본문 바로가기
[AWS]/AWS SAA EXAMTOPICS

[AWS][SAA][EXAMTOPICS] Question 20 (확인)

by METAVERSE STORY 2022. 8. 29.
반응형

A business is prepared to use Amazon S3 to store sensitive data. Data must be encrypted at rest for compliance purposes. Auditing of encryption key use is required. Each year, keys must be rotated.

Which solution satisfies these parameters and is the MOST OPTIMAL in terms of operational efficiency?

  • A. Server-side encryption with customer-provided keys (SSE-C)
  • B. Server-side encryption with Amazon S3 managed keys (SSE-S3)
  • C. Server-side encryption with AWS KMS (SSE-KMS) customer master keys (CMKs) with manual rotation
  • D. Server-side encryption with AWS KMS (SSE-KMS) customer master keys (CMKs) with automatic rotation

 

한글로 번역

기업은 Amazon S3를 사용하여 민감한 데이터를 저장할 준비가 되어 있습니다. 규정 준수를 위해 데이터를 암호화해야 합니다. 암호화 키 사용에 대한 감사가 필요합니다. 매년 키를 교체해야 합니다.

어떤 솔루션이 이러한 매개변수를 충족하고 운영 효율성 측면에서 가장 최적입니까?

  • A. 고객 제공 키를 사용한 서버 측 암호화(SSE-C)
  • B. Amazon S3 관리형 키를 사용한 서버 측 암호화(SSE-S3)
  • C. 수동 교체가 있는 AWS KMS(SSE-KMS) 고객 마스터 키(CMK)를 사용한 서버 측 암호화
  • D. 자동 교체 기능이 있는 AWS KMS(SSE-KMS) 고객 마스터 키(CMK)를 사용한 서버 측 암호화

 

정답:

  • D. Server-side encryption with AWS KMS (SSE-KMS) customer master keys (CMKs) with automatic rotation

 

해설

암호화 모범 사례에 따르면 암호화 키를 광범위하게 사용하지 않는 것이 좋습니다. KMS 키에 대한 새 암호화 자료를 만들려면 새 KMS 키를 만든 다음 새 KMS 키를 사용하도록 애플리케이션 또는 별칭을 변경하면 됩니다. 또는 기존 KMS 키에 대한 자동 키 교체를 활성화할 수 있습니다.

KMS 키에 대한 자동 키 교체를 활성화하면 AWS KMS는 매년 KMS 키에 대한 새 암호화 구성 요소를 생성합니다. AWS KMS에서 암호화 구성 요소의 모든 이전 버전이 영구적으로 저장되므로 해당 KMS 키를 사용하여 암호화된 데이터를 복호화할 수 있습니다. AWS KMS에서는 KMS 키를 삭제할 때까지 교체된 키 구성 요소가 삭제되지 않습니다. Amazon CloudWatch 및 AWS CloudTrail에서 KMS 키에 대한 키 구성 요소의 교체를 추적할 수 있습니다.

교체된 KMS 키를 사용하여 데이터를 암호화하는 경우 AWS KMS는 현재 키 구성 요소를 사용합니다. 교체된 KMS 키를 사용하여 암호화 텍스트를 복호화하면 AWS KMS는 해당 데이터를 암호화하는 데 사용한 키 구성 요소의 버전을 사용합니다. 특정 버전의 키 구성 요소는 요청할 수 없습니다. AWS KMS는 적절한 키 구성 요소로 투명하게 복호화하므로 코드 변경 없이 애플리케이션과 AWS 서비스에서 교체된 KMS 키를 안전하게 사용할 수 있습니다.

그러나 자동 키 순환은 KMS 키가 보호하는 데이터에는 영향을 주지 않습니다. KMS 키에서 생성한 데이터 키를 교체하거나 KMS 키에서 보호하는 데이터를 다시 암호화하지 않으며, 손상된 데이터 키의 영향을 완화하지 않습니다.

AWS KMS는 AWS KMS에서 생성된 키 구성 요소를 사용한 대칭 암호화 KMS 키에 대해서만 자동 키 교체를 지원합니다. 고객 관리형 KMS 키의 경우 자동 교체는 선택 사항입니다. AWS KMS는 항상 AWS 관리형 KMS 키의 주요 구성 요소를 매년 교체합니다. AWS 소유 KMS 키의 교체 방식은 다양합니다.

 

참조 문서:

https://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/rotate-keys.html

 

AWS KMS keys 교체 - AWS Key Management Service

2022년 5월, AWS KMS는 AWS 관리형 키에 대한 교체 일정을 3년(약 1,095일)에서 매년(약 365일)으로 변경했습니다. 새 AWS 관리형 키는 생성된 후 1년이 지나, 그 후 대략 매년 자동으로 교체됩니다. 기존 AW

docs.aws.amazon.com

20220829

보통 AWS 시험관련해서는 AWS에서 제공하는 서비스에 대한 지문이 많이 나오며, AWS에서 제공하는 서비스가 정답인 가능성이 꽤 높다.
우선 지문에서는 암호화 키 사용에 대한 감사가 필요하며, 매년 키를 교체해야 하는데 어떤 솔루션을 적용해야 좋을지에 대한 지문이다.
선택지에서 C는 우선 수동교체라는 서비스이기 때문에, 솔루션 아키택트 입장에서는 올바른 선택지가 아니다.
또한 A의 서버 측 암호화는 키는 교체를 안하고 서버만 암호화를 하기 때문에, 매년 키를 수동으로 교체 해줘야 하는 번거로움이 있다.
B 선택지도 마찬가지로 키를 제어하는것이 아닌 S3 측 암호화이기 때문에 적합하지 않다.
그렇다면 솔루션 아키택트로서는 관리 포인트도 줄고 자동으로 키가 교체되는 D 선택지가 정답일 가능성이 크다.

반응형

댓글