Q11. AWS Secrets Manager로 데이터베이스 자격 증명 관리 간소화하기

-

AWS 자격증을 준비하는 여러분, 안녕하세요. 오늘은 데이터베이스 자격 증명 관리에 관한 중요한 문제를 살펴보겠습니다. 이 문제는 실제 기업 환경에서 자주 마주치는 상황을 다루고 있어 실용적인 학습이 될 것입니다.

문제 상황

Q11:
회사에 Amazon EC2 인스턴스에서 실행되고 Amazon Aurora 데이터베이스를 사용하는 애플리케이션이 있습니다. EC2 인스턴스는 파일에 로컬로 저장된 사용자 이름과 암호를 사용하여 데이터베이스에 연결합니다. 회사는 자격 증명 관리의 운영 오버헤드를 최소화하려고 합니다.
솔루션 설계자는 이 목표를 달성하기 위해 무엇을 해야 합니까?

<small>A company has an application that runs on Amazon EC2 instances and uses an Amazon Aurora database. The EC2 instances connect to the database by using a user name and password that are stored locally in a file. The company wants to minimize the operational overhead of credential management.
What should a solutions architect do to accomplish this goal?</small>

선택지

A. AWS Secrets Manager를 사용합니다. 자동 회전을 켭니다.
<small>Use AWS Secrets Manager. Turn on automatic rotation.</small>

B. AWS Systems Manager Parameter Store를 사용합니다. 자동 회전을 켭니다.
<small>Use AWS Systems Manager Parameter Store. Turn on automatic rotation.</small>

C. AWS Key Management Service(AWS KMS) 암호화 키로 암호화된 객체를 저장할 Amazon S3 버킷을 생성합니다. 자격 증명 파일을 S3 버킷으로 마이그레이션합니다. 애플리케이션이 S3 버킷을 가리키도록 합니다.
<small>Create an Amazon S3 bucket to store objects that are encrypted with an AWS Key Management Service (AWS KMS) encryption key. Migrate the credentials file to the S3 bucket. Configure the application to point to the S3 bucket.</small>

D. 각 EC2 인스턴스에 대해 암호화된 Amazon Elastic Block Store(Amazon EBS) 볼륨을 생성합니다. 새 EBS 볼륨을 각 EC2 인스턴스에 연결합니다. 자격 증명 파일을 새 EBS 볼륨으로 마이그레이션합니다. 애플리케이션이 새 EBS 볼륨을 가리키도록 합니다.
<small>Create an encrypted Amazon Elastic Block Store (Amazon EBS) volume for each EC2 instance. Attach the new EBS volumes to each EC2 instance. Migrate the credentials file to the new EBS volumes. Configure the application to point to the new EBS volumes.</small>

정답 및 해설

정답은 A입니다.

AWS Secrets Manager는 데이터베이스 자격 증명, API 키 및 기타 보안 정보를 중앙에서 관리하고 교체할 수 있는 서비스입니다. 이 서비스를 사용하면 다음과 같은 이점을 얻을 수 있습니다:

  1. 중앙 집중식 관리: 모든 자격 증명을 한 곳에서 관리할 수 있어 운영 오버헤드가 줄어듭니다.
  2. 자동 교체: 자격 증명을 정기적으로 자동 교체하여 보안을 강화할 수 있습니다.
  3. 세분화된 액세스 제어: IAM 정책을 통해 자격 증명에 대한 액세스를 세밀하게 제어할 수 있습니다.
  4. 암호화: 저장 및 전송 중인 자격 증명이 암호화되어 보안성이 높습니다.

자동 회전 기능을 켜면 정기적으로 자격 증명이 자동으로 업데이트되어 보안이 더욱 강화됩니다.

오답 설명

B. AWS Systems Manager Parameter Store: 구성 데이터 관리에는 적합하지만, 자격 증명 관리와 자동 교체 기능이 Secrets Manager에 비해 제한적입니다.

C. S3 + KMS: 자격 증명을 안전하게 저장할 수 있지만, 자동 교체 기능이 없어 운영 오버헤드가 여전히 높습니다.

D. 암호화된 EBS 볼륨: 로컬 저장소를 사용하는 현재 방식과 크게 다르지 않아, 운영 오버헤드 감소 효과가 미미합니다.

결론

이 문제는 AWS에서 자격 증명을 안전하게 관리하는 방법을 이해하는 것이 중요함을 보여줍니다. Secrets Manager를 사용하면 자격 증명 관리의 보안성을 높이고 운영 오버헤드를 최소화할 수 있습니다. 특히 자동 교체 기능은 정기적인 보안 업데이트를 자동화하여 관리 부담을 크게 줄여줍니다.

원본 문제 링크

댓글

댓글 쓰기

이 블로그의 인기 게시물

Python 웹 크롤링 - Scrapy 활용 파워볼 번호 수집(파일)

-
이미지
Python 웹 크롤링 - Scrapy 활용 파워볼 번호 수집 1) scrapy 프로젝트 폴더 생성 및 gitHub 등록 1-1) vscode를 사용하여 scrapy 라이브러리를 통해 프로젝트 생성 및 git-hub에 소스 업로드 하여 관리한다.  - 위내용은 Windows Git 설치 및 GitHub 활용방법 을  통해 확인 할 수 있다. 1-2) PowerBall 프로젝트 폴더 생성 및 git bashshell 에서 git init 명령으로 로컬 Repository 생성 1-3) gitHub에 원격 Repository 생성  1-4) git remote add 명령을 통해 gitHub의 원격 Repository 등록 1-5) git pull 명령을 통해 git hub에서 원격 Repository를 새로 생성 할때 만들어지 .gitignore 파일 및 README.md 파일 다운로드 후 로컬과 동기화. 2) Scrapy 프로젝트 생성 2-1) scrapy startproject PowerBall(프로젝트명) 명령어를 통해 프로젝트를 생성한다. 2-2) git add 및 git commit 명령을 통해 프로젝트 파일 커밋, git push를 통해 원격저장소로 등록  -add, status  - commit, push 3) 크롤링 목적 및 대상확인 3-1) 크롤링 목적 : 크롤링 공부       크롤링 대상 : PowerBall 당첨번호         -  http://m.nlotto.co.kr/gameInfo.do?method=powerWinNoList&nowPage=1&searchDate=20180525&calendar=2018-05-25&sortType=num     ...
자세한 내용 보기

Anaconda-Python 환경 VSCode에서 사용하기

-
이미지
VSCode에서 Anaconda-Python 환경 구축하기 1) Anaconda 및 Visual Studio Code는 이미 설치되었다 가정  2) Command Palette (Ctrl+Shift+P) 에서 "Python:Select Interpreter"르 선택 3) Python:Select Interpreter 선택 후 아래와 같이 사용 환경을 선택한다. 3-1) 설치한 Anaconda 버전 (필자는 5.1설치)은 기본으로 선택 할 수 있으며 Anaconda Prompt(Terminal)에서 미리 만들어둔 커스텀환경(Python 3.6.1)을 선택 할 수 있다. 3-2) 아나콘다 커스텀환경설정 아나콘다 환경 구축을 위한 명령어는 다음과 같다. 새로운 환경생성 : >conda create --name 환경명 python=3.6.1 환경 활성화하기: >activate 환경명 환경 비활성화하기 : >deactive 환경명 * Activation 시 permission denied가 뜬다면, 아래와 같이 입력한다. > source Anaconda설치경로/bin/activate 환경명 현재 구축된 환경 확인 : >conda info --envs 환경 구축 후 Anaconda설치경로/envs 경로에서 생성된 환경을 확인 할 수 있다. 4)Python 윈도우 환경변수 구성 4-1)커스텀 환경을 사용하거나 Anaconda 기본환경을 사용시 설치된 python경로를 환경변수에 설정한다.  - 버전이 변경된 Python 환경사용이 경로를 용이하게 변경하기 위해 PYTHON_HOME 변수 추가  - %PYTHON_HOME%경로 Path에 추가 5) VSCode 터미널에서 Anaconda prompt 사용설정 5-1) Anaconda Prompt 설정 페이지의 바로가기 항목 중 대상에 등록...
자세한 내용 보기