[G1-Sync] Manual knowledge update

10_Wiki/Topics/Coding/DevOps_IaC_Drift_Detection.md

@@ -0,0 +1,151 @@
+---
+id: devops-iac-drift-detection
+title: IaC Drift Detection — 수동 변경 감지
+category: Coding
+status: draft
+source_trust_level: B
+verification_status: conceptual
+created_at: 2026-05-09
+updated_at: 2026-05-09
+tags: [devops, iac, terraform, drift, vibe-coding]
+tech_stack: { language: "Terraform / AWS", applicable_to: ["DevOps"] }
+applied_in: []
+aliases: [drift, manual change, terraform plan exit code, driftctl, AWS Config]
+---
+
+# IaC Drift Detection
+
+> Console 에서 누가 손댐 = drift. 다음 apply 가 모르는 사이 덮음. **정기 plan + 알람** 으로 검출. driftctl / AWS Config / Terraform Cloud Health Assessment.
+
+## 📖 핵심 개념
+- Drift: state 와 실제 인프라 차이.
+- 원인: 콘솔 변경, 다른 도구 (kubectl), 만료 / 오토 변경.
+- Prevention: SCP / IAM 으로 console write 차단.
+- Detection: 자동 plan + diff 알림.
+
+## 💻 코드 패턴
+
+### Terraform plan exit code
+```bash
+terraform plan -detailed-exitcode -lock=false -refresh-only
+# 0 = no change
+# 1 = error
+# 2 = drift / changes pending
+```
+
+### CI cron (GitHub Actions)
+```yaml
+name: drift-check
+on:
+  schedule: [{ cron: '0 6 * * *' }] # 매일 오전 6시
+  workflow_dispatch:
+jobs:
+  check:
+    runs-on: ubuntu-latest
+    steps:
+      - uses: actions/checkout@v4
+      - uses: hashicorp/setup-terraform@v3
+      - run: terraform init
+      - id: plan
+        run: terraform plan -detailed-exitcode -refresh-only -no-color | tee plan.txt
+        continue-on-error: true
+      - if: steps.plan.outcome == 'failure'
+        run: |
+          curl -X POST $SLACK_WEBHOOK \
+            -d "{\"text\":\"Drift detected in prod: $(head -200 plan.txt)\"}"
+```
+
+### Terraform Cloud Health Assessment
+- TFC enterprise: 자동 drift detection daily.
+- UI 에서 check + Slack notification.
+
+### driftctl
+```bash
+# 모든 리소스 (TF state 안 / 밖 무관) 비교
+driftctl scan --from tfstate+s3://tf-state/main.tfstate
+
+# unmanaged 리소스 (TF 외부 생성) 도 발견
+```
+
+### AWS Config (cloud native)
+```hcl
+resource "aws_config_configuration_recorder" "main" {
+  name     = "main"
+  role_arn = aws_iam_role.config.arn
+  recording_group { all_supported = true }
+}
+
+resource "aws_config_config_rule" "no_unencrypted_volumes" {
+  name = "encrypted-volumes"
+  source { owner = "AWS"; source_identifier = "ENCRYPTED_VOLUMES" }
+}
+```
+
+위반 시 EventBridge 로 알림 / 자동 remediation.
+
+### Lifecycle ignore_changes (의도적 drift 허용)
+```hcl
+resource "aws_autoscaling_group" "app" {
+  desired_capacity = 3
+  lifecycle {
+    ignore_changes = [desired_capacity] # HPA 가 관리, TF 가 안 덮음
+  }
+}
+```
+
+### Prevent destroy (중요한 자원)
+```hcl
+resource "aws_db_instance" "main" {
+  lifecycle {
+    prevent_destroy = true
+  }
+}
+```
+
+`terraform destroy` 시 에러.
+
+### 콘솔 write 차단 (IAM / SCP)
+```json
+// 모든 사람 read-only, terraform IAM role 만 write
+{
+  "Effect": "Deny",
+  "Action": ["ec2:*", "rds:*", "s3:CreateBucket"],
+  "Resource": "*",
+  "Condition": {
+    "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123:role/terraform" }
+  }
+}
+```
+
+### Drift 발견 → 흡수 vs 회복
+- **흡수**: 의도했으면 TF code 에 반영, `terraform apply` 가 안 바꿈.
+- **회복**: 의도 X, `terraform apply` 가 다시 원래대로.
+
+## 🤔 의사결정 기준
+| 도구 | 사용 |
+|---|---|
+| Open-source | driftctl + cron |
+| Terraform Cloud | Health Assessment |
+| AWS only + 자동 fix | AWS Config + remediation |
+| Multi-cloud | driftctl |
+| 변경 감사 | CloudTrail / GCP Audit |
+| 사용자 수 적음 | SCP 로 prevent |
+
+## ❌ 안티패턴
+- **Plan / drift 검사 안 함**: 다음 apply 가 무릎 꿇림.
+- **변경 알림 없음**: 콘솔 변경 모름.
+- **모든 변경 무조건 회복**: HPA / autoscaling 영구 충돌. ignore_changes.
+- **TF state 와 실제 차이 무시**: refresh.
+- **콘솔 access 누구나**: IAM 분리.
+- **Production destroy 가능**: prevent_destroy.
+- **Drift 만 검사 — 외부 생성 리소스 모름**: driftctl 가 unmanaged 도 발견.
+
+## 🤖 LLM 활용 힌트
+- Daily plan + slack on exit 2.
+- driftctl 또는 TFC Health Assessment.
+- ignore_changes 로 의도적 drift 허용.
+
+## 🔗 관련 문서
+- [[DevOps_Terraform_Patterns]]
+- [[DevOps_Observability_Stack]]
+- [[Cloud_Audit_Logging]]