SAP-C02 Q51 · Security

Question

건강 보험 회사는 Amazon S3 버킷에 개인 식별 정보(PII)를 저장합니다. 회사는 S3 관리형 암호화 키(SSE-S3)로 서버 측 암호화를 사용하여 개체를 암호화합니다. 새로운 요구 사항에 따라 S3 버킷의 모든 현재 및 미래 개체는 회사의 보안 팀이 관리하는 키로 암호화되어야 합니다. S3 버킷에 버전 관리가 활성화되어 있지 않습니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

Accepted Answer

문제의 핵심 요구사항을 분해하면:

1️⃣ **회사 보안 팀이 관리하는 키로 암호화** → AWS KMS Customer Managed Key(CMK)를 사용한 SSE-KMS가 필요. 보안 팀이 키 정책, 키 회전, 키 비활성화를 직접 제어 가능.

2️⃣ **미래 객체 암호화 보장** → 기본 암호화를 SSE-KMS로 변경 + 암호화되지 않은 PutObject 요청을 거부하는 버킷 정책 설정으로 해결.

3️⃣ **기존 객체도 새 키로 재암호화** → S3의 기본 암호화를 변경해도 **이미 저장된 객체는 자동으로 재암호화되지 않음**. AWS CLI로 `aws s3 cp s3://bucket s3://bucket --recursive --sse aws:kms --sse-kms-key-id <key-id>` 같은 명령으로 객체를 제자리 복사(in-place copy)해야 새 키로 재암호화됨.

**B의 단계별 흐름:**
① 기본 암호화를 SSE-KMS(CMK)로 변경
② 버킷 정책으로 암호화되지 않은 PutObject 거부 (미래 보호)
③ AWS CLI로 기존 객체 모두 재업로드 (기존 보호)

→ 세 요구사항 모두 충족

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

💰 비용 관점

🔒 보안 관점

🎯 시험 팁