문제
회사는 AWS 인프라에 대한 월별 유지 관리를 수행합니다. 이러한 유지 관리 활동 중에 회사는 자격 증명을 여러 AWS 리전에서 Amazon ROS 또는 MySQL 데이터베이스로 교체해야 합니다.
어떤 솔루션이 운영 오버헤드를 최소화하면서 이러한 요구 사항을 충족합니까?
A. 자격 증명을 AWS Secrets Manager에 암호로 저장. 필수 리전에 대해 다중 리전 암호 복제 사용. 일정에 따라 암호를 교체하도록 Secrets Manager 구성
B. 보안 문자열 파라미터를 생성하여 자격 증명을 AWS Systems Manager에 암호로 저장 필수 리전에 대해 다중 리전 암호 복제 사용 일정에 따라 암호를 교체하도록 Systems Manager 구성
C. 서버 측 암호화(SSE)가 활성화된 Amazon S3 버킷에 자격 증명 저장. Amazon EventBridge(Amazon CloudWatch Events)를 사용하여 AWS Lambda 함수를 호출하여 자격 증명 교체
D. AWS Key Management Service(AWS KMS) 다중 리전 고객 관리형 키를 사용하여 자격 증명을 비밀로 암호화합니다. 비밀을 Amazon DynamoDB 전역 테이블에 저장합니다. AWS Lambda 함수를 사용하여 DynamoDB에서 비밀을 검색합니다. RDS API를 사용하여 다음을 수행합니다. 비밀을 돌립니다.
정답
A
풀이
자격 증명을 여러 리전에 복제하는 솔루션
AWS Secret Manager 데이터베이스 자격 증명, API 키 및 기타 secret 등 여러 비밀을 저장, 검색, 관리 및 교체할 수 있다.
Secrets Manager를 사용하여 비밀을 생성하면 선택한 리전에서 비밀이 생성되고 관리됩니다.
리전 별로 비밀의 범위를 설정하는 것이 보안 모범 사례
하지만 재해 복구나 지역 간 중복처럼 여러 리전에 비밀을 복제해야 하는 경우가 있다.
→ Secrets Manager를 사용해서 암호를 하나 이상의 리전에 쉽게 복제할 수 있다.
Secrets Manager의 리전 간 복제 기능
- 암호에 대한 리전 읽기 복제본 생성 가능
- 새 암호를 생성하거나 기존 암호를 편집할 때 암호를 복제해야 하는 리전 지정 가능
- 각 암호 및 관련 메타 데이터에 대한 읽기 전용 복제본을 안전하게 생성 > 복잡한 솔루션 필요 없음
- 기본 암호에 대한 모든 업데이트는 Secrets Manager에서 자동으로 복제본 암호로 전파된다 > 다중 리전 암호의 수명 주기를 더 쉽게 관리할 수 있다.
- 기존 리전에서 암호 생성
- 새로운 리전에 암호를 복제
- 복제된 리전에서 데이터베이스 연결
- lambda 함수가 Secrets manager에서 암호를 검색하는 요청을 보냄
- lambda 함수는 가져온 암호를 사용해서 데이터베이스에 연결
'CS > AWS' 카테고리의 다른 글
| [SAA-C03] 덤프 문제 풀이 - Amazon RDS Proxy (0) | 2023.06.21 |
|---|---|
| [SAA-C03] 덤프 문제 풀이 - Amazon Athena의 성능 향상 솔루션 (0) | 2023.06.20 |
| [SAA-C03] 덤프 문제 풀이 - 프라이빗 서브넷의 EC2 인스턴스에 SSH 연결 (0) | 2023.06.20 |
| [생활코딩] AWS EC2 (2) (0) | 2023.05.03 |
| [생활코딩] AWS EC2 (1) (0) | 2023.04.25 |
