Q62. AWS Certificate Manager로 외부 SSL TLS 인증서 관리하기

-

안녕하세요, AWS 자격증을 준비하시는 여러분. 오늘은 SSL/TLS 인증서 관리와 관련된 중요한 문제를 살펴보겠습니다. 이 문제를 통해 AWS Certificate Manager(ACM)의 기능과 외부 인증서 관리에 대해 자세히 알아보겠습니다.

문제 상황

Q1:
회사에서 AWS에 새로운 공개 웹 애플리케이션을 배포하고 있습니다. 애플리케이션은 ALB(Application Load Balancer) 뒤에서 실행됩니다. 애플리케이션은 외부 CA(인증 기관)에서 발급한 SSL/TLS 인증서를 사용하여 에지에서 암호화해야 합니다. 인증서가 만료되기 전에 매년 인증서를 교체해야 합니다.
솔루션 설계자는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?

<small>A company is deploying a new public web application to AWS. The application runs behind an Application Load Balancer (ALB). The application must be encrypted at the edge using an SSL/TLS certificate issued by an external certificate authority (CA). The certificate must be rotated annually before it expires.
What should a solutions architect do to meet these requirements?</small>

선택지

A. AWS Certificate Manager(ACM)를 사용하여 SSL/TLS 인증서를 발급합니다. 인증서를 ALB에 적용합니다. 관리형 갱신 기능을 사용하여 인증서를 자동으로 교체합니다.
<small>Use AWS Certificate Manager (ACM) to issue an SSL/TLS certificate. Apply the certificate to the ALB. Use the managed renewal feature to automatically rotate the certificate.</small>

B. AWS Certificate Manager(ACM)를 사용하여 SSL/TLS 인증서를 발급합니다. 인증서에서 키 자료를 가져옵니다. ALB에 인증서 적용 관리되는 갱신 기능을 사용하여 인증서를 자동으로 교체합니다.
<small>Use AWS Certificate Manager (ACM) to issue an SSL/TLS certificate. Import the key material from the certificate. Apply the certificate to the ALB. Use the managed renewal feature to automatically rotate the certificate.</small>

C. AWS Certificate Manager(ACM) 사설 인증 기관을 사용하여 루트 CA에서 SSL/TLS 인증서를 발급합니다. 인증서를 ALB에 적용합니다. 관리형 갱신 기능을 사용하여 인증서를 자동으로 교체합니다.
<small>Use AWS Certificate Manager (ACM) Private Certificate Authority to issue an SSL/TLS certificate from a root CA. Apply the certificate to the ALB. Use the managed renewal feature to automatically rotate the certificate.</small>

D. AWS Certificate Manager(ACM)를 사용하여 SSL/TLS 인증서를 가져옵니다. 인증서를 ALB에 적용합니다. Amazon EventBridge(Amazon CloudWatch Events)를 사용하여 인증서가 만료될 때 알림을 보냅니다. 인증서를 수동으로 교체합니다.
<small>Use AWS Certificate Manager (ACM) to import the SSL/TLS certificate. Apply the certificate to the ALB. Use Amazon EventBridge (Amazon CloudWatch Events) to send a notification when the certificate is nearing expiration. Manually rotate the certificate.</small>

정답 및 해설

정답은 D입니다.

<small>The correct answer is D.</small>

이 시나리오에서는 외부 CA에서 발급한 SSL/TLS 인증서를 사용해야 합니다. 따라서 AWS Certificate Manager(ACM)를 사용하여 인증서를 가져오고 관리하는 것이 가장 적절한 방법입니다.

  1. ACM을 사용하여 외부 인증서 가져오기: ACM은 외부에서 발급받은 인증서를 가져와 관리할 수 있는 기능을 제공합니다.

  2. ALB에 인증서 적용: 가져온 인증서를 Application Load Balancer에 적용하여 에지에서의 암호화를 구현합니다.

  3. EventBridge를 사용한 만료 알림: Amazon EventBridge(이전의 CloudWatch Events)를 사용하여 인증서 만료가 임박했을 때 알림을 받을 수 있습니다.

  4. 수동 인증서 교체: 외부 CA에서 발급받은 인증서는 ACM의 자동 갱신 기능을 사용할 수 없으므로, 매년 수동으로 교체해야 합니다.

이 방법을 통해 외부 인증서를 사용하면서도 AWS의 관리 도구를 활용하여 효율적으로 인증서를 관리할 수 있습니다.

<small>In this scenario, an SSL/TLS certificate issued by an external CA must be used. Therefore, the most appropriate method is to import and manage the certificate using AWS Certificate Manager (ACM).

  1. Import external certificate using ACM: ACM provides the ability to import and manage certificates issued externally.

  2. Apply certificate to ALB: Apply the imported certificate to the Application Load Balancer to implement encryption at the edge.

  3. Use EventBridge for expiration notifications: Use Amazon EventBridge (formerly CloudWatch Events) to receive notifications when the certificate is nearing expiration.

  4. Manual certificate rotation: Certificates issued by external CAs cannot use ACM's automatic renewal feature, so they must be rotated manually each year.

This method allows you to use external certificates while leveraging AWS management tools to efficiently manage your certificates.</small>

오답 설명

A. ACM에서 발급한 인증서는 외부 CA 요구사항을 충족하지 않습니다. 또한 ACM 발급 인증서에만 자동 갱신이 가능합니다.
<small>A. Certificates issued by ACM do not meet the requirement for an external CA. Also, automatic renewal is only possible for ACM-issued certificates.</small>

B. ACM에서 발급한 인증서는 외부 CA 요구사항을 충족하지 않습니다. 키 자료 가져오기는 불필요하며 자동 갱신은 불가능합니다.
<small>B. Certificates issued by ACM do not meet the external CA requirement. Importing key material is unnecessary, and automatic renewal is not possible.</small>

C. ACM 사설 CA는 외부 CA 요구사항을 충족하지 않습니다. 또한 자동 갱신은 이 경우에 적용되지 않습니다.
<small>C. ACM Private CA does not meet the external CA requirement. Also, automatic renewal does not apply in this case.</small>

결론

이 문제는 AWS에서 외부 SSL/TLS 인증서를 관리하는 방법에 대한 이해를 테스트합니다. ACM은 외부 인증서를 가져와 관리할 수 있지만, 자동 갱신은 ACM에서 직접 발급한 인증서에만 적용됩니다. 외부 인증서를 사용할 때는 만료 알림을 설정하고 수동으로 갱신하는 프로세스를 구축해야 합니다.

<small>This question tests understanding of how to manage external SSL/TLS certificates in AWS. ACM can import and manage external certificates, but automatic renewal only applies to certificates issued directly by ACM. When using external certificates, it's necessary to set up expiration notifications and establish a process for manual renewal.</small>

원본 문제 링크

댓글

댓글 쓰기

이 블로그의 인기 게시물

Anaconda-Python 환경 VSCode에서 사용하기

-
이미지
VSCode에서 Anaconda-Python 환경 구축하기 1) Anaconda 및 Visual Studio Code는 이미 설치되었다 가정  2) Command Palette (Ctrl+Shift+P) 에서 "Python:Select Interpreter"르 선택 3) Python:Select Interpreter 선택 후 아래와 같이 사용 환경을 선택한다. 3-1) 설치한 Anaconda 버전 (필자는 5.1설치)은 기본으로 선택 할 수 있으며 Anaconda Prompt(Terminal)에서 미리 만들어둔 커스텀환경(Python 3.6.1)을 선택 할 수 있다. 3-2) 아나콘다 커스텀환경설정 아나콘다 환경 구축을 위한 명령어는 다음과 같다. 새로운 환경생성 : >conda create --name 환경명 python=3.6.1 환경 활성화하기: >activate 환경명 환경 비활성화하기 : >deactive 환경명 * Activation 시 permission denied가 뜬다면, 아래와 같이 입력한다. > source Anaconda설치경로/bin/activate 환경명 현재 구축된 환경 확인 : >conda info --envs 환경 구축 후 Anaconda설치경로/envs 경로에서 생성된 환경을 확인 할 수 있다. 4)Python 윈도우 환경변수 구성 4-1)커스텀 환경을 사용하거나 Anaconda 기본환경을 사용시 설치된 python경로를 환경변수에 설정한다.  - 버전이 변경된 Python 환경사용이 경로를 용이하게 변경하기 위해 PYTHON_HOME 변수 추가  - %PYTHON_HOME%경로 Path에 추가 5) VSCode 터미널에서 Anaconda prompt 사용설정 5-1) Anaconda Prompt 설정 페이지의 바로가기 항목 중 대상에 등록...
자세한 내용 보기

Python 웹 크롤링 - Scrapy 활용 파워볼 번호 수집(파일)

-
이미지
Python 웹 크롤링 - Scrapy 활용 파워볼 번호 수집 1) scrapy 프로젝트 폴더 생성 및 gitHub 등록 1-1) vscode를 사용하여 scrapy 라이브러리를 통해 프로젝트 생성 및 git-hub에 소스 업로드 하여 관리한다.  - 위내용은 Windows Git 설치 및 GitHub 활용방법 을  통해 확인 할 수 있다. 1-2) PowerBall 프로젝트 폴더 생성 및 git bashshell 에서 git init 명령으로 로컬 Repository 생성 1-3) gitHub에 원격 Repository 생성  1-4) git remote add 명령을 통해 gitHub의 원격 Repository 등록 1-5) git pull 명령을 통해 git hub에서 원격 Repository를 새로 생성 할때 만들어지 .gitignore 파일 및 README.md 파일 다운로드 후 로컬과 동기화. 2) Scrapy 프로젝트 생성 2-1) scrapy startproject PowerBall(프로젝트명) 명령어를 통해 프로젝트를 생성한다. 2-2) git add 및 git commit 명령을 통해 프로젝트 파일 커밋, git push를 통해 원격저장소로 등록  -add, status  - commit, push 3) 크롤링 목적 및 대상확인 3-1) 크롤링 목적 : 크롤링 공부       크롤링 대상 : PowerBall 당첨번호         -  http://m.nlotto.co.kr/gameInfo.do?method=powerWinNoList&nowPage=1&searchDate=20180525&calendar=2018-05-25&sortType=num     ...
자세한 내용 보기