[AWS][SAA][EXAMTOPICS][C03] Question 36

 

 

 

A company is building an application in the AWS Cloud. The application will store data in Amazon S3 buckets in two AWS Regions. The company must use an AWS Key Management Service (AWS KMS) customer managed key to encrypt all data that is stored in the S3 buckets. The data in both S3 buckets must be encrypted and decrypted with the same KMS key. The data and the key must be stored in each of the two Regions.
Which solution will meet these requirements with the LEAST operational overhead?

• A. Create an S3 bucket in each Region. Configure the S3 buckets to use server-side encryption with Amazon S3 managed encryption keys (SSE-S3). Configure replication between the S3 buckets.
• B. Create a customer managed multi-Region KMS key. Create an S3 bucket in each Region. Configure replication between the S3 buckets. Configure the application to use the KMS key with client-side encryption.
• C. Create a customer managed KMS key and an S3 bucket in each Region. Configure the S3 buckets to use server-side encryption with Amazon S3 managed encryption keys (SSE-S3). Configure replication between the S3 buckets.
• D. Create a customer managed KMS key and an S3 bucket in each Region. Configure the S3 buckets to use server-side encryption with AWS KMS keys (SSE-KMS). Configure replication between the S3 buckets.

 

 

회사가 AWS 클라우드에서 애플리케이션을 구축하고 있습니다. 애플리케이션은 두 AWS 리전의 Amazon S3 버킷에 데이터를 저장합니다. 회사는 AWS Key Management Service(AWS KMS) 고객 관리형 키를 사용하여 S3 버킷에 저장된 모든 데이터를 암호화해야 합니다. 두 S3 버킷의 데이터는 동일한 KMS 키로 암호화 및 암호 해독되어야 합니다. 데이터와 키는 두 지역 각각에 저장되어야 합니다.
최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

• A. 각 리전에서 S3 버킷을 생성합니다. Amazon S3 관리형 암호화 키(SSE-S3)로 서버 측 암호화를 사용하도록 S3 버킷을 구성합니다. S3 버킷 간의 복제를 구성합니다.
• B. 고객 관리 다중 리전 KMS 키를 생성합니다. 각 리전에서 S3 버킷을 생성합니다. S3 버킷 간의 복제를 구성합니다. 클라이언트 측 암호화와 함께 KMS 키를 사용하도록 애플리케이션을 구성합니다.
• C. 각 리전에서 고객 관리형 KMS 키와 S3 버킷을 생성합니다. Amazon S3 관리형 암호화 키(SSE-S3)로 서버 측 암호화를 사용하도록 S3 버킷을 구성합니다. S3 버킷 간의 복제를 구성합니다.
• D. 각 리전에서 고객 관리형 KMS 키와 S3 버킷을 생성합니다. AWS KMS 키(SSE-KMS)로 서버 측 암호화를 사용하도록 S3 버킷을 구성합니다. S3 버킷 간의 복제를 구성합니다.

애플리케이션을 구축중에 두 AWS 리전의 S3 버킷에 데이터를 저장한다. Key Management Service 고객 관리형 키를 사용하여 S3 버킷에 저장된 모든 데이터를 암호화 한다. S3 버킷의 데이터는 동일한 KMS 키로 암호화 및 복호화한다. 키는 두 지역 각각에 저장되어야 하는데 이를 만족하는 솔루션은 무엇일까

 

위 상황의 경우는 KMS 다중 지역 키가 필요하다.

두 리전에서 동일한 키 사용 요구 사항이 있고 AWS KMS의 다중 리전 키가 이 요구 사항을 충족하기 때문에 B가 정답이다.

 

AWS KMS의 다중 리전 키

 

AWS KMS는 다중 리전 키 를 지원합니다. 다중 리전 키는 여러 리전에 동일한 키가 있는 것처럼 상호 교환하여 사용할 수 있는 서로 다른 AWS 리전의 AWS KMS 키입니다. 각 관련 다중 리전 키 세트에는 동일한 키 구성 요소 와 키 ID 가 있으므로 AWS KMS를 다시 암호화하거나 교차 리전 호출을 수행하지 않고도 한 AWS 리전에서 데이터를 암호화하고 다른 AWS 리전에서 해독할 수 있습니다.

모든 KMS 키와 마찬가지로 다중 리전 키는 AWS KMS를 암호화되지 않은 상태로 두지 않습니다. 암호화 또는 서명을 위한 대칭 또는 비대칭 다중 리전 키를 생성하고, HMAC 태그 생성 및 확인을 위한 HMAC 다중 리전 키를 생성하고, 가져온 키 구성 요소 또는 AWS KMS가 생성하는 키 구성 요소를 사용하여 다중 리전 키를 생성할 수 있습니다. 별칭 및 태그 생성, 키 정책 및 권한 설정, 선택적으로 활성화 및 비활성화를 포함하여 각 다중 리전 키를 독립적으로 관리 해야 합니다 . 단일 리전 키로 수행할 수 있는 모든 암호화 작업에서 다중 리전 키를 사용할 수 있습니다.

정답 B "고객 관리 다중 리전 KMS 키를 생성합니다. 각 리전에서 S3 버킷을 생성합니다. S3 버킷 간의 복제를 구성합니다. 클라이언트 측 암호화와 함께 KMS 키를 사용하도록 애플리케이션을 구성합니다."

 

 

https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html

Multi-Region keys in AWS KMS - AWS Key Management Service