 사용할 서비스(DB 또는 Server)를 선택합니다.
1. Service 항목은 저장 후 변경이 불가능합니다.
선택된 Secret Store 타입에 따라 연동을 위한 인증 정보를 입력합니다.
1. Server Address : Secret Store 서버의 주소를 입력합니다.
2. Auth Method : QueryPie 와 Vault 의 인증 방식을 선택합니다.
  1. Token : Vault에서 발급받은 Token을 이용한 인증 방식입니다.
  2. AppRole : Role ID와 Secret ID 조합을 이용한 인증 방식입니다.
    1. Role ID : AppRole 인증 시 필수로 사용되는 고유 식별자입니다.
    2. Secret ID : 로그인 시 필요한 비밀 Credentials입니다.
3. Secret Engine : Hashicorp Vault 의 Secret Engine 타입을 선택합니다.
  1. 현재 버전 기준 Database, K/V, SSH OTP, SSH CA 엔진 4가지를 지원합니다.
  2. Secret Engine 은 저장 후 변경이 불가능합니다.
  3. 변경하고자 하는 경우 모든 커넥션의 Secret Store 설정을 해제한 뒤 재설정이 필요합니다.
Namespace : Vault의 Namespace를 입력합니다.
1. Namespace 항목은 저장 후 변경이 불가능합니다.
필요한 모든 정보를 입력했다면, Verify integration 버튼을 클릭합니다.
1. 모든 정보가 올바르게 입력되었다면 ✔️ Success 메시지가 표시됩니다.
OK 버튼을 클릭하여 저장합니다.

실제로 QueryPie에서 Secret Store에 인증 정보를 저장하려면, Vault 연동을 마친 후에 Security 페이지에서 Secret Store 사용을 활성화해야 합니다. 자세한 내용은 Security l Secre Store 설정 문서를 참고하세요.

HashiCorp Vault 연동 정보 조회하기

Administrator > General > System > Integrations > HashiCorp Vault

Administrator > General > System > Integrations > 메뉴로 진입합니다.
Secret Store 하단의 HashiCorp Vault 타일을 클릭합니다.
현재 연동 중인 Vault 목록을 조회할 수 있습니다.

HashiCorp Vault 연동 정보 삭제하기

Administrator > General > Security 페이지 내 Secret Store 활성화를 해제하기 위해서는 먼저 연동되어 있는 Vault 정보를 모두 삭제해야 합니다. 다음은 연동 정보를 삭제하는 방법입니다.

Administrator > General > System > Integrations > HashiCorp Vault > Delete

테이블에서 체크박스를 선택하면 헤더 영역에 Delete 버튼이 나타납니다. 버튼을 클릭합니다.
삭제 확인 모달에서 OK 버튼을 클릭합니다.
리스트 상에서, 선택한 리스트 아이템의 삭제 완료를 확인합니다.

Active Directory 연동 정보 입력하기

Active Directory 연동시 사전 준비 사항:

Active Directory 서버: QueryPie와 연동할 AD 서버가 정상적으로 동작하고 있어야 하며, LDAPS(LDAP over SSL) 연결을 지원해야 합니다.
관리자 계정 정보: AD에 연결하여 다른 사용자 계정의 암호를 변경할 수 있는 권한을 가진 계정의 정보(사용자 이름, 암호)가 필요합니다.
네트워크 설정: QueryPie 서버에서 AD 서버의 LDAPS 포트(기본값: 636)로 접근이 가능해야 합니다.

Screenshot-2025-07-22-at-11.33.26-AM.png

Active Directory 페이지에서 + Connect 버튼을 클릭합니다.
연동에 필요한 정보를 입력합니다.
1. Name: 연동 정보의 명칭을 입력합니다.
2. Domain Information: 암호를 관리할 Active Directory의 도메인 이름을 입력합니다.
3. Server Address: Active Directory 서버의 주소를 입력합니다.
4. Auth Type: 인증 방식은 LDAPS로 고정되어 있습니다.
5. Port: LDAPS 포트 번호를 입력합니다. (기본값: 636)
6. Admin Account: AD에 연결할 관리자 계정의 사용자 이름을 입력합니다. 이 계정은 다른 사용자의 암호를 변경할 수 있는 권한이 필요합니다.
7. Admin Password: 관리자 계정의 암호를 입력합니다.
모든 정보를 입력했다면, Verify Integration 버튼을 클릭하여 AD 서버와의 연동을 확인합니다.
연동 확인 성공 메시지가 표시되면 Save 버튼을 클릭하여 설정을 완료합니다.

Active Directory 연동 정보 조회하기

Administrator > General > System > Integrations > Microsoft Active Directory

Admin > General > System > Integrations > Secret Stores 메뉴로 진입합니다.
Microsoft Active Directory (AD) 타일을 클릭합니다.
현재 연동 중인 AD 정보 목록을 조회할 수 있습니다.

Active Directory 연동 정보 삭제하기

Screenshot-2025-07-22-at-11.33.43-AM.png

삭제할 AD 정보의 테이블 항목에서 체크박스를 선택하면 헤더 영역에 Delete 버튼이 나타납니다. 해당 버튼을 클릭합니다.
삭제 확인 모달에서 OK 버튼을 클릭합니다.
목록에서 선택한 항목이 삭제되었는지 확인합니다.

Active Directory 삭제 시 유의 사항 Active Directory 연동 정보를 삭제하기 전에, 해당 AD 도메인과 연결된 모든 개인 계정(UPN)을 먼저 삭제해야 합니다. Admin > Servers> Account Management > Active Directory 탭에서 관련 계정을 모두 삭제한 후 다음 절차를 진행해 주십시오.

AWS Secrets Manager 연동 정보 입력하기

AWS Secrets Manager와 관련된 자세한 사항은 AWS 공식 문서 를 참고해주세요.

Admin > General > System > Integrations > Secret Stores 메뉴로 이동합니다.
AWS Secrets Manager 타일을 선택합니다.
+ Connect 버튼을 클릭합니다.
Secret Store 생성을 위한 정보를 입력합니다.
- Name : Secret Store의 명칭을 입력합니다.
- Region : AWS Region을 선택합니다 (예: ap-northeast-2).
- Auth Method : 인증 방식을 선택합니다.
  1. IAM Role : QueryPie ACP 실행 환경에 구성된 기본 AWS 자격 증명을 사용합니다. 별도의 인증 정보 입력이 필요하지 않습니다.
  2. Access Key : AWS IAM Access Key로 인증합니다. 다음 항목을 추가로 입력합니다.
    - Access Key ID : AWS IAM Access Key ID를 입력합니다.
    - Secret Access Key : AWS IAM Secret Access Key를 입력합니다.
  3. Assume Role : Role ARN을 사용하여 Assume Role 방식으로 인증합니다. 필요에 따라 Cross-account 접근에도 사용할 수 있습니다. 다음 항목을 추가로 입력합니다.
    - Role ARN : IAM Role ARN을 입력합니다 (예: arn:aws:iam::123456789012:role/MyRole).
    - External ID : (선택) Cross-account 접근과 관련된 External ID를 입력합니다.
Verify Integration 버튼을 클릭하여 AWS 연결 상태를 검증합니다.
OK 버튼을 클릭하여 저장합니다.

AWS Secrets Manager에 접근하는 IAM principal(사용자 또는 Role)에는 secretsmanager:DescribeSecret, secretsmanager:GetSecretValue 권한이 필요합니다. Assume Role을 사용하는 경우, 대상 Role에도 해당 권한이 부여되어 있어야 합니다. AWS IAM에 대한 자세한 사항은 AWS 공식 문서 를 참고해주세요.

AWS Screts Manager 연동 정보 조회하기

Admin > General > System > Integrations > Secret Stores 메뉴로 이동합니다.
AWS Secrets Manager 타일을 선택합니다.
등록된 Secret Store 목록이 표시됩니다. 목록의 필드에 대한 설명은 아래와 같습니다.
- Name : Secret Store의 명칭입니다.
- Region : AWS region입니다.
- Auth Method : AWS Secrets Manager의 인증방식입니다. (IAM Role / Access Key / Assume Role ).
- Last Access At : 마지막으로 Secret을 조회한 일시입니다.

AWS Screts Manager 연동 정보 삭제하기

Admin > General > System > Integrations > Secret Stores 메뉴로 이동합니다.
AWS Secrets Manager 타일을 선택합니다.
상세 화면에서 삭제할 대상을 체크한 뒤 Delete 버튼을 클릭합니다.
확인 팝업에서 OK 를 클릭합니다.

삭제하려는 Secret Store를 사용 중인 DB 커넥션이 있는 경우, 해당 커넥션의 비밀번호 조회에 영향을 줄 수 있습니다.