[AWS][SAA][EXAMTOPICS][C03] Question 11

 

 

A company has an application that runs on Amazon EC2 instances and uses an Amazon Aurora database. The EC2 instances connect to the database by using user names and passwords that are stored locally in a file. The company wants to minimize the operational overhead of credential management.
What should a solutions architect do to accomplish this goal?

• A. Use AWS Secrets Manager. Turn on automatic rotation.
• B. Use AWS Systems Manager Parameter Store. Turn on automatic rotation.
• C. Create an Amazon S3 bucket to store objects that are encrypted with an AWS Key Management Service (AWS KMS) encryption key. Migrate the credential file to the S3 bucket. Point the application to the S3 bucket.
• D. Create an encrypted Amazon Elastic Block Store (Amazon EBS) volume for each EC2 instance. Attach the new EBS volume to each EC2 instance. Migrate the credential file to the new EBS volume. Point the application to the new EBS volume..

 

 

회사에는 Amazon EC2 인스턴스에서 실행되고 Amazon Aurora 데이터베이스를 사용하는 애플리케이션이 있습니다. EC2 인스턴스는 파일에 로컬로 저장된 사용자 이름과 암호를 사용하여 데이터베이스에 연결합니다. 회사는 자격 증명 관리의 운영 오버헤드를 최소화하려고 합니다.
이 목표를 달성하기 위해 솔루션 설계자는 무엇을 해야 합니까?

• A. AWS Secrets Manager를 사용하십시오. 자동 회전을 켭니다.
• B. AWS Systems Manager Parameter Store를 사용합니다. 자동 회전을 켭니다.
• C. AWS Key Management Service(AWS KMS) 암호화 키로 암호화된 객체를 저장할 Amazon S3 버킷을 생성합니다. 자격 증명 파일을 S3 버킷으로 마이그레이션합니다. 애플리케이션이 S3 버킷을 가리키도록 합니다.
• D. 각 EC2 인스턴스에 대해 암호화된 Amazon Elastic Block Store(Amazon EBS) 볼륨을 생성합니다. 새 EBS 볼륨을 각 EC2 인스턴스에 연결합니다. 자격 증명 파일을 새 EBS 볼륨으로 마이그레이션합니다. 애플리케이션이 새 EBS 볼륨을 가리키도록 합니다.

EC2에서 실행되고 AuroraDB를 사용하는 애플리케이션이 있다. EC2 파일에 로컬로 저장된 사용자 이름과 암호를 사용하여 DB 연결하는데, 자격 증명 관리의 운영 오버헤드를 최소화 하려고 한다.

 

우선 각각 선택지의 솔루션이 어떤것인지 먼저 알아보자.

 

AWS Secrets Manager란 무엇입니까?

 

과거에는 데이터베이스에서 정보를 검색하는 사용자 지정 애플리케이션을 생성하면 일반적으로 데이터베이스에 액세스하기 위한 자격 증명(보안 암호)을 애플리케이션에 직접 포함시켰습니다. 자격 증명을 교체할 시기가 되면 새 자격 증명을 생성하는 것보다 더 많은 작업을 해야 했습니다. 시간을 들여 새 자격 증명을 사용하도록 애플리케이션을 업데이트해야 했습니다. 그런 다음 업데이트된 애플리케이션을 배포했습니다. 자격 증명을 공유하는 애플리케이션이 여러 개 있는데 이러한 애플리케이션 중 하나를 업데이트하지 못한 경우 해당 애플리케이션에 오류가 발생합니다. 이러한 위험 때문에 많은 고객들은 정기적으로 자격 증명을 교체하지 않기로 결정하며, 이 위험 대신 다른 위험에 직면하게 됩니다.

Secrets Manager는 코드의 암호를 포함해 하드 코딩된 자격 증명을 Secrets Manager에서 프로그래밍 방식으로 보안 암호를 검색하도록 하는 API 호출로 바꿀 수 있습니다. 이렇게 하면 보안 암호가 코드에 더 이상 존재하지 않기 때문에 코드를 검사하는 누군가에 의해 보안 암호가 손상되지 않도록 방지할 수 있습니다. 또한 사용자가 지정한 일정에 따라 Secrets Manager가 자동으로 보안 암호를 교체하도록 구성할 수 있습니다. 따라서 단기 보안 암호로 장기 보안 암호를 교체할 수 있어 손상 위험이 크게 줄어듭니다.

 

 

AWS 시스템 관리자 파라미터 스토어

 

AWS Systems Manager의 기능인 Parameter Store는 구성 데이터 관리 및 비밀 관리를 위한 안전한 계층적 스토리지를 제공합니다. 암호, 데이터베이스 문자열, Amazon 머신 이미지(AMI) ID 및 라이선스 코드와 같은 데이터를 파라미터 값으로 저장할 수 있습니다. 값을 일반 텍스트 또는 암호화된 데이터로 저장할 수 있습니다. 파라미터를 생성할 때 지정한 고유한 이름을 사용하여 스크립트, 명령, SSM 문서, 구성 및 자동화 워크플로에서 Systems Manager 파라미터를 참조할 수 있습니다. 

 

AWS Key Management Service

AWS Key Management Service(AWS KMS)는 데이터를 보호하는 데 사용하는 암호화 키를 쉽게 생성하고 제어할 수 있게 해주는 관리형 서비스입니다. AWS KMS는 FIPS 140-2 암호화 모듈 검증 프로그램에 따라 하드웨어 보안 모듈(HSM)을 사용하여 AWS KMS keys를 보호하고 검증합니다. AWS KMS가 중국(베이징) 및 중국(닝샤) 리전에서 KMS 키를 보호하는 데 사용하는 HSM은 모든 관련 중국 규정을 준수하지만, FIPS 140-2 암호화 모듈 검증 프로그램에 따른 검증은 받지 않습니다.

 

우선 선택지 D의 내용은 너무 말도 안되는 얘기여서 이미 정답에서 제외됐다고 생각한다.

3가지 솔루션중 코드에 포함만 되어 있으면 API를 통해서 알아서 자격증명을 갱신하고 관리해주는 Secrets Manager가 가장 운영 오버헤드를 줄여줄 것으로 판단된다.

AWS Secrets Manager는 애플리케이션, 서비스 및 IT 리소스에 대한 액세스를 보호하는데 도움이 되는 비밀 관리 서비스이다. 이 서비스를 사용하면 수명 주기 동안 데이터베이스 자격 증명, API 키 및 기타 암호를 교체, 관리 및 검색할 수 있다.

암호를 자동으로 교체하도록 Secrets MAnager를 구성하면 보안 및 규정 준수 요구 사항을 충족하는 데 도움이 된다. Secrets Manager는 Amazon RDS에서 MySQL, PostreSQL, Amazon Aurora에 대한 기본 통합을 제공하며 기본적으로 이러한 데이터베이스에 대한 자격 증명을 교체할 수 있다. 세분화된 AWS IAM 정책을 사용하여 암호에 대한 액세스를 제어할 수 있다.

또한 B 선택지의 AWS Systems Manager Parameter Store는 자동 회전을 지원하지 않는다.

 

https://docs.aws.amazon.com/ko_kr/secretsmanager/latest/userguide/intro.html

AWS Secrets Manager란 무엇입니까? - AWS Secrets Manager

https://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/overview.html

AWS Key Management Service - AWS Key Management Service

https://www.examtopics.com/exams/amazon/aws-certified-solutions-architect-associate-saa-c03/view/3/

ExamTopics - Biggest Actual IT Exams Database - Validation