[SAA-C03][문제 풀이] DB 인증 정보 암호화 문제

하위 문제 풀이는 개인적 의견일 수 있습니다. AWS 공식 문서를 참조하는 것을 추천 드립니다.

 

[영문]

A company performs monthly maintenance on its AWS infrastructure. During these maintenance activities, the company needs to rotate the credentials for its Amazon RDS for MySQL databases across multiple AWS Regions.
Which solution will meet these requirements with the LEAST operational overhead?

• A. Store the credentials as secrets in AWS Secrets Manager. Use multi-Region secret replication for the required Regions. Configure Secrets Manager to rotate the secrets on a schedule.
• B. Store the credentials as secrets in AWS Systems Manager by creating a secure string parameter. Use multi-Region secret replication for the required Regions. Configure Systems Manager to rotate the secrets on a schedule.
• C. Store the credentials in an Amazon S3 bucket that has server-side encryption (SSE) enabled. Use Amazon EventBridge (Amazon CloudWatch Events) to invoke an AWS Lambda function to rotate the credentials.
• D. Encrypt the credentials as secrets by using AWS Key Management Service (AWS KMS) multi-Region customer managed keys. Store the secrets in an Amazon DynamoDB global table. Use an AWS Lambda function to retrieve the secrets from DynamoDB. Use the RDS API to rotate the secrets.

 

[한글] (번역기)

한 회사가 AWS 인프라에서 매월 유지 관리를 수행합니다. 이러한 유지 관리 활동 중에 이 회사는 여러 AWS 리전에서 Amazon RDS for MySQL 데이터베이스에 대한 자격 증명을 교체해야 합니다.
최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇인가요?

A. 자격 증명을 AWS Secrets Manager에 시크릿으로 저장합니다. 필요한 리전에 대해 다중 리전 시크릿 복제를 사용합니다. 일정에 따라 시크릿을 순환하도록 시크릿 매니저를 구성합니다.
B. 보안 문자열 매개변수를 생성하여 자격 증명을 AWS 시스템 관리자에서 시크릿으로 저장합니다. 필요한 리전에 대해 다중 리전 시크릿 복제를 사용합니다. 일정에 따라 시크릿을 순환하도록 시스템 관리자를 구성합니다.
C. 서버 측 암호화(SSE)가 활성화된 Amazon S3 버킷에 자격 증명을 저장합니다. Amazon EventBridge(Amazon CloudWatch 이벤트)를 사용하여 AWS 람다 함수를 호출하여 자격 증명을 로테이션합니다.
D. AWS 키 관리 서비스(AWS KMS) 다중 리전 고객 관리 키를 사용하여 자격 증명을 비밀로 암호화합니다. Amazon DynamoDB 글로벌 테이블에 시크릿을 저장합니다. AWS 람다 함수를 사용하여 DynamoDB에서 비밀을 검색합니다. RDS API를 사용하여 시크릿을 회전합니다.

 

[풀이]

• AWS 매일 유지 관리 수행, 여러 AWS 리전에서 RDS for MySQL 데이터베이스에 대한 credential을 rotate해야된다, 최소한의 운영 오버헤드
• 내가 알기론 Secrets Manager를 이용하면 다중 리전에 복제할 수 있고, rotate도 해줄 수 있는 것으로 알고 있다.
• https://docs.aws.amazon.com/ko_kr/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html
• 그리고 Rotate도 자동으로 해줄수 있었던 듯
• B의 경우 
  Amazon ECS, AWS Lambda 및 AWS Systems Manager와 같은 AWS 서비스 또는 AWS Systems Manager Parameter Store API를 사용할 수 있는 모든 서비스에서 손쉽게 파라미터를 참조할 수 있습니다.
  또한 https://docs.aws.amazon.com/ko_kr/secretsmanager/latest/userguide/integrating_parameterstore.html
  참조하면 자동으로 rotate가 안된다고 한다.
• C의 경우 리전 간 복제가 이루어져야 해서 오버헤드 있을 듯
• D의 경우 오버헤드 최강
• A가 정답인듯하다.

 

[출처] : https://www.examtopics.com/exams/amazon/aws-certified-solutions-architect-associate-saa-c03/view/

위 문제에 대한 저작권은 상위 출처 링크에 있으며 해당 게시글로 문제 시 댓글 부탁 드리며 삭제 조치 진행 하겠습니다.