[AWS][SAA][EXAMTOPICS] Question 142

A business want to move a workload to AWS. The chief information security officer demands that any data stored in the cloud be encrypted at rest. The organization desires total control over the encryption key lifecycle management process.
Independent of AWS CloudTrail, the organization must be able to promptly delete key material and audit key use. The selected services should interface with other AWS storage services.

Which services adhere to these security standards?

• A. AWS CloudHSM with the CloudHSM client
• B. AWS Key Management Service (AWS KMS) with AWS CloudHSM
• C. AWS Key Management Service (AWS KMS) with an external key material origin
• D. AWS Key Management Service (AWS KMS) with AWS managed customer master keys (CMKs)

 

한글 번역

비즈니스에서 워크로드를 AWS로 이동하려고 합니다. 최고 정보 보안 책임자(CIO)는 클라우드에 저장된 모든 데이터를 미사용 시 암호화할 것을 요구합니다. 조직은 암호화 키 수명 주기 관리 프로세스를 완전히 제어하기를 원합니다.
조직은 AWS CloudTrail과 별도로 키 자료를 즉시 삭제하고 키 사용을 감사할 수 있어야 합니다. 선택한 서비스는 다른 AWS 스토리지 서비스와 인터페이스해야 합니다.

이러한 보안 표준을 준수하는 서비스는 무엇입니까?

• A. CloudHSM 클라이언트가 있는 AWS CloudHSM
• B. AWS CloudHSM을 사용한 AWS 키 관리 서비스(AWS KMS)
• C. 외부 키 구성 요소 출처가 있는 AWS Key Management Service(AWS KMS)
• D. AWS 관리형 고객 마스터 키(CMK)가 있는 AWS Key Management Service(AWS KMS)

 

 

 

정답:

• B. AWS Key Management Service (AWS KMS) with AWS CloudHSM

 

해설

AWS Key Management Service (KMS) 사용자 지정 키 스토어 기능을 사용 하여 KMS 키를 더 많이 제어할 수 있습니다. KMS 사용자 지정 키 스토어는 KMS를 AWS CloudHSM 과 통합하여 KMS의 AWS 서비스 통합을 제공하는 동시에 온프레미스 하드웨어 보안 모듈(HSM)을 사용해야 하는 규정 준수 의무를 충족할 수 있습니다. 그러나 추가 제어는 비용 증가와 성능 및 가용성에 대한 잠재적 영향과 함께 제공됩니다. 이 게시물은 이 기능이 귀하에게 가장 적합한 접근 방식인지 결정하는 데 도움이 될 것입니다.

 

참조 문서

https://aws.amazon.com/ko/blogs/security/are-kms-custom-key-stores-right-for-you/

Are KMS custom key stores right for you? | Amazon Web Services