[AWS][SAA][EXAMTOPICS] Question 339

A business is in the process of deploying a data lake on Amazon Web Services (AWS). An architect of solutions must describe the encryption approach for data in transit and at rest. Amazon S3/ The following is stated in the company's security policy:

✑ Keys must be rotated every 90 days.
✑ Strict separation of duties between key users and key administrators must be implemented.
✑ Auditing key usage must be possible.

What solutions architect recommendations should be made?

• A. Server-side encryption with AWS KMS managed keys (SSE-KMS) with customer managed customer master keys (CMKs)
• B. Server-side encryption with AWS KMS managed keys (SSE-KMS) with AWS managed customer master keys (CMKs)
• C. Server-side encryption with Amazon S3 managed keys (SSE-S3) with customer managed customer master keys (CMKs)
• D. Server-side encryption with Amazon S3 managed keys (SSE-S3) with AWS managed customer master keys (CMKs)

 

한글 번역

비즈니스에서 Amazon Web Services(AWS)에 데이터 레이크를 배포하는 과정에 있습니다. 솔루션 설계자는 전송 및 저장 데이터에 대한 암호화 접근 방식을 설명해야 합니다. Amazon S3/ 회사의 보안 정책에 다음 사항이 명시되어 있습니다.

✑ 90일마다 키를 교체해야 합니다.
✑ 핵심 사용자와 핵심 관리자의 업무를 엄격하게 분리해야 합니다.
✑ 키 사용에 대한 감사가 가능해야 합니다.

어떤 솔루션 아키텍트가 권장해야 합니까?

• A. 고객 관리형 고객 마스터 키(CMK)를 사용한 AWS KMS 관리형 키(SSE-KMS)를 사용한 서버 측 암호화
• B. AWS 관리형 고객 마스터 키(CMK)를 사용한 AWS KMS 관리형 키(SSE-KMS)를 사용한 서버 측 암호화
• C. 고객 관리형 고객 마스터 키(CMK)를 사용한 Amazon S3 관리형 키(SSE-S3)를 사용한 서버 측 암호화
• D. AWS 관리형 고객 마스터 키(CMK)를 사용한 Amazon S3 관리형 키(SSE-S3)를 사용한 서버 측 암호화

 

 

 

정답

• A. Server-side encryption with AWS KMS managed keys (SSE-KMS) with customer managed customer master keys (CMKs)

 

해설

2022년 5월 AWS KMS는 AWS 관리형 키의 순환 일정을 3년(약 1,095일)에서 매년(약 365일)로 변경했습니다.

새로운 AWS 관리형 키는 생성된 후 1년이 지나면 자동으로 교체되며 그 이후에는 약 1년마다 교체됩니다.

기존 AWS 관리형 키는 가장 최근 교체 후 1년, 그 이후에는 매년 자동으로 교체됩니다.

 

문서 출처

https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

Rotating AWS KMS keys - AWS Key Management Service