SAA-C03 Q591 · Security

Question

한 회사는 데이터 암호화 키 관리에 대한 엄격한 규정을 준수해야 합니다. 회사는 자체 키를 외부에서 관리하고 AWS 키 관리 서비스(AWS KMS)로 가져옵니다. 가져온 키 자료를 관리하고 정기적으로 키 자료를 교체해야 합니다. 솔루션 아키텍트는 키를 사용하는 애플리케이션에 지장을 주지 않고 AWS KMS 로 키 자료를 가져오고 키를 교체해야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

Accepted Answer

**요구사항 정리:**
1. 외부에서 관리하는 키 자료를 AWS KMS로 가져옴 (Imported Key Material)
2. 정기적으로 키 자료를 교체해야 함
3. 키를 사용하는 애플리케이션에 지장을 주지 않아야 함

**C가 정답인 이유 (단계별):**

1️⃣ **동일한 KMS 키에 새 키 자료를 재가져오기(re-import) 가능**: AWS KMS는 동일한 CMK(Customer Master Key)에 새로운 키 자료를 다시 가져오는 것을 지원합니다. 단, 원래 가져왔던 것과 동일한 키 자료이거나, 키 자료가 만료/삭제된 후 재가져오기하는 경우입니다.

2️⃣ **만료 시간(Expiration Time) 설정**: 가져온 키 자료에 만료 시간을 설정하면, 만료 시점에 AWS KMS가 자동으로 키 자료를 삭제합니다. KMS 키 자체(메타데이터, 키 ID, ARN, 별칭)는 유지됩니다.

3️⃣ **애플리케이션 영향 없음**: 키 ID와 ARN이 변경되지 않으므로, 별칭(alias)이나 키 정책을 수정할 필요가 없습니다. 애플리케이션은 동일한 키 참조를 계속 사용합니다.

4️⃣ **복호화 호환성**: 이전 키 자료로 암호화된 데이터는 해당 키 자료가 필요하지만, AWS KMS의 imported key 교체 시 수동 교체(manual rotation) 패턴을 활용하여 별칭을 통해 전환할 수 있습니다.

**핵심 포인트**: Imported key material은 동일 KMS 키에 재가져오기가 가능하며, 만료 시간 설정으로 키 자료의 수명 주기를 관리할 수 있습니다.

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

💰 비용 관점

🔒 보안 관점

🎯 시험 팁