BLOG

[공지] Amazon DocumentDB 사용 고객, 2020년 3월 5일까지 TLS 인증서 업데이트 권장
작성일: 2020-02-18

Amazon DocumentDB (with MongoDB compatibility)을 사용하는 고객이시라면 AWS에서 TLS 인증서 변경에 대한 알림 E-메일을 받아보셨을 겁니다. Amazon DocumentDB 클러스터의 TLS 인증서는 표준 유지 관리 및 보안 모범 사례의 일부로 2020년 3월 5일 만료될 예정입니다. TLS를 사용하는 애플리케이션이 중단되는 것을 원하지 않는다면 2020년 2월 28일 까지 업데이트를 완료하시는 것을 추천 드립니다. 오늘은 만료에 관련된 내용을 설명드리며, 클러스터가 영향을 받을지 아닐지를 확인하는 법과 어떻게 클러스터 관리 및 연결 유지 작업을 진행하는 지에 대해 알려드리겠습니다.

 

현재 어떤 상황인건가요?

Amazon DocumentDB CA와 서버 인증서가 표준 유지 관리 및 보안 모범 사례의 일부로 업데이트되고 있습니다. 현재 서버 인증은 2020년 3월 5일에 만료될 예정입니다. TLS를 사용하여 Amazon DocumentDB 클러스터에 연결하는 데이터베이스 클라이언트와 어플리케이션 클라이언트 모두 TLS 인증서를 업데이트 하지 않으면 2020년 3월 5일부터 연결이 끊어질 예정입니다. Amazon DocumentDB 클러스터가 중단되지 않도록 2020년 2월 28일까지 업데이트를 완료하는 것을 권장 드립니다.

 

추가적으로 2020년 1월 14일 이후에 생성된 인스턴스 또는 Amazon DocumentDB 클러스터에는 새로운 서버 인증서가 있습니다. 해당 시점 이전에 생성된 모든 Amazon DocumentDB 클러스터 및 인스턴스에는 예전 인증서가 있을 것입니다. (서버 인증서를 업데이트 하지 않은 경우에 해당된) 기존 인증서를 사용하기 위해 새로운 인스턴스 또는 클러스터를 일시적으로 직접 되돌리려면 AWS Management Console 또는 AWS CLI를 사용하시면 됩니다. 그러나 위에서 언급한 바와 같이 모든 클러스터와 인스턴스는 2020년 3월 5일까지 새 인증서를 받을 수 있도록 업데이트해야 합니다.

 

 

자주 묻는 질문

문의를 하고 싶거나 문제가 발생할 경우 어떻게 하면 되나요?

문의 사항이나 문제가 있을 시 AWS Support 연락 주십시오..

 

내 Amazon DocumentDB 클러스터가 TLS를 사용하고 있는지의 여부는 어떻게 확인 할 수 있나요?

클러스터의 매개 변수 그룹에 대한 TLS 매개 변수 검사를 통하여 클러스터가 TLS를 사용하고 있는지 여부를 확인할 수 있습니다. TLS 매개 변수가 활성화 되어 있다면 TLS 인증서를 사용하여 클러스터에 연결한 것입니다. 자세한 내용은’Managing Amazon DocumentDB Cluster Parameter Groups’페이지를 참고 부탁 드립니다.

 

CA 서버 인증서를 업데이트 해야 하나요?

Amazon DocumentDB CA 와 서버 인증서는 표준 관리 및 보안 모범 사례의 일부로 업데이트되고 있습니다. 현재 CA와 서버 인증서는 2020년 3월 5일에 만료되는 것으로 설정되어 있습니다.

 

만약 2020년 3월 5일까지 업데이트를 하지 않으면 어떻게 되나요?

만약 TLS를 사용하여 Amazon DocumentDB 클러스터에 연결하고 있으면서 2020년 3월 5일까지 업데이트를 실시하지 않는다면, 사용하고 있는 어플리케이션에 연결된 TLS 그리고 CA 인증서는 Amazon DocumentDB 클러스터에 더 이상 실행 되지 않을 것입니다.

 

지난번 AWS는 2020년 2월 5일부터 3월 5일 사이 Amazon DocumentDB에서 자동적으로 Amazon DocumentDB 클러스터에 대한 새로운 인증서를 업데이트 한다고 알려왔습니다. 하지만 고객들의 피드백을 반영해 업데이트할 수 있는 시간을 최대한 드리기 위해 Amazon DocumentDB는 2020년 3월 5일 까지 데이터베이스 인증서를 자동으로 업데이트 하지 않습니다. 이 뜻은 2020년 3월 5일까지는 애플리케이션과 클러스터를 업데이트하지 않아도 full-time으로 사용할 수 있다는 것을 의미합니다.

 

제가 사용하는 Amazon DocumentDB 인스턴스 중에서 예전 인증서를 사용하는 것이 있는지는 어떻게 확인 할 수 있나요?

예전 서버 인증서를 사용하는 Amazon DocumentDB 인스턴스를 확인하기 위해서는 Amazon DocumentDB AWS Management Console 또는 AWS CLI를 활용할 수 있습니다. 자세한 방법은 ‘Updating Your Amazon DocumentDB TLS Certificates’를 참고해 주시기 바랍니다.

 

아래의 예시는 특정 리전의 각각의 인스턴스에 대한 “Certificate authority”를 확인하는 방법에 대한 예입니다. 예제에서 보면 알 수 있듯이 이전 “rds-ca-2015” 서버 인증서와 새로운 “rds-ca-2019”를 모두 사용하는 인스턴스를 보여줍니다. 다만 인스턴스의 범위는 지정된 리전에만 적용됩니다. 따라서 Amazone DocumentDB를 사용하는 모든 리전을 확인해 주시기 바랍니다.

 

이전 서버 인증서를 업데이트 하기 위해 유지 관리 보류 중이던 Amazon DocumentDB 클러스터를 어떻게 확인할 수 있나요?

서버 인증서 업데이트를 위해 보류 중이던 Amazon DocumentDB 클러스터를 식별하기 위해서는 Amazon DocumentDB AWS Management Console 또는 AWS CLI를 통하여 확인할 수 있습니다. 자세한 내용은 Updating Your Amazon DocumentDB TLS Certificates 을 참고 부탁 드립니다.

아래의 예시는 Amazon DocumentDB Management Console에서 보류중인 “인증서 유지 관리”의 예시 입니다. 빨간색 원으로 “8”이 표시된 것은 그 region에 유지 관리가 필요한 8개의 클러스터가 있다는 뜻을 나타냅니다. “인증서 유지관리”범위에 해당하는 region만 적용됩니다. Amazon DocumentDB를 사용하는 모든 region을 확인하십시오.

 

연결을 유지하면서 어플리케이션과 Amazon DocumentDB 클러스터를 업데이트 하려면 어떻게 해야 하나요?

다음 단계에 따라 어플리케이션의 CA 인증서 번들(Step 1) 과 클러스터 서버 인증서(Step 2)를 업데이트 하십시오. Production environments 에 변경사항을 적용하기 전에 개발 또는 environment 단계에서 테스트하는 것을 추천합니다.

단, Amazon DocumentDB 클러스터가 있는 각각의 AWS region에서 Steps 1과 2를 모두 완료해야 합니다.

 

  • Step 1: 새로운 CA 인증서를 다운받고 어플리케이션을 업데이트 하십시오.

새로운 CA 인증서를 다운로드 하고 어플리케이션을 업데이트한 뒤 새로운 CA 인증서를 사용하여 Amazon DocumentDB에 대한 TLS 연결을 생성하십시오.  https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem 에서 새로운 CA 인증서 번들을 다운로드 받을 수 있습니다.

 

다음 단계로는 새 인증서 번들을 사용할 수 있게 어플리케이션을 업데이트 하십시오. 새로운 CA 번들에는 예전 CA 인증서(rds-ca-2015-root.pem)와 새로운 CA 인증서(rds-ca-2019-root.pem)이 모두 포함되어 있습니다. 새로운 CA번들에 두 CA 인증서가 있으면 두 단계로 나누어 어플리케이션과 클러스터를 업데이 할 수 있습니다.

 

2019년 9월 1일 이후 다운받은 CA 인증서 번들은 새로운 CA 인증서 번들을 사용해야 합니다. 사용하고 있는 애플리케이션이 최신 버전의 CA 인증서 번들을 사용하고 있는 지 확인하려면 ‘How can I be sure that I’m using the newest CA bundle?’페이지를 참고해 주십시오.

만약 이미 최신 버전의 CA 인증서 번들을 사용하고 있다면, 2단계로 바로 넘어갈 수 있습니다.

 

  • Step 2: 서버 인증서 업데이트

새로운 CA 번들을 사용할 수 있도록 어플리케이션의 업데이트가 완료 되었다면, 다음 단계는 서버 인증서를 Amazon DocumentDB 클러스터에서 업데이트 하는 것입니다. 보류 중이던 유지 관리 작업을 통하여 서버 인증서를 교체하고 서버 인증서를 업데이트 하십시오.

자세한 방법은 Updating Your Amazon DocumentDB TLS Certificates.를 참고하십시오.

 

애플리케이션이 끊기지 않도록 1,2단계 모두 최대한 빨리 하는 것을 권장 하며 늦어도 2020년 3월 5일 전까지 업데이트 하는 것을 권장 드립니다.

 

만약 제가 TLS를 사용하지 않고 클러스터에 연결한 경우에도 각각의 인스턴스를 업데이트 해야 하나요?

만약 TLS를 사용하지 않고 Amazon DocumentDB 클러스터에 연결한다면, 업데이트 하지 않아도 됩니다. 정기 서버 인증서 업데이트 기능이 2020년 3월 5일에 자동으로 설정되어 클러스터의 인증서를 자동으로 업데이트  것입니다.

 

2020년 3월 5일 이후에 업데이트 해도 되나요?

만약 TLS를 사용하여 어플리케이션에 연결한다면, 데드라인은 2020년 3월 5일을 넘길 수 없습니다.

 

CA 번들에서 “RDS”는 무엇인가요?

인증서 관리와 같은 기능의 경우, Amazon DocumentDB의 Amazon Relational Database Service(Amazon RDS) 와 공유되는 운영 기술을 뜻합니다.

 

새로운 인증서는 언제 만료 되나요?

새로운 서버 인증서는 2024년 8월 22일 만료될 예정입니다.

 

새로운 서버 인증서로 업데이트 한 경우, 이전의 서버 인증서로 돌아갈 수 있나요?

네, 만약 인스턴스를 이전 버전의 서버 인증서로 바꿔야 하는 경우, 모든 인스턴스에 대해 적용하는 것이 좋습니다. 이전 서버 인증서로 바꾸는 것은 AWS Management Console 또는 AWS CLI를 통하여 할 수 있습니다.

 

이전 인증서로 바꾸는 방법에 대한 자세한 설명은Updating Your Amazon DocumentDB TLS Certificates을 참고하세요.

 

Snapshot 또는 특정 시점에서 복원하는 경우, 새 서버 인증서로 적용되나요?

만약 snapshot 또는 특정 시점에서 복원하는 경우 2020년 1월 14일 이후라면 새로운 클러스터가 새로운 서버 인증서를 적용할 것입니다.

 

TLS를 사용하여 클러스터에 연결 하지 않고 나중에 할 계획일 경우 어떻게 해야 하나요?

만약 클러스터를 2019년 11월 1일 이전에 생성한 경우 Step 1Step 2 를 참고하여 어플리케이션이 업데이트된 CA 번들을 사용하고 각각의 Amazon DocumentDB 인스턴스가 최신 버전의 서버 인증서를 사용하는지 확인 하십시오. 만약 2019년 11월 1일 이후에 클러스터를 생성했다면, 클러스터가 이미 최신 버전의 서버 인증서를 적용하고 있을 것입니다.

어플리케이션이 최신 CA 번들을 사용하는지 확인하려면  If I’m not using TLS to connect to my cluster, do I still need to update each of my instances?를 참고해 주십시오.

 

 


원문 URL: https://aws.amazon.com/ko/blogs/database/amazon-documentdb-with-mongodb-compatibility-customers-update-your-tls-certificates-by-february-5-2020/

 

** 메가존 클라우드 TechBlog는 AWS BLOG 영문 게재 글 중에서 한국 사용자들에게 유용한 정보 및 콘텐츠를 우선적으로 번역하여 내부 엔지니어 검수를 받아서, 정기적으로 개제하고 있습니다. 추가로 번역 및 게재를 희망하는 글에 대해서 관리자에게 메일 또는 SNS 페이지에 댓글을 남겨주시면, 우선적으로 번역해서 전달드리도록 하겠습니다.