AWS-SAA-V18.35 - 13번

[문제 13]

질문: 회사는 AWS 인프라에 대한 월별 유지 관리를 수행합니다. 이러한 유지 관리 활동 중에 회사는 여러 AWS 리전에서 MySQL 용 Amazon RDS 데이터베이스에 대한 자격 증명을 교체해야 합니다. 최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

A. 자격 증명을 AWS Secrets Manager에 암호로 저장합니다. 필요한 리전에 대해 다중 리전 비밀 복제를 사용합니다. 일정에 따라 보안 암호를 교체하도록 Secrets Manager를 구성합니다.

B. 보안 문자열 파라미터를 생성하여 AWS Systems Manager에 자격 증명을 보안 암호로 저장합니다. 필요한 리전에 대해 다중 리전 비밀 복제를 사용합니다. 일정에 따라 암호를 교체하도록 Systems Manager를 구성합니다.

C. 서버 측 암호화(SSE)가 활성화된 Amazon S3 버킷에 자격 증명을 저장합니다. Amazon EventBridge(Amazon CloudWatch Events)를 사용하여 AWS Lambda 함수를 호출하여 자격 증명을 교체합니다.

D. AWS Key Management Service(AWS KMS) 다중 리전 고객 관리형 키를 사용하여 자격 증명을 비밀로 암호화합니다. Amazon DynamoDB 전역 테이블에 암호를 저장합니다. AWS Lambda 함수를 사용하여 DynamoDB에서 암호를 검색합니다. RDS API를 사용하여 비밀을 교체합니다.

[문제 분석]

이 문제는 여러 리전에 걸쳐 MySQL RDS 자격 증명을 주기적으로 교체하는 작업을 자동화해야 합니다. 이 과정에서 운영 오버헤드를 최소화하는 것이 목표입니다. 따라서 자격 증명을 자동으로 관리하고 교체할 수 있는 솔루션이 필요합니다. 다중 리전 복제 및 자동 회전 기능을 지원하는 서비스가 가장 적합합니다.

[각 보기 분석]

A: AWS Secrets Manager 사용 + 다중 리전 비밀 복제
- 설명: AWS Secrets Manager는 자동 회전과 다중 리전 비밀 복제를 지원하여, 여러 리전에서 자격 증명을 쉽게 관리할 수 있습니다. 이를 통해 자격 증명의 자동 교체를 설정하고 복잡성을 줄일 수 있습니다.
- 적합성: 가장 적합한 솔루션으로, 운영 오버헤드를 최소화하면서 자동화된 자격 증명 관리가 가능합니다.

B: AWS Systems Manager Parameter Store 사용 + 다중 리전 복제
- 설명: Systems Manager Parameter Store는 일부 비밀 정보를 저장할 수 있지만, 자동 자격 증명 교체 기능이 없습니다. 이는 자격 증명 관리의 주요 요구 사항을 충족하지 못합니다.
- 부적합: 자동 교체 기능이 없으므로 요구 사항에 적합하지 않습니다.

C: Amazon S3에 자격 증명 저장 + Lambda를 통한 자격 증명 교체
- 설명: 자격 증명을 S3에 저장하고 Lambda 함수를 사용하여 자격 증명을 교체하는 방법은 너무 복잡하며, S3는 자격 증명 관리에 적합하지 않은 서비스입니다.
- 부적합: 보안 및 자동화 요구 사항을 충족하지 못합니다.

D: KMS와 DynamoDB를 사용한 자격 증명 관리
- 설명: KMS와 DynamoDB를 사용한 자격 증명 저장 및 교체는 너무 복잡하며, 운영 오버헤드가 큽니다.
- 부적합: 요구 사항에 비해 불필요하게 복잡하며 적절하지 않습니다.

[정답 분석]

정답: A. AWS Secrets Manager는 자격 증명을 자동 회전하고, 다중 리전 복제를 지원하여 여러 리전에서 자격 증명을 효율적으로 관리하고 교체할 수 있습니다. 운영 오버헤드를 최소화할 수 있는 최적의 솔루션입니다.

[서비스 및 관련 옵션]

1. AWS Secrets Manager: 자격 증명 및 보안 정보를 안전하게 저장하고, 자동 회전과 다중 리전 복제 기능을 지원하는 관리형 서비스.
2. AWS Systems Manager Parameter Store: 비밀 정보를 저장할 수 있지만, 자동 자격 증명 교체 기능이 부족함.
3. AWS Key Management Service (KMS): 데이터 암호화를 위한 관리형 서비스로, 자격 증명 관리에는 복잡하고 적합하지 않음.

[도메인]

도메인 3: 보안 및 규정 준수
- 자격 증명 관리 및 자동 회전을 통한 보안성과 운영 오버헤드 감소

[시험에서 주로 출제되는 핵심 개념]

1. AWS Secrets Manager: 자격 증명을 안전하게 저장하고 자동 회전 및 다중 리전 복제 기능을 제공하여 자격 증명 관리의 복잡성을 줄이는 방법
2. 자동화된 자격 증명 관리: 자격 증명을 주기적으로 갱신하고 여러 리전에 복제하여 효율적인 관리

[모르는 용어]

다중 리전 비밀 복제란, AWS Secrets Manager에서 비밀(예: 데이터베이스 자격 증명, API 키 등)을 여러 AWS 리전에 걸쳐 자동으로 복제하는 기능입니다. 이를 통해 특정 리전에서 생성된 비밀을 다른 리전에도 동일하게 동기화할 수 있으며, 이를 사용해 여러 리전에서 동일한 비밀에 안전하게 접근할 수 있습니다.

주요 특징:

1. 비밀의 동기화: 하나의 리전에서 비밀을 생성한 후, 이를 다른 리전으로 복제할 수 있습니다. 원본 비밀이 변경되면 복제된 비밀도 자동으로 업데이트되어 동기화됩니다.

2. 비용 절감: 비밀을 각 리전에 별도로 생성하는 대신, 원본 비밀을 복제하여 사용하면 운영 복잡성을 줄이고 비용을 절감할 수 있습니다.

3. 재해 복구: 하나의 리전에서 문제가 발생할 경우, 복제된 비밀을 다른 리전에서 사용하여 애플리케이션을 계속 운영할 수 있어 재해 복구에도 유리합니다.

4. 자동 회전: 원본 비밀이 자동 회전(credential rotation) 설정이 되어 있으면, 복제된 비밀도 동일하게 회전됩니다. 이를 통해 모든 리전에서 최신 자격 증명을 사용할 수 있습니다.

사용 사례:

- 글로벌 애플리케이션: 여러 리전에 걸쳐 배포된 애플리케이션에서 동일한 자격 증명을 사용하여 데이터베이스나 서비스에 접근할 때.
- 재해 복구 전략: 한 리전이 장애가 발생했을 때, 다른 리전에서 동일한 자격 증명을 사용할 수 있도록 비밀을 미리 복제하여 가용성을 보장.

요약:

다중 리전 비밀 복제는 Secrets Manager에서 비밀을 여러 리전으로 자동 복제하여, 운영 오버헤드를 줄이고, 리전 간의 일관된 자격 증명 관리를 가능하게 해주는 기능입니다.