Q24 — AWS AIF-C01 第3章
第 24/100 問 | ← 第3章
ある企業が、Amazon S3バケットに保存されたデータに対して単一レイヤーのオブジェクトレベルサーバーサイド暗号化を適用したいと考えています。データサイエンティストは、このデータを用いてMLモデルを訓練します。データサイエンティストは暗号化キーのローテーションを制御したいと考えています。これらの要件を最小限の運用負荷で満たすソリューションはどれですか?
- A. Amazon S3暗号化クライアントを用いたクライアントサイド暗号化
- B. AWS KMSキーを用いたサーバーサイド暗号化(SSE-KMS) ✓
- C. 顧客提供のキーを用いたサーバーサイド暗号化(SSE-C)
- D. AWS KMSキーを用いた二重レイヤーサーバーサイド暗号化(DSSE-KMS)
正解: B. AWS KMSキーを用いたサーバーサイド暗号化(SSE-KMS)
解説
Amazon S3において、単一レイヤーのオブジェクトレベルサーバーサイド暗号化を適用し、暗号化キーのローテーションを制御したい場合、AWS KMSキーを用いたサーバーサイド暗号化(SSE-KMS)が適切なソリューションです。SSE-KMSでは、AWS Key Management Service(KMS)を用いて暗号化キーの作成、ローテーション、破棄を管理できます。この方式は、データサイエンティストによる暗号化キー管理のニーズを満たすだけでなく、クライアントサイド暗号化や顧客提供のキーを用いたサーバーサイド暗号化(SSE-C)など他の暗号化方式と比較して、運用負荷を低減できます。なぜなら、AWS KMSはキー管理の利便性とセキュリティを提供し、ユーザーがキーのライフサイクルおよびセキュリティを自ら管理する必要がないからです。二重レイヤーサーバーサイド暗号化(DSSE-KMS)はAmazon S3で提供される標準的な暗号化方式ではないため、問題文の要件を満たしません。 詳細を表示