[SAA-C03][문제 풀이] DB 인증 정보 암호화 문제

하위 문제 풀이는 개인적 의견일 수 있습니다. AWS 공식 문서를 참조하는 것을 추천 드립니다.

 

[영문]

A company has an application that runs on Amazon EC2 instances and uses an Amazon Aurora database. The EC2 instances connect to the database by using user names and passwords that are stored locally in a file. The company wants to minimize the operational overhead of credential management.
What should a solutions architect do to accomplish this goal?

• A. Use AWS Secrets Manager. Turn on automatic rotation.
• B. Use AWS Systems Manager Parameter Store. Turn on automatic rotation.
• C. Create an Amazon S3 bucket to store objects that are encrypted with an AWS Key Management Service (AWS KMS) encryption key. Migrate the credential file to the S3 bucket. Point the application to the S3 bucket.
• D. Create an encrypted Amazon Elastic Block Store (Amazon EBS) volume for each EC2 instance. Attach the new EBS volume to each EC2 instance. Migrate the credential file to the new EBS volume. Point the application to the new EBS volume.

 

[한글] (번역기)

한 회사에서 Amazon EC2 인스턴스에서 실행되는 애플리케이션이 있고 Amazon Aurora 데이터베이스를 사용합니다. EC2 인스턴스는 파일에 로컬로 저장된 사용자 이름과 비밀번호를 사용하여 데이터베이스에 연결합니다. 이 회사는 자격 증명 관리의 운영 오버헤드를 최소화하고자 합니다.
이 목표를 달성하기 위해 솔루션 설계자는 무엇을 해야 할까요?

A. AWS Secrets Manager를 사용합니다. 자동 로테이션을 사용 설정합니다.
B. AWS 시스템 관리자 매개변수 저장소를 사용합니다. 자동 로테이션을 켭니다.
C. AWS 키 관리 서비스(AWS KMS) 암호화 키로 암호화된 개체를 저장할 Amazon S3 버킷을 생성합니다. 자격 증명 파일을 S3 버킷으로 마이그레이션합니다. 애플리케이션이 S3 버킷을 가리키도록 합니다.
D. 각 EC2 인스턴스에 대해 암호화된 Amazon EBS(Amazon Elastic Block Store) 볼륨을 생성합니다. 새 EBS 볼륨을 각 EC2 인스턴스에 연결합니다. 자격 증명 파일을 새 EBS 볼륨으로 마이그레이션합니다. 애플리케이션이 새 EBS 볼륨을 가리키도록 합니다.

 

[풀이]

• EC2 인스턴스에서 Aurora 데이터 베이스 연결하는 데 자격 증명이 있다. 운영 오버헤드 최소화 해야한다.
• A의 경우가 가장 간단하며 적합해 보인다.
  https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/rds-secrets-manager.html
• https://docs.aws.amazon.com/ko_kr/secretsmanager/latest/userguide/hardcoded-db-creds.html
• B의 경우 AWS Systems Manager Parameter Store를 사용해 자동 로테이션을 할수 있는지?
  비밀번호 로테이션 수명 주기를 구현하려면 AWS Secrets Manager를 사용하세요. Secrets Manager를 사용하여 수명 주기 동안 데이터베이스 자격 증명, API 키 및 기타 비밀을 로테이션하고, 관리하고, 검색할 수 있습니다. 자세한 내용은 AWS 시크릿 매니저 사용 가이드에서 AWS 시크릿 매니저란 무엇인가요? 를 참조하세요.
  라고 한다. B 제외
  (https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html)
• C의 경우 S3 버킷으로 마이그레이션 하게 되면 S3에 대한 정책 관리도 필요할 듯해 운영 오버헤드 늘어날듯 C 제외
• D의 경우 암호화된 EBS 볼륨 만으로 자격 증명을 관리하기 적합한가?
• 정답은 A

 

[출처] : https://www.examtopics.com/exams/amazon/aws-certified-solutions-architect-associate-saa-c03/view/

위 문제에 대한 저작권은 상위 출처 링크에 있으며 해당 게시글로 문제 시 댓글 부탁 드리며 삭제 조치 진행 하겠습니다.