[AWS][SAA][EXAMTOPICS][C02] Question 109

 

 

A business's application makes use of AWS Lambda functions. A code examination reveals that database credentials are being kept in the source code of a Lambda function, which violates the company's security policy. To comply with security policy requirements, credentials must be safely maintained and automatically cycled on a regular basis.

What should a solutions architect propose as the MOST SECURE method of meeting these requirements?

• A. Store the password in AWS CloudHSM. Associate the Lambda function with a role that can use the key ID to retrieve the password from CloudHSM. Use CloudHSM to automatically rotate the password.
• B. Store the password in AWS Secrets Manager. Associate the Lambda function with a role that can use the secret ID to retrieve the password from Secrets Manager. Use Secrets Manager to automatically rotate the password.
• C. Store the password in AWS Key Management Service (AWS KMS). Associate the Lambda function with a role that can use the key ID to retrieve the password from AWS KMS. Use AWS KMS to automatically rotate the uploaded password.
• D. Move the database password to an environment variable that is associated with the Lambda function. Retrieve the password from the environment variable by invoking the function. Create a deployment script to automatically rotate the password.

 

한글 번역

비즈니스 애플리케이션은 AWS Lambda 기능을 사용합니다. 코드 검사 결과 데이터베이스 자격 증명이 Lambda 함수의 소스 코드에 보관되고 있으며 이는 회사의 보안 정책을 위반하는 것으로 나타났습니다. 보안 정책 요구 사항을 준수하려면 자격 증명을 안전하게 유지 관리하고 정기적으로 자동으로 순환해야 합니다.

솔루션 설계자는 이러한 요구 사항을 충족하는 가장 안전한 방법으로 무엇을 제안해야 합니까?

• A. AWS CloudHSM에 암호를 저장합니다. 키 ID를 사용하여 CloudHSM에서 암호를 검색할 수 있는 역할과 Lambda 함수를 연결합니다. CloudHSM을 사용하여 비밀번호를 자동으로 교체합니다.
• B. AWS Secrets Manager에 암호를 저장합니다. 보안 ID를 사용하여 Secrets Manager에서 비밀번호를 검색할 수 있는 역할과 Lambda 함수를 연결합니다. Secrets Manager를 사용하여 암호를 자동으로 교체합니다.
• C. AWS Key Management Service(AWS KMS)에 암호를 저장합니다. 키 ID를 사용하여 AWS KMS에서 암호를 검색할 수 있는 역할과 Lambda 함수를 연결합니다. AWS KMS를 사용하여 업로드된 암호를 자동으로 교체합니다.
• D. 데이터베이스 암호를 Lambda 함수와 연결된 환경 변수로 이동합니다. 함수를 호출하여 환경 변수에서 암호를 검색합니다. 암호를 자동으로 교체하는 배포 스크립트를 만듭니다.

시나리오를 먼저 파악하자.

비즈니스 애플리케이션은 AWS Lambda 기능을 사용한다. 코드 검사 결과 DB 자격 증명이 Lambda 함수의 소스 코드에 보관되고 있으며 보안 정책을 위반하고 있다. 보안 정책 요구 사항을 준수하려면 자격 증명을 안전하게 유지 관리하고 자동으로 순환해야 한다고 한다.

 

우선 AWS 서비스중에 Secrets Manager라는 서비스가 존재한다. 기능적으로는 자동으로 보안 암호를 교체한다.

사용자 개입 없이 지정한 일정에 따라 자동으로 보안 암호를 교체하도록 Secrets Manager를 구성할 수 있다.

교체는 AWS Lambda 함수를 사용하여 정하고 실행한다. 이 함수는 다음과 같이 Secrets Manager에서 다음 작업을 수행하는 방법을 정의한다.

• 새로운 버전의 보안 암호를 생성한다.
• 보안 암호를 Secrets Manager에 저장한다.
• 새 버전을 사용하도록 보호된 서비스를 구성한다.
• 새 버전을 확인한다.
• 새 버전을 프로덕션용으로 표시한다.

Staging Label을 사용하면 보안 암호의 여러 버전을 추적할 수 잇다. 각 버전에는 Staging Label이 여러 개 연결될 수 있지만, 각 Staging Label은 한 가지 버전에만 연결할 수 있다. 예를 들어 Secrets Manager는 현재 사용 중인 보안 암호의 활성 버전에 AWS Current Label을 지정한다. 항상 최신 보안 암호 버전을 쿼리하도록 애플리케이션을 구성해야 한다. 

Amazon Secrets Manager에 자동으로 보안 암호 교체하는 기능이 있기 때문에 Secrets Manager를 사용해야 한다.

그렇기 때문에 정답은 선택지 B가 된다.