[AWS][SAA][EXAMTOPICS] Question 321

A business runs a multi-tier web application that stores data on an Amazon Aurora MySQL DB cluster. Amazon EC2 instances are used to host the application tier. The company's information technology security policies require that database credentials be encrypted and changed every 14 days.

What should a solutions architect do in order to satisfy this demand with the LEAST amount of operational work possible?

• A. Create a new AWS Key Management Service (AWS KMS) encryption key. Use AWS Secrets Manager to create a new secret that uses the KMS key with the appropriate credentials. Associate the secret with the Aurora DB cluster. Configure a custom rotation period of 14 days.
• B. Create two parameters in AWS Systems Manager Parameter Store: one for the user name as a string parameter and one that uses the SecureString type for the password. Select AWS Key Management Service (AWS KMS) encryption for the password parameter, and load these parameters in the application tier. Implement an AWS Lambda function that rotates the password every 14 days.
• C. Store a file that contains the credentials in an AWS Key Management Service (AWS KMS) encrypted Amazon Elastic File System (Amazon EFS) file system. Mount the EFS file system in all EC2 instances of the application tier. Restrict the access to the file on the file system so that the application can read the file and that only super users can modify the file. Implement an AWS Lambda function that rotates the key in Aurora every 14 days and writes new credentials into the file.
• D. Store a file that contains the credentials in an AWS Key Management Service (AWS KMS) encrypted Amazon S3 bucket that the application uses to load the credentials. Download the file to the application regularly to ensure that the correct credentials are used. Implement an AWS Lambda function that rotates the Aurora credentials every 14 days and uploads these credentials to the file in the S3 bucket.

 

한글 번역

 

비즈니스는 Amazon Aurora MySQL DB 클러스터에 데이터를 저장하는 다중 계층 웹 애플리케이션을 실행합니다. Amazon EC2 인스턴스는 애플리케이션 계층을 호스팅하는 데 사용됩니다. 회사의 정보 기술 보안 정책에 따라 데이터베이스 자격 증명을 암호화하고 14일마다 변경해야 합니다.

가능한 한 최소한의 운영 작업으로 이러한 요구를 충족시키기 위해 솔루션 설계자는 무엇을 해야 합니까?

• A. 새 AWS Key Management Service(AWS KMS) 암호화 키를 생성합니다. AWS Secrets Manager를 사용하여 적절한 자격 증명과 함께 KMS 키를 사용하는 새 암호를 생성합니다. 비밀을 Aurora DB 클러스터와 연결합니다. 14일의 사용자 지정 순환 기간을 구성합니다.
• B. AWS Systems Manager Parameter Store에서 두 개의 매개변수를 생성합니다. 하나는 문자열 매개변수로 사용자 이름을 위한 것이고 다른 하나는 암호로 SecureString 유형을 사용하는 것입니다. 암호 파라미터에 대해 AWS Key Management Service(AWS KMS) 암호화를 선택하고 애플리케이션 계층에서 이러한 파라미터를 로드합니다. 14일마다 암호를 교체하는 AWS Lambda 함수를 구현합니다.
• C. AWS Key Management Service(AWS KMS) 암호화 Amazon Elastic File System(Amazon EFS) 파일 시스템에 자격 증명이 포함된 파일을 저장합니다. 애플리케이션 계층의 모든 EC2 인스턴스에 EFS 파일 시스템을 탑재합니다. 응용 프로그램이 파일을 읽고 수퍼유저만 파일을 수정할 수 있도록 파일 시스템의 파일에 대한 액세스를 제한합니다. 14일마다 Aurora에서 키를 교체하고 새 자격 증명을 파일에 쓰는 AWS Lambda 함수를 구현합니다.
• D. 애플리케이션이 자격 증명을 로드하는 데 사용하는 AWS Key Management Service(AWS KMS) 암호화 Amazon S3 버킷에 자격 증명이 포함된 파일을 저장합니다. 파일을 정기적으로 애플리케이션에 다운로드하여 올바른 자격 증명이 사용되는지 확인하십시오. 14일마다 Aurora 자격 증명을 교체하고 이러한 자격 증명을 S3 버킷의 파일에 업로드하는 AWS Lambda 함수를 구현합니다.

 

 

 

정답

• A. Create a new AWS Key Management Service (AWS KMS) encryption key. Use AWS Secrets Manager to create a new secret that uses the KMS key with the appropriate credentials. Associate the secret with the Aurora DB cluster. Configure a custom rotation period of 14 days.

 

해설

AWS Secrets Manager를 사용하여 Oracle을 포함한 모든 Amazon RDS 데이터베이스 유형에 대한 자격 증명을 교체하는 방법

이제 AWS Secrets Manager 를 사용하여 Amazon Relational Database Service(Amazon RDS) 에서 호스팅되는 Oracle, Microsoft SQL Server 또는 MariaDB 데이터베이스에 대한 자격 증명을 자동으로 교체할 수 있습니다. 이전에 AWS Secrets Manager를 사용하여 Amazon RDS에서 호스팅되는 MySQL 데이터베이스의 자격 증명을 자동으로 교체 하는 방법을 보여드렸습니다 . 오늘 출시로 Secrets Manager를 사용하여 Amazon RDS에서 호스팅되는 모든 유형의 데이터베이스에 대한 자격 증명을 자동으로 교체할 수 있습니다.

이 게시물에서는 Secrets Manager의 주요 기능을 검토합니다 . 그러면 다음을 배우게 됩니다.

1. Amazon RDS에서 호스팅되는 Oracle 데이터베이스의 수퍼유저에 대한 데이터베이스 자격 증명을 저장하는 방법
2. 애플리케이션에서 사용하는 Oracle 데이터베이스 자격 증명을 저장하는 방법
3. 정의한 일정에 따라 두 Oracle 자격 증명을 모두 자동으로 교체하도록 Secrets Manager를 구성하는 방법

Secrets Manager의 주요 기능

AWS Secrets Manager를 사용하면 수명 주기 전반에 걸쳐 데이터베이스 자격 증명, API 키 및 기타 암호를 더 쉽게 교체, 관리 및 검색할 수 있습니다. 이 서비스의 주요 기능은 다음과 같습니다.

1. 중앙에서 비밀을 보호하고 관리 합니다. 모든 비밀을 중앙에서 저장, 확인 및 관리할 수 있습니다. 기본적으로 Secrets Manager는 사용자가 소유하고 제어하는 ​​암호화 키로 이러한 비밀을 암호화합니다. 세분화된 IAM 정책 또는 리소스 기반 정책을 사용하여 보안 암호에 대한 액세스를 제어할 수 있습니다. 또한 비밀에 태그를 지정하여 조직 전체에서 사용되는 비밀을 검색, 구성 및 액세스를 제어할 수 있습니다.
2. 비밀을 안전하게 회전 하십시오. 애플리케이션을 중단하지 않고 보안 암호를 자동으로 교체하도록 Secrets Manager를 구성할 수 있습니다. Secrets Manager는 모든 Amazon RDS 데이터베이스(MySQL, PostgreSQL, Oracle, Microsoft SQL Server, MariaDB 및 Amazon Aurora)에 대한 자격 증명 교체를 위한 내장 통합을 제공합니다. AWS Lambda 를 생성하여 사용자 지정 교체 요구 사항을 충족하도록 Secrets Manager를 확장할 수도 있습니다. 다른 유형의 비밀을 회전하는 기능입니다.
3. 안전하게 전송 하십시오. 비밀은 TLS(전송 계층 보안) 프로토콜 1.2를 통해 안전하게 전송됩니다. 또한 AWS Privatelink 에서 제공하는 Amazon Virtual Private Cloud (Amazon VPC) 엔드포인트 와 함께 Secrets Manager를 사용 하여 AWS 네트워크 내에서 이러한 통신을 유지하고 규정 준수 및 규정 요구 사항을 충족하여 공용 인터넷 연결을 제한할 수 있습니다.
4. 사용한 만큼 지불하십시오 . Secrets Manager에 저장한 암호와 이러한 암호 사용에 대한 비용을 지불합니다. 장기 계약, 라이센스 비용 또는 인프라 및 인건비가 없습니다. 예를 들어, 일반적인 프로덕션 규모의 웹 애플리케이션 은 6달러의 예상 월 청구서를 생성합니다. 이 블로그 게시물의 지침을 따르면 Secrets Manager의 예상 월간 청구액은 $1입니다. 참고: 이러한 서비스에 대해 프리 티어를 이미 사용한 경우 Amazon RDS 및 Amazon Lambda 사용에 대해 추가 요금이 발생할 수 있습니다.

이제 Secrets Manager 기능에 익숙해졌으므로 Amazon RDS에서 호스팅되는 Oracle 데이터베이스의 자격 증명을 저장하고 자동으로 교체하는 방법을 보여 드리겠습니다. 이 지침을 세 단계로 나누었습니다.

1. 1단계 : 수퍼유저 자격 증명에 대한 교체 저장 및 구성
2. 2단계 : 애플리케이션 자격 증명에 대한 교체 저장 및 구성
3. 3단계 : 프로그래밍 방식으로 Secrets Manager에서 자격 증명 검색

 

참조 문서

https://aws.amazon.com/ko/blogs/security/how-to-use-aws-secrets-manager-rotate-credentials-amazon-rds-database-types-oracle/

How to use AWS Secrets Manager to rotate credentials for all Amazon RDS database types, including Oracle | Amazon Web Services