[AWS][SAA][EXAMTOPICS] Question 293

A business has multiple web servers that regularly need access to a shared Amazon RDS MySQL Multi-AZ database instance. The organization requires a safe means for web servers to connect to the database while also adhering to a security requirement that user credentials be rotated on a regular basis.

Which solution satisfies these criteria?

• A. Store the database user credentials in AWS Secrets Manager. Grant the necessary IAM permissions to allow the web servers to access AWS Secrets Manager.
• B. Store the database user credentials in AWS Systems Manager OpsCenter. Grant the necessary IAM permissions to allow the web servers to access OpsCenter.
• C. Store the database user credentials in a secure Amazon S3 bucket. Grant the necessary IAM permissions to allow the web servers to retrieve credentials and access the database.
• D. Store the database user credentials in files encrypted with AWS Key Management Service (AWS KMS) on the web server file system. The web server should be able to decrypt the files and access the database.

 

한글 번역

기업에는 공유 Amazon RDS MySQL 다중 AZ 데이터베이스 인스턴스에 정기적으로 액세스해야 하는 여러 웹 서버가 있습니다. 조직은 웹 서버가 데이터베이스에 연결할 수 있는 안전한 수단을 요구하는 동시에 사용자 자격 증명을 정기적으로 교체해야 하는 보안 요구 사항을 준수해야 합니다.

이 기준을 충족하는 솔루션은 무엇입니까?

• A. AWS Secrets Manager에 데이터베이스 사용자 자격 증명을 저장합니다. 웹 서버가 AWS Secrets Manager에 액세스할 수 있도록 필요한 IAM 권한을 부여합니다.
• B. AWS Systems Manager OpsCenter에 데이터베이스 사용자 자격 증명을 저장합니다. 웹 서버가 OpsCenter에 액세스할 수 있도록 필요한 IAM 권한을 부여합니다.
• C. 안전한 Amazon S3 버킷에 데이터베이스 사용자 자격 증명을 저장합니다. 웹 서버가 자격 증명을 검색하고 데이터베이스에 액세스할 수 있도록 필요한 IAM 권한을 부여합니다.
• D. 웹 서버 파일 시스템에서 AWS Key Management Service(AWS KMS)로 암호화된 파일에 데이터베이스 사용자 자격 증명을 저장합니다. 웹 서버는 파일을 해독하고 데이터베이스에 액세스할 수 있어야 합니다.

 

 

 

정답

• A. Store the database user credentials in AWS Secrets Manager. Grant the necessary IAM permissions to allow the web servers to access AWS Secrets Manager.

 

해설

AWS Secrets Manager란 무엇입니까?

과거에는 데이터베이스에서 정보를 검색하는 사용자 지정 애플리케이션을 생성하면 일반적으로 데이터베이스에 액세스하기 위한 자격 증명(보안 암호)을 애플리케이션에 직접 포함시켰습니다. 자격 증명을 교체할 시기가 되면 새 자격 증명을 생성하는 것보다 더 많은 작업을 해야 했습니다. 시간을 들여 새 자격 증명을 사용하도록 애플리케이션을 업데이트해야 했습니다. 그런 다음 업데이트된 애플리케이션을 배포했습니다. 자격 증명을 공유하는 애플리케이션이 여러 개 있는데 이러한 애플리케이션 중 하나를 업데이트하지 못한 경우 해당 애플리케이션에 오류가 발생합니다. 이러한 위험 때문에 많은 고객들은 정기적으로 자격 증명을 교체하지 않기로 결정하며, 이 위험 대신 다른 위험에 직면하게 됩니다.

Secrets Manager는 코드의 암호를 포함해 하드 코딩된 자격 증명을 Secrets Manager에서 프로그래밍 방식으로 보안 암호를 검색하도록 하는 API 호출로 바꿀 수 있습니다. 이렇게 하면 보안 암호가 코드에 더 이상 존재하지 않기 때문에 코드를 검사하는 누군가에 의해 보안 암호가 손상되지 않도록 방지할 수 있습니다. 또한 사용자가 지정한 일정에 따라 Secrets Manager가 자동으로 보안 암호를 교체하도록 구성할 수 있습니다. 따라서 단기 보안 암호로 장기 보안 암호를 교체할 수 있어 손상 위험이 크게 줄어듭니다.

Secrets Manager를 최대한 활용하기 위해 여러분이 이해해야 하는 용어 및 개념 목록은 AWS Secrets Manager 시작하기 섹션을 참조하세요.

 

데이터베이스의 자격증명 = Secrets Manager