[AWS][SAA][EXAMTOPICS] Question 61 (확인)

On Amazon EC2, a corporation is operating a highly secure application that is backed up by an Amazon RDS database. All personally identifiable information (PII) must be encrypted at rest to comply with compliance standards.

Which solution should a solutions architect propose in order to achieve this need with the MINIMUM number of infrastructure changes?

• A. Deploy AWS Certificate Manager to generate certificates. Use the certificates to encrypt the database volume.
• B. Deploy AWS CloudHSM, generate encryption keys, and use the customer master key (CMK) to encrypt database volumes.
• C. Configure SSL encryption using AWS Key Management Service customer master keys (AWS KMS CMKs) to encrypt database volumes.
• D. Configure Amazon Elastic Block Store (Amazon EBS) encryption and Amazon RDS encryption with AWS Key Management Service (AWS KMS) keys to encrypt instance and database volumes.

 

한글번역

Amazon EC2에서 기업은 Amazon RDS 데이터베이스에 의해 백업되는 매우 안전한 애플리케이션을 운영하고 있습니다. 모든 개인 식별 정보(PII)는 규정 준수 표준을 준수하기 위해 저장 시 암호화되어야 합니다.

최소한의 인프라 변경으로 이러한 요구 사항을 달성하기 위해 솔루션 설계자는 어떤 솔루션을 제안해야 합니까?

• A. AWS Certificate Manager를 배포하여 인증서를 생성합니다. 인증서를 사용하여 데이터베이스 볼륨을 암호화합니다.
• B. AWS CloudHSM을 배포하고 암호화 키를 생성하고 고객 마스터 키(CMK)를 사용하여 데이터베이스 볼륨을 암호화합니다.
• C. AWS Key Management Service 고객 마스터 키(AWS KMS CMK)를 사용하여 SSL 암호화를 구성하여 데이터베이스 볼륨을 암호화합니다.
• D. 인스턴스 및 데이터베이스 볼륨을 암호화하도록 AWS Key Management Service(AWS KMS) 키로 Amazon Elastic Block Store(Amazon EBS) 암호화 및 Amazon RDS 암호화를 구성합니다.

 

 

 

정답

• D. Configure Amazon Elastic Block Store (Amazon EBS) encryption and Amazon RDS encryption with AWS Key Management Service (AWS KMS) keys to encrypt instance and database volumes.

 

해설

모든 개인 식별 정보(PII)는 규정 준수 표준을 준수하기 위해 저장 시 암호화되어야 하기 때문에 DB 뿐만 아니라 EC2  EBS 역시 암호화를 해야 한다. 

Recommended Solutions

If you’re moving an existing database to AWS, you have the following solutions for data at rest encryption. I go into more detail for each option below.

Table 1 – Encryption options

Option	Database management	Host	Encryption	Key management
1	Amazon managed	Amazon RDS	Amazon EBS	AWS KMS
2	Amazon managed	Amazon RDS	Amazon EBS	AWS KMS Custom Key Store
3	Customer managed	Amazon EC2	Amazon EBS	AWS KMS
4	Customer managed	Amazon EC2	Amazon EBS	AWS KMS Custom Key Store
5	Customer managed	Amazon EC2	Amazon EBS	LUKS
6	Customer managed	Amazon EC2	Database	Database TDE
7	Customer managed	Amazon EC2	Database	CloudHSM

 

참조 문서:

https://aws.amazon.com/ko/blogs/security/architecting-for-database-encryption-on-aws/

Architecting for database encryption on AWS | Amazon Web Services

20220911

Amazon EC2에서 기업은 Amazon RDS 데이터베이스에 의해 백업되는 매우 안전한 애플리케이션을 운영하고 있습니다. 모든 개인 식별 정보(PII)는 규정 준수 표준을 준수하기 위해 저장 시 암호화되어야 합니다.

최소한의 인프라 변경으로 이러한 요구 사항을 달성하기 위해 솔루션 설계자는 어떤 솔루션을 제안해야 합니까?

모든 개인 식별 정보(PII)는 규정 준수 표준을 준수하기 위해 저장 시 암호화되어야 하기 때문에 DB 뿐만 아니라 EC2  EBS 역시 암호화를 해야 한다. 

가장 적합한 솔루션은 D "인스턴스 및 데이터베이스 볼륨을 암호화하도록 AWS Key Management Service(AWS KMS) 키로 Amazon Elastic Block Store(Amazon EBS) 암호화 및 Amazon RDS 암호화를 구성합니다." 이다.