A business's application makes use of AWS Lambda functions. A code examination reveals that database credentials are being kept in the source code of a Lambda function, which violates the company's security policy. To comply with security policy requirements, credentials must be safely maintained and automatically cycled on a regular basis.
What should a solutions architect propose as the MOST SECURE method of meeting these requirements?
- A. Store the password in AWS CloudHSM. Associate the Lambda function with a role that can use the key ID to retrieve the password from CloudHSM. Use CloudHSM to automatically rotate the password.
- B. Store the password in AWS Secrets Manager. Associate the Lambda function with a role that can use the secret ID to retrieve the password from Secrets Manager. Use Secrets Manager to automatically rotate the password.
- C. Store the password in AWS Key Management Service (AWS KMS). Associate the Lambda function with a role that can use the key ID to retrieve the password from AWS KMS. Use AWS KMS to automatically rotate the uploaded password.
- D. Move the database password to an environment variable that is associated with the Lambda function. Retrieve the password from the environment variable by invoking the function. Create a deployment script to automatically rotate the password.
한글 번역
비즈니스 애플리케이션은 AWS Lambda 기능을 사용합니다. 코드 검사 결과 데이터베이스 자격 증명이 Lambda 함수의 소스 코드에 보관되고 있으며 이는 회사의 보안 정책을 위반하는 것으로 나타났습니다. 보안 정책 요구 사항을 준수하려면 자격 증명을 안전하게 유지 관리하고 정기적으로 자동으로 순환해야 합니다.
솔루션 설계자는 이러한 요구 사항을 충족하는 가장 안전한 방법으로 무엇을 제안해야 합니까?
- A. AWS CloudHSM에 암호를 저장합니다. 키 ID를 사용하여 CloudHSM에서 암호를 검색할 수 있는 역할과 Lambda 함수를 연결합니다. CloudHSM을 사용하여 비밀번호를 자동으로 교체합니다.
- B. AWS Secrets Manager에 암호를 저장합니다. 보안 ID를 사용하여 Secrets Manager에서 비밀번호를 검색할 수 있는 역할과 Lambda 함수를 연결합니다. Secrets Manager를 사용하여 암호를 자동으로 교체합니다.
- C. AWS Key Management Service(AWS KMS)에 암호를 저장합니다. 키 ID를 사용하여 AWS KMS에서 암호를 검색할 수 있는 역할과 Lambda 함수를 연결합니다. AWS KMS를 사용하여 업로드된 암호를 자동으로 교체합니다.
- D. 데이터베이스 암호를 Lambda 함수와 연결된 환경 변수로 이동합니다. 함수를 호출하여 환경 변수에서 암호를 검색합니다. 암호를 자동으로 교체하는 배포 스크립트를 만듭니다.
정답
- B. Store the password in AWS Secrets Manager. Associate the Lambda function with a role that can use the secret ID to retrieve the password from Secrets Manager. Use Secrets Manager to automatically rotate the password.
해설
이 문제의 목적은 "보안 정책 요구 사항을 준수하려면 자격 증명을 안전하게 유지 관리하고 정기적으로 자동으로 순환해야 합니다."
AWS Secrets Manager의 기능
자동으로 보안 암호 교체
사용자의 개입 없이 지정한 일정에 따라 자동으로 보안 암호를 교체하도록 Secrets Manager를 구성할 수 있습니다.
교체는 AWS Lambda 함수를 사용하여 정하고 실행합니다. 이 함수는 다음과 같이 Secrets Manager에서 다음 작업을 수행하는 방법을 정의합니다.
- 새로운 버전의 보안 암호를 생성합니다.
- 보안 암호를 Secrets Manager에 저장합니다.
- 새 버전을 사용하도록 보호된 서비스를 구성합니다.
- 새 버전을 확인합니다.
- 새 버전을 프로덕션용으로 표시합니다.
스테이징 레이블을 사용하면 보안 암호의 여러 버전을 추적할 수 있습니다. 각 버전에는 스테이징 레이블이 여러 개 연결될 수 있지만, 각 스테이징 레이블은 한 가지 버전에만 연결할 수 있습니다. 예를 들어 Secrets Manager는 현재 사용 중인 보안 암호의 활성 버전에 AWSCURRENT 레이블을 지정합니다. 항상 최신 보안 암호 버전을 쿼리하도록 애플리케이션을 구성해야 합니다. 교체 프로세스에서 보안 암호의 새 버전을 생성하는 경우 테스트 및 검증이 완료될 때까지 Secrets Manager는 AWSPENDING 스테이징 레이블을 새 버전에 자동으로 추가합니다. 그런 다음에만 Secrets Manager는 새 버전에 AWSCURRENT 스테이징 레이블을 추가합니다. 애플리케이션에서 다음에 AWSCURRENT 버전을 쿼리하면 바로 새 보안 암호를 사용하기 시작합니다.
Amazon Secrets Manager에 자동으로 보안 암호 교체하는 기능이 있기 때문에 Secrets Manager를 사용해야 한다.
참조 문서
https://docs.aws.amazon.com/ko_kr/secretsmanager/latest/userguide/intro.html#features
AWS Secrets Manager란 무엇입니까? - AWS Secrets Manager
AWS Secrets Manager란 무엇입니까? 과거에는 데이터베이스에서 정보를 검색하는 사용자 지정 애플리케이션을 생성하면 일반적으로 데이터베이스에 액세스하기 위한 자격 증명(보안 암호)을 애플리
docs.aws.amazon.com
'[AWS] > AWS SAA EXAMTOPICS' 카테고리의 다른 글
| [AWS][SAA][EXAMTOPICS] Question 113 (0) | 2022.06.24 |
|---|---|
| [AWS][SAA][EXAMTOPICS] Question 112 (0) | 2022.06.24 |
| [AWS][SAA][EXAMTOPICS] Question 111 (0) | 2022.06.24 |
| [AWS][SAA][EXAMTOPICS] Question 110 (0) | 2022.06.24 |
| [AWS][SAA][EXAMTOPICS] Question 108 (0) | 2022.06.24 |
| [AWS][SAA][EXAMTOPICS] Question 107 (0) | 2022.06.24 |
| [AWS][SAA][EXAMTOPICS] Question 5 (0) | 2022.06.16 |
| [AWS][SAA][EXAMTOPICS][시험 출제] Question 4 (0) | 2022.06.16 |
댓글