Q13. AWS Secrets Manager로 다중 리전 데이터베이스 자격 증명 관리하기

-

AWS 자격증을 준비하는 여러분, 안녕하세요. 오늘은 AWS Secrets Manager를 활용하여 여러 리전에 걸친 데이터베이스 자격 증명을 효율적으로 관리하는 방법에 대해 알아보겠습니다. 이는 AWS Certified Solutions Architect - Associate 자격증 시험에서 자주 다루는 중요한 주제입니다.

문제 상황

Q13:
회사는 AWS 인프라에 대한 월별 유지 관리를 수행합니다. 이러한 유지 관리 활동 중에 회사는 여러 AWS 리전에서 MySQL용 Amazon RDS 데이터베이스에 대한 자격 증명을 교체해야 합니다.
최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

<small>A company performs monthly maintenance on its AWS infrastructure. During these maintenance activities, the company needs to rotate credentials for Amazon RDS databases for MySQL across multiple AWS Regions.
What solution will meet these requirements with the LEAST operational overhead?</small>

선택지

A. 자격 증명을 AWS Secrets Manager에 암호로 저장합니다. 필요한 리전에 대해 다중 리전 비밀 복제를 사용합니다. 일정에 따라 보안 암호를 교체하도록 Secrets Manager를 구성합니다.
<small>Store the credentials as secrets in AWS Secrets Manager. Use multi-Region secret replication for the required Regions. Configure Secrets Manager to rotate the secrets on a schedule.</small>

B. 보안 문자열 파라미터를 생성하여 AWS Systems Manager에 자격 증명을 보안 암호로 저장합니다. 필요한 리전에 대해 다중 리전 비밀 복제를 사용합니다. 일정에 따라 암호를 교체하도록 Systems Manager를 구성합니다.
<small>Store the credentials as secrets in AWS Systems Manager by creating SecureString parameters. Use multi-Region secret replication for the required Regions. Configure Systems Manager to rotate the secrets on a schedule.</small>

C. 서버 측 암호화(SSE)가 활성화된 Amazon S3 버킷에 자격 증명을 저장합니다. Amazon EventBridge(Amazon CloudWatch Events)를 사용하여 AWS Lambda 함수를 호출하여 자격 증명을 교체합니다.
<small>Store the credentials in an Amazon S3 bucket that has server-side encryption (SSE) enabled. Use Amazon EventBridge (Amazon CloudWatch Events) to invoke an AWS Lambda function to rotate the credentials.</small>

D. AWS Key Management Service(AWS KMS) 다중 리전 고객 관리형 키를 사용하여 자격 증명을 비밀로 암호화합니다. Amazon DynamoDB 전역 테이블에 암호를 저장합니다. AWS Lambda 함수를 사용하여 DynamoDB에서 암호를 검색합니다. RDS API를 사용하여 비밀을 교체합니다.
<small>Encrypt the credentials as secrets by using an AWS Key Management Service (AWS KMS) multi-Region customer managed key. Store the secrets in an Amazon DynamoDB global table. Use an AWS Lambda function to retrieve the secrets from DynamoDB. Use the RDS API to rotate the secrets.</small>

정답 및 해설

정답은 A입니다.

AWS Secrets Manager는 데이터베이스 자격 증명, API 키 및 기타 비밀을 안전하게 저장, 검색, 관리 및 교체할 수 있는 서비스입니다. 이 솔루션은 다음과 같은 이유로 가장 적합합니다:

  1. 다중 리전 복제: Secrets Manager는 여러 AWS 리전에 걸쳐 비밀을 쉽게 복제할 수 있습니다. 이는 글로벌 애플리케이션에 필수적입니다.

  2. 자동 교체: Secrets Manager는 일정에 따라 자동으로 비밀을 교체할 수 있습니다. 이는 보안을 강화하고 운영 오버헤드를 최소화합니다.

  3. RDS 통합: Secrets Manager는 Amazon RDS와 긴밀하게 통합되어 있어, RDS 데이터베이스 자격 증명을 쉽게 관리할 수 있습니다.

  4. 최소한의 운영 오버헤드: 다른 옵션들에 비해 Secrets Manager는 설정과 관리가 간단하며, 자동화된 기능을 제공합니다.

오답 설명

B. AWS Systems Manager: 파라미터 저장소는 비밀 관리에 사용될 수 있지만, Secrets Manager만큼 자동화된 교체 기능을 제공하지 않습니다.

C. S3 + Lambda: 이 방법은 복잡하고 사용자 정의 코드가 필요하며, 자동 교체 기능이 내장되어 있지 않습니다.

D. KMS + DynamoDB + Lambda: 이 접근 방식은 너무 복잡하고 여러 서비스를 조합해야 하므로 운영 오버헤드가 높습니다.

결론

이 문제는 AWS의 보안 관리 서비스와 다중 리전 애플리케이션 설계에 대한 이해를 테스트합니다. AWS Secrets Manager를 사용하면 복잡한 인프라에서도 자격 증명을 효율적으로 관리하고 교체할 수 있습니다. 이는 보안 강화와 운영 효율성 향상에 크게 기여합니다.

원본 문제 링크

댓글

댓글 쓰기

이 블로그의 인기 게시물

Python 웹 크롤링 - Scrapy 활용 파워볼 번호 수집(파일)

-
이미지
Python 웹 크롤링 - Scrapy 활용 파워볼 번호 수집 1) scrapy 프로젝트 폴더 생성 및 gitHub 등록 1-1) vscode를 사용하여 scrapy 라이브러리를 통해 프로젝트 생성 및 git-hub에 소스 업로드 하여 관리한다.  - 위내용은 Windows Git 설치 및 GitHub 활용방법 을  통해 확인 할 수 있다. 1-2) PowerBall 프로젝트 폴더 생성 및 git bashshell 에서 git init 명령으로 로컬 Repository 생성 1-3) gitHub에 원격 Repository 생성  1-4) git remote add 명령을 통해 gitHub의 원격 Repository 등록 1-5) git pull 명령을 통해 git hub에서 원격 Repository를 새로 생성 할때 만들어지 .gitignore 파일 및 README.md 파일 다운로드 후 로컬과 동기화. 2) Scrapy 프로젝트 생성 2-1) scrapy startproject PowerBall(프로젝트명) 명령어를 통해 프로젝트를 생성한다. 2-2) git add 및 git commit 명령을 통해 프로젝트 파일 커밋, git push를 통해 원격저장소로 등록  -add, status  - commit, push 3) 크롤링 목적 및 대상확인 3-1) 크롤링 목적 : 크롤링 공부       크롤링 대상 : PowerBall 당첨번호         -  http://m.nlotto.co.kr/gameInfo.do?method=powerWinNoList&nowPage=1&searchDate=20180525&calendar=2018-05-25&sortType=num     ...
자세한 내용 보기

Anaconda-Python 환경 VSCode에서 사용하기

-
이미지
VSCode에서 Anaconda-Python 환경 구축하기 1) Anaconda 및 Visual Studio Code는 이미 설치되었다 가정  2) Command Palette (Ctrl+Shift+P) 에서 "Python:Select Interpreter"르 선택 3) Python:Select Interpreter 선택 후 아래와 같이 사용 환경을 선택한다. 3-1) 설치한 Anaconda 버전 (필자는 5.1설치)은 기본으로 선택 할 수 있으며 Anaconda Prompt(Terminal)에서 미리 만들어둔 커스텀환경(Python 3.6.1)을 선택 할 수 있다. 3-2) 아나콘다 커스텀환경설정 아나콘다 환경 구축을 위한 명령어는 다음과 같다. 새로운 환경생성 : >conda create --name 환경명 python=3.6.1 환경 활성화하기: >activate 환경명 환경 비활성화하기 : >deactive 환경명 * Activation 시 permission denied가 뜬다면, 아래와 같이 입력한다. > source Anaconda설치경로/bin/activate 환경명 현재 구축된 환경 확인 : >conda info --envs 환경 구축 후 Anaconda설치경로/envs 경로에서 생성된 환경을 확인 할 수 있다. 4)Python 윈도우 환경변수 구성 4-1)커스텀 환경을 사용하거나 Anaconda 기본환경을 사용시 설치된 python경로를 환경변수에 설정한다.  - 버전이 변경된 Python 환경사용이 경로를 용이하게 변경하기 위해 PYTHON_HOME 변수 추가  - %PYTHON_HOME%경로 Path에 추가 5) VSCode 터미널에서 Anaconda prompt 사용설정 5-1) Anaconda Prompt 설정 페이지의 바로가기 항목 중 대상에 등록...
자세한 내용 보기