AWS SAA-C03 한국어 샘플 16번

[문제 16]

회사에서 Amazon EC2 인스턴스에 새 애플리케이션을 배포하고 있습니다. 애플리케이션은 Amazon Elastic Block Store(Amazon EBS) 볼륨에 데이터를 씁니다. 회사는 EBS 볼륨에 기록된 모든 데이터가 유휴 상태에서 암호화되도록 해야 합니다.
이 요구 사항을 충족하는 솔루션은 무엇입니까?

A. EBS 암호화를 지정하는 IAM 역할을 생성합니다. 역할을 EC2 인스턴스에 연결합니다.

B. EBS 볼륨을 암호화된 볼륨으로 생성합니다. EBS 볼륨을 EC2 인스턴스에 연결합니다.

C. 키가 Encrypt이고 값이 True인 EC2 인스턴스 태그를 생성합니다. EBS 수준에서 암호화가 필요한 모든 인스턴스에 태그를 지정합니다.

D. 계정에서 EBS 암호화를 시행하는 AWS Key Management Service(AWS KMS) 키 정책을 생성합니다. 키 정책이 활성 상태인지 확인합니다.

[문제 분석]

이 문제는 EBS 볼륨의 유휴 상태 암호화 설정 방법에 대한 질문입니다. 데이터를 저장할 때 자동으로 암호화하도록 구성하는 것이 필요하며, 적절한 솔루션을 선택해야 합니다.

[각 보기 분석]

A. EBS 암호화를 지정하는 IAM 역할을 생성합니다.

• 설명: IAM 역할은 인스턴스의 권한을 제어하지만, 암호화를 직접적으로 설정하는 데는 사용할 수 없습니다.
• 부적합: 암호화 요구 사항을 충족하지 못합니다.

B. EBS 볼륨을 암호화된 볼륨으로 생성합니다.

• 설명: EBS 볼륨 생성 시 암호화 옵션을 선택하면, 유휴 상태에서 자동으로 암호화됩니다. AWS 관리형 또는 고객 관리형 키(CMK)를 사용할 수 있습니다.
• 적합성: 이 방법은 유휴 상태 암호화 요구 사항을 완벽히 충족합니다.

C. 키가 Encrypt이고 값이 True인 EC2 인스턴스 태그를 생성합니다.

• 설명: 태그는 메타데이터 역할을 하지만, 데이터 암호화를 설정하는 기능은 없습니다.
• 부적합: 암호화 설정과는 관련이 없습니다.

D. AWS KMS 키 정책을 생성하여 암호화를 설정합니다.

1. 설명: KMS 키 정책은 암호화 키 관리를 위한 도구입니다. EBS 볼륨 암호화와 직접적인 설정은 아닙니다.
2. 부적합: 키 정책만으로는 EBS 암호화를 구현할 수 없습니다.

[정답 분석]

가장 적합한 답은 B. EBS 볼륨을 암호화된 볼륨으로 생성하는 것입니다. EBS 암호화는 AWS 관리형 키 또는 고객 관리형 키(CMK)를 사용하여 데이터를 유휴 상태에서 보호할 수 있습니다.

[서비스 및 관련 옵션]

1. Amazon EBS: EBS는 EC2 인스턴스에 연결된 스토리지 서비스로, 데이터를 유휴 상태에서 암호화할 수 있습니다.
2. AWS Key Management Service (KMS): 암호화 키를 관리하며, EBS 암호화 시 사용할 수 있는 관리형 키와 고객 관리형 키를 제공합니다.

[도메인]

이 문제는 도메인 2: 보안 및 규정 준수 아키텍처 설계에 해당합니다. 이 도메인은 데이터 암호화와 같은 보안 요구 사항을 충족하는 아키텍처 설계와 관련이 있습니다.

1. 태스크 설명: 태스크 2.3: 저장 데이터를 암호화하는 방법을 설계합니다.
2. 관련 지식:

1) EBS 볼륨 생성 시 암호화 활성화
2) AWS KMS를 통한 암호화 키 관리

[시험에서 주로 출제되는 핵심 개념]

AWS KMS

AWS Key Management Service (KMS)는 AWS에서 제공하는 완전 관리형 암호화 키 관리 서비스로, 데이터를 안전하게 암호화하고 복호화하는 데 필요한 암호화 키를 생성, 관리 및 제어할 수 있는 기능을 제공합니다. AWS KMS는 다양한 AWS 서비스와 통합되어 데이터를 자동으로 암호화할 수 있으며, 고객 관리형 키(CMK)를 통해 키 사용에 대한 세밀한 제어 권한을 부여합니다.

개념

1. 고객 관리형 키(CMK)

1) 고객 관리형 키(CMK)는 사용자가 직접 생성하고 관리하는 키입니다. CMK는 KMS 콘솔, CLI, API를 통해 생성할 수 있으며, IAM(Identity and Access Management) 및 키 정책을 통해 접근 권한을 제어할 수 있습니다.

• CMK는 AWS 서비스와 통합하여 S3, EBS, RDS 등의 데이터를 암호화하는 데 사용됩니다. 예를 들어, 데이터를 유휴 상태에서 암호화할 때 CMK를 사용해 데이터를 보호할 수 있습니다.

2. AWS 관리형 키(AWS-managed CMK)

• AWS 관리형 키는 여러 AWS 서비스에서 자동으로 생성되고 관리되는 키입니다. 사용자가 직접 키를 관리하지 않으며, AWS가 자동으로 암호화 및 복호화를 처리합니다.
• S3, EBS, RDS와 같은 AWS 서비스가 기본적으로 사용하는 키로, 자동으로 데이터 보호가 가능합니다.

3. KMS 통합 서비스

• EBS, S3, RDS 등 다양한 AWS 서비스에서 KMS를 사용해 데이터를 암호화할 수 있습니다. 데이터를 저장하거나 전송할 때 자동으로 암호화되며, 복호화는 권한이 있는 사용자의 요청에 따라 자동으로 처리됩니다.
• 예시: Amazon S3에서 데이터를 저장할 때 KMS를 통해 암호화하면, 해당 데이터는 유휴 상태에서 자동으로 암호화됩니다. 복호화는 적절한 권한을 가진 사용자가 데이터를 요청할 때 자동으로 이루어집니다.

4. 데이터 암호화 방식

• 대칭 암호화: AWS KMS는 주로 대칭 암호화를 사용합니다. 대칭 암호화 방식에서는 동일한 키를 사용하여 데이터를 암호화하고 복호화합니다.
• 비대칭 암호화: AWS KMS는 비대칭 암호화도 지원하며, 공개키로 암호화하고 개인키로 복호화하는 방식입니다. 비대칭키는 서명 및 검증에도 사용됩니다.

5. KMS의 IAM 및 키 정책

• KMS는 IAM 정책과 KMS 키 정책을 통해 키에 대한 접근을 제어합니다. IAM을 통해 특정 사용자나 리소스가 어떤 키를 사용할 수 있는지를 세밀하게 관리할 수 있습니다.
• 예를 들어, 특정 EC2 인스턴스만 특정 KMS 키를 사용하여 데이터를 암호화하거나 복호화할 수 있도록 설정할 수 있습니다.

6. KMS의 보안 기능

• AWS CloudTrail과 통합되어 모든 KMS 키 사용 활동을 기록합니다. 이를 통해 감사 로그를 확인할 수 있으며, 누가 언제 키를 사용하여 데이터를 암호화하거나 복호화했는지를 추적할 수 있습니다.
• 멀티팩터 인증(MFA): KMS는 중요한 작업(예: 키 삭제 등)에 대해 MFA Delete 기능을 통해 추가 보안 계층을 적용할 수 있습니다.

7. 고객 관리형 키 스토어(Custom Key Store)

• AWS KMS는 AWS CloudHSM과 통합되어 고객 관리형 키 스토어(Custom Key Store)를 제공합니다. 이를 통해 사용자는 클라우드에서 관리되는 하드웨어 보안 모듈(HSM) 내에 키를 저장하고 제어할 수 있습니다.
• 예시: 일부 규제 환경에서는 암호화 키가 특정 HSM 장치 내에 있어야 하는 요구사항이 있을 수 있습니다. Custom Key Store를 사용하면 이러한 요구사항을 충족할 수 있습니다.

시험에서 자주 출제되는 주제

1. KMS 키 유형 이해: 고객 관리형 키(CMK), AWS 관리형 키, 그리고 비대칭 키의 차이를 알고 있어야 합니다. 특히, 대칭 키와 비대칭 키의 차이와 사용 사례가 중요합니다.

2. KMS와 AWS 서비스 통합: S3, EBS, RDS 등 주요 서비스와 KMS가 어떻게 통합되어 데이터를 보호하는지에 대한 이해가 필요합니다. 예를 들어, EBS 볼륨 생성 시 KMS 키를 사용해 암호화할 수 있는 방식에 대한 질문이 나올 수 있습니다.

3. KMS의 권한 관리: IAM 정책과 KMS 키 정책을 통해 키 사용을 제어하는 방법을 이해해야 합니다. 키에 대한 접근을 세밀하게 제어하는 방법과 이와 관련된 보안 시나리오가 자주 출제됩니다.

4. KMS 로깅 및 감사: KMS 활동을 CloudTrail을 통해 로깅하는 방식과 로그를 분석하는 방법도 출제될 수 있습니다. 누가 언제 키를 사용했는지를 추적하는 기능을 이해해야 합니다.

예시 문제

1. Amazon EBS 볼륨을 암호화된 상태로 생성하려고 합니다. 어떤 AWS 서비스를 사용하여 암호화 키를 관리할 수 있습니까?

• 정답: AWS KMS

2. KMS를 통해 데이터를 암호화하는 동안 어떤 암호화 방식이 사용됩니까?

• 정답: 대칭 암호화

3. AWS KMS와 통합된 서비스 중 하나로, 데이터를 유휴 상태에서 자동으로 암호화할 수 있는 서비스는 무엇입니까?

• 정답: Amazon S3

요약

AWS KMS는 AWS의 보안 중심 서비스로, 다양한 AWS 서비스와 통합되어 데이터 암호화를 수행합니다. KMS는 대칭 및 비대칭 암호화, 고객 및 AWS 관리형 키를 제공하며, 이를 통해 데이터 보안과 규정 준수를 쉽게 관리할 수 있습니다. 시험에서는 KMS의 키 관리, IAM 및 키 정책, AWS 서비스 통합에 대한 이해도가 중요한 주제로 출제됩니다.

AWS EBS

Amazon Elastic Block Store (EBS)는 Amazon EC2 인스턴스에 사용되는 고성능 블록 스토리지 서비스입니다. EBS는 데이터베이스, 파일 시스템, 애플리케이션 데이터 등 다양한 워크로드에 사용되며, 높은 가용성과 내구성을 제공합니다. 다양한 성능 옵션을 선택할 수 있으며, 탄력적인 크기 조정이 가능합니다.

개념

1. EBS 볼륨 유형

1) 프로비저닝된 IOPS SSD (io1, io2):

• 고성능 SSD로, 높은 입출력 작업(I/O)이 필요한 애플리케이션에 적합합니다.
• 사용 사례: 데이터베이스, I/O 집약적인 애플리케이션.
• 최대 IOPS 성능을 제공하며, 성능 요구 사항에 맞춰 IOPS를 설정할 수 있습니다.

2) 일반 목적 SSD (gp3, gp2):

• 균형 잡힌 성능과 비용 효율성을 제공하는 볼륨.
• 사용 사례: 대부분의 일반 애플리케이션, 개발 및 테스트 환경.
• gp3는 gp2에 비해 더 낮은 비용으로 성능을 사용자 지정할 수 있습니다.

3) 처리량 최적화 HDD (st1):

• 저비용 고용량 HDD로, 대규모 데이터 처리 워크로드에 적합합니다.
• 사용 사례: 빅 데이터, 로그 처리.

4) 콜드 HDD (sc1):

• 가장 저렴한 HDD로, 자주 액세스되지 않는 데이터에 적합합니다.
• 사용 사례: 자주 사용되지 않는 대용량 데이터 저장.

2. EBS 스냅샷

• 스냅샷은 Amazon S3에 저장되는 EBS 볼륨의 백업입니다. 스냅샷을 통해 데이터를 복구하거나 다른 리전으로 복제할 수 있습니다.
• 증분 스냅샷: 스냅샷은 변경된 데이터만 저장하여 비용을 절약합니다.
• 스냅샷 복원: 스냅샷을 사용해 새로운 볼륨을 생성하여 복구하거나 리전 간 복제에 사용됩니다.

3. EBS 암호화

• 유휴 상태 암호화: 데이터를 유휴 상태에서 암호화하여 보안을 강화할 수 있습니다.
• AWS Key Management Service (KMS)를 통해 암호화 키를 관리하며, AWS 관리형 키 또는 고객 관리형 키(CMK)를 사용할 수 있습니다.
• 자동 암호화: 계정 내에서 생성되는 모든 EBS 볼륨에 대해 자동으로 암호화할 수 있습니다.

4. 탄력적인 크기 조정 및 성능

• EBS 볼륨은 필요에 따라 크기와 성능(Throughput, IOPS)을 탄력적으로 조정할 수 있습니다.
• gp3와 io2 볼륨은 성능을 사용자 맞춤 설정하여 최적화할 수 있습니다.

5. EBS 볼륨 연결

• 단일 EC2 인스턴스에 연결: EBS는 하나의 EC2 인스턴스에만 연결됩니다.
• EC2 인스턴스 중지 후 유지: EC2 인스턴스가 중지되더라도 EBS 데이터는 유지됩니다.
• 멀티 AZ 환경: EBS는 한 가용 영역(AZ) 내에서만 사용되며, 스냅샷을 통해 다른 AZ로 복제할 수 있습니다.

6. 데이터 내구성 및 가용성

• EBS 볼륨은 단일 AZ 내에서 제공되며, 데이터는 자동으로 복제되어 내구성을 보장합니다.
• AWS는 EBS 내구성을 99.999%로 보장하며, 물리적 디스크 오류로부터 데이터를 보호합니다.

시험에서 자주 출제되는 주제

1. EBS 볼륨 유형 비교

• 각 볼륨 유형의 특성과 사용 사례를 이해하는 것이 중요합니다. 예를 들어, gp3는 비용 효율성과 성능을 동시에 제공하며, io2는 높은 IOPS 요구 사항에 적합합니다.
• 시험에서는 특정 상황에서 어떤 볼륨이 적합한지 묻는 문제가 출제됩니다. 예: 데이터베이스 애플리케이션에 적합한 SSD는 io1 또는 io2입니다.

2. 스냅샷과 백업 전략

• EBS 스냅샷을 통한 백업과 복구 방법, 재해 복구 전략에 대한 이해가 중요합니다.
• 스냅샷을 사용한 데이터 복구 및 리전 간 복제를 다루는 질문이 자주 출제됩니다.

3. EBS 암호화

• 유휴 상태 암호화와 KMS 키 관리를 이해해야 합니다.
• 시험에서는 암호화된 볼륨 생성 방법, 성능 영향 및 키 관리 방식에 대한 질문이 나올 수 있습니다.

4. 성능 조정 및 탄력성

• gp3 볼륨에서 성능(Throughput, IOPS)을 독립적으로 조정할 수 있는 능력에 대한 이해가 중요합니다.
• 성능을 향상시키거나 비용을 줄이기 위한 방법을 다루는 질문이 나옵니다.

5. EBS 가용성 및 내구성

• EBS가 가용 영역 내에서 제공하는 내구성, 그리고 스냅샷을 통한 다른 AZ 또는 리전으로의 데이터 복제에 대한 이해가 중요합니다.

예시 문제

1. 어떤 EBS 볼륨 유형이 자주 액세스되지 않는 데이터를 저장하는 데 가장 적합합니까?

• 정답: Cold HDD (sc1)

2. Amazon EBS에서 자동으로 데이터를 백업할 수 있는 방법은 무엇입니까?

• 정답: EBS 스냅샷

3. 고성능 IOPS가 필요한 데이터베이스 워크로드에 적합한 EBS 볼륨 유형은 무엇입니까?

• 정답: io2 (프로비저닝된 IOPS SSD)

요약

AWS EBS는 탄력적인 블록 스토리지 서비스로, 다양한 워크로드에 적합한 성능과 내구성을 제공합니다. 시험에서는 볼륨 유형, 스냅샷 및 백업, 암호화, 성능 조정 등 다양한 EBS 관련 주제들이 출제됩니다. 각 EBS 볼륨의 특성과 사용 사례를 이해하는 것이 중요하며, 이를 실제 시나리오에 어떻게 적용할 수 있는지 숙지해야 합니다.