SAA-C03 Q659 · Security

Question

보안 팀은 모든 IAM 사용자의 액세스 키를 90 일마다 갱신해야 합니다. 액세스 키가 90 일 이상 경과한 경우, 해당 키를 비활성화하고 삭제해야 합니다. 솔루션 아키텍트는 90 일 이상 경과한 키를 확인하고 처리하는 솔루션을 설계해야 합니다. 이러한 요구 사항을 충족하면서 운영 노력이 가장 적은 솔루션은 무엇입니까?

Accepted Answer

**요구사항 정리:**
1. 90일 이상 경과한 IAM 액세스 키 감지
2. 해당 키를 비활성화 및 삭제
3. **운영 노력 최소화** (Least operational effort)

**정답 C가 각 요구사항을 충족하는 흐름:**

**Step 1: AWS Config 규칙으로 키 만료 감지**
- AWS Config에는 `access-keys-rotated`라는 **AWS 관리형 규칙**이 이미 존재
- `maxAccessKeyAge` 파라미터를 90일로 설정하면, 90일 이상된 키를 자동으로 **NON_COMPLIANT**로 표시
- 별도 감지 로직을 작성할 필요가 없음 → 운영 부담 최소

**Step 2: Amazon EventBridge로 Config 규칙 위반 이벤트 포착**
- AWS Config는 규칙 평가 결과가 변경될 때 EventBridge에 이벤트를 자동 발행
- 이벤트 패턴: `"compliance-type": "NON_COMPLIANT"` 필터링 가능

**Step 3: AWS Lambda 함수로 키 비활성화/삭제**
- Lambda 함수에서 IAM API(`UpdateAccessKey`, `DeleteAccessKey`)를 호출
- 서버리스이므로 인프라 관리 불필요 → 운영 부담 최소
- 간단한 IAM API 호출은 Lambda의 15분 제한 내 충분히 처리 가능

**핵심 포인트:** AWS Config(감지) → EventBridge(이벤트 라우팅) → Lambda(조치)는 AWS에서 가장 대표적인 **자동 규정 준수(Auto-Remediation) 패턴**이다.

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

💰 비용 관점

🔒 보안 관점

🎯 시험 팁