AWS SAA_Question 13

원본

A company performs monthly maintenance on its AWS infrastructure. During these maintenance activities, the company needs to rotate the credentials for its Amazon RDS for MySQL databases across multiple AWS Regions. Which solution will meet these requirements with the LEAST operational overhead?

A. Store the credentials as secrets in AWS Secrets Manager. Use multi-Region secret replication for the required Regions. Con+gure Secrets Manager to rotate the secrets on a schedule.

 

B. Store the credentials as secrets in AWS Systems Manager by creating a secure string parameter. Use multi-Region secret replication for the required Regions. Con+gure Systems Manager to rotate the secrets on a schedule.

 

C. Store the credentials in an Amazon S3 bucket that has server-side encryption (SSE) enabled. Use Amazon EventBridge (Amazon CloudWatch Events) to invoke an AWS Lambda function to rotate the credentials.

 

D. Encrypt the credentials as secrets by using AWS Key Management Service (AWS KMS) multi-Region customer managed keys. Store the secrets in an Amazon DynamoDB global table. Use an AWS Lambda function to retrieve the secrets from DynamoDB. Use the RDS API to rotate the secrets.

 

 

번역본

한 회사가 AWS 인프라에 대해 월별 유지 관리를 수행합니다. 이러한 유지 관리 활동 중에 회사는 여러 AWS 지역에서 Amazon RDS for MySQL 데이터 베이스의 자격 증명을 순환해야 합니다. 어떤 솔루션이 가장 적은 운영 오버헤드로 이러한 요구 사항을 충족할까요?

A. 자격 증명을 AWS Secrets Manager의 비밀로 저장합니다. 필요한 리전에 다중 리전 비밀 복제를 사용합니다. Secrets Manager를 구성하여 일정에 따라 비밀을 순환합니다.

B. 보안 문자열 매개변수를 생성하여 AWS Systems Manager에서 자격 증명을 비밀로 저장합니다. 필요한 Region에 대해 다중 Region 비밀 복제를 사용합니다. Systems Manager를 구성하여 일정에 따라 비밀을 순환합니다.

C. 서버 측 암호화(SSE)가 활성화된 Amazon S3 버킷에 자격 증명을 저장합니다. Amazon EventBridge(Amazon CloudWatch Events)를 사용하여 AWS Lambda 함수를 호출하여 자격 증명을 회전합니다.

D. AWS Key Management Service(AWS KMS) 다중 지역 고객 관리 키를 사용하여 자격 증명을 비밀로 암호화합니다. Amazon DynamoDB 글로벌 테이블에 비밀을 저장합니다. AWS Lambda 함수를 사용하여 DynamoDB에서 비밀을 검색합니다. RDS API를 사용하여 비밀을 순환합니다.

 

문제 분석

회사가 매달 AWS 인프라 유지보수를 진행하는데, 그 과정에서
✅ Amazon RDS for MySQL 데이터베이스의 자격 증명(credential)을 여러 AWS 리전에서 교체(rotate)해야 함
✅ 운영 부담(Operational Overhead)이 가장 적은 방법을 찾아야 함

➡ 즉, 자동으로 RDS 데이터베이스 자격 증명을 주기적으로 교체할 수 있는 서비스가 필요하고,
➡ 여러 리전에서 쉽게 동작할 수 있어야 함.

 

A. AWS Secrets Manager를 사용하여 자동 자격 증명 교체 ✅ (정답)

• AWS Secrets Manager는 AWS에서 제공하는 보안 자격 증명 관리 서비스
• 자동으로 RDS 데이터베이스 자격 증명을 주기적으로 변경(rotate)할 수 있음.
• 멀티 리전 복제 기능이 있어서 여러 리전에서도 자격 증명을 자동으로 동기화할 수 있음.
• 따라서 운영 부담이 가장 적고, AWS에서 권장하는 방식임.

✅ 이 방식이 가장 효율적이고, 운영 부담이 적으므로 정답