🤔 문제
회사는 웹사이트를 AWS에 구축했으며, 웹사이트는 Amazon CloudFront를 통해 배포되고 있습니다. CloudFront는 HTTPS 통신을 지원하기 위해 AWS Certificate Manager (ACM)에 고유한 SSL/TLS 인증서를 가져와 설정했습니다. 운영자는 인증서가 만료되지 않도록, 만료일 45일 전에 알림을 받고 싶어합니다.
이 요구 사항을 충족시키기 위한 방법은 다음 중 어느 것일까요?
- ACM 옵션에서 인증서가 45일 이내에 만료될 경우, Amazon SNS를 통해 알림이 전송되도록 설정한다.
- AWS Config를 사용하여 인증서가 45일 이내에 만료될 경우 비준수 상태로 설정하는 규칙을 생성한다. 비준수 상태가 되면 Amazon SNS를 통해 알림이 전송되도록 Amazon EventBridge를 설정한다.
- AWS Systems Manager Parameter Store를 사용하여 인증서의 남은 유효 기간을 파라미터로 가져온다. 파라미터가 45일 이내일 경우 Amazon SNS를 통해 알림이 전송되도록 한다.
- AWS Trusted Advisor를 사용하여 인증서의 유효 기간을 확인 대상에 포함시킨다. 인증서가 45일 이내에 만료될 경우, Amazon SNS를 통해 알림이 전송되도록 Amazon EventBridge를 설정한다.
정답
정답. 2번
AWS Config를 사용하여 인증서가 45일 이내에 만료될 경우 비준수 상태로 설정하는 규칙을 생성한다. 비준수 상태가 되면 Amazon SNS를 통해 알림이 전송되도록 Amazon EventBridge를 설정한다.
[AWS Certificate Manager (ACM)]
ACM은 SSL/TLS 인증서를 생성 및 관리할 수 있는 관리형 서비스이다.
ACM에서 SSL/TLS 인증서(서버 인증서)를 CloudFront, Elastic Load Balancing, API Gateway 등에 적용하여 사용자와의 통신을 HTTPS로 암호화하고, 도메인(example.com 등)의 사용 권한을 확인하여 접근하는 서버가 신뢰할 수 있는 서버임을 증명한다.
ACM에서 SSL/TLS 인증서는 ACM에서 직접 발행할 수도 있으며, 사용자가 직접 발행한 인증서를 가져와 사용할 수도 있다. ACM에서 발행된 인증서는 만료되기 전에 자동으로 갱신되지만, 가져온 인증서는 사용자가 직접 갱신해야 한다.
[AWS Config]
AWS Config는 AWS 리소스의 설정을 관리하고 기록하며 평가하는 서비스이다.
AWS 리소스의 설정이 언제 변경되었는지를 기록하며, 이 변경 사항이 규칙에 부합하지 않는 경우 "비준수"로 기록된다.
[AWS Config + ACM]
AWS Config에서는 ACM에서 관리하는 인증서의 만료일을 기준으로 규칙을 생성할 수 있으며, 사용자가 지정한 일수 내에 인증서가 만료될 경우 해당 규칙이 비준수로 표시된다.
비준수로 표시된 규칙을 트리거로 Amazon EventBridge 이벤트 규칙을 생성하고, Amazon SNS를 통해 알림을 보내어 요구 사항을 충족할 수 있다.
https://repost.aws/ko/knowledge-center/acm-certificate-expiration
ACM에서 가져온 인증서가 거의 만료되면 알림 받기
AWS Certificate Manager(ACM) 인증서를 가져왔는데 만료되기 전에 인증서를 다시 가져오라는 알림을 받고 싶습니다.
repost.aws
오답
1번. ACM 옵션을 사용하여 인증서가 45일 이내에 만료될 경우 Amazon SNS로 알림을 설정하는 방법
ACM 옵션에서 인증서의 유효 기간 이벤트 관리는 가능하지만 SNS 알림을 설정할 수는 없다.
SNS 알림을 설정하려면 EventBridge의 이벤트 규칙을 생성해야 한다.
3번. AWS Systems Manager Parameter Store를 사용하여 인증서의 유효 기간 남은 일수를 파라미터로 받아오고, 파라미터가 45일 이내일 경우 Amazon SNS로 알림을 보내는 방법
Systems Manager Parameter Store는 데이터베이스 등에서 로그인 인증 정보와 같은 파라미터를 관리하는 서비스이며, ACM에서 관리하는 인증서의 유효 기간을 파라미터로 가져오는 것은 불가능하다.
4번. AWS Trusted Advisor를 사용하여 인증서의 유효 기간을 확인하고, 인증서가 45일 이내에 만료될 경우 Amazon SNS로 알림을 설정하는 방법
Trusted Advisor의 검사 항목에는 ACM에서 관리하는 인증서의 유효 기간이 포함되지 않으므로 잘못된 방법이다.
