Q55 — AWS DEA-C01 第1章
第 55/100 問 | ← 第1章
ある会社は、機密な顧客情報を含むAmazon S3オブジェクトとして通話ログを受信します。この会社は、暗号化を用いてS3オブジェクトを保護する必要があります。また、特定の従業員のみがアクセス可能な暗号化キーを使用する必要があります。
- A. 暗号化キーを保存するためにAWS CloudHSMクラスターを使用します。Amazon S3への書き込みプロセスを構成して、CloudHSMを呼び出してオブジェクトの暗号化および復号を行います。CloudHSMクラスターへのアクセスを制限するIAMポリシーを展開します。
- B. 顧客情報を含むオブジェクトの暗号化に、カスタマー提供キーによるサーバーサイド暗号化(SSE-C)を使用します。オブジェクトを暗号化するキーへのアクセスを制限します。
- C. 顧客情報を含むオブジェクトの暗号化に、AWS KMSキーによるサーバーサイド暗号化(SSE-KMS)を使用します。オブジェクトを暗号化するKMSキーへのアクセスを制限するIAMポリシーを構成します。 ✓
- D. 顧客情報を含むオブジェクトの暗号化に、Amazon S3管理キーによるサーバーサイド暗号化(SSE-S3)を使用します。オブジェクトを暗号化するAmazon S3管理キーへのアクセスを制限するIAMポリシーを構成します。
正解: C. 顧客情報を含むオブジェクトの暗号化に、AWS KMSキーによるサーバーサイド暗号化(SSE-KMS)を使用します。オブジェクトを暗号化するKMSキーへのアクセスを制限するIAMポリシーを構成します。
解説
AWS S3の暗号化方式において、SSE-KMS(AWS KMSキーによるサーバーサイド暗号化)は、KMSサービスが暗号化キーを管理し、IAMポリシーによるきめ細かなアクセス制御をサポートします。KMSはS3とネイティブに統合されており、追加のアーキテクチャ調整やキー管理インフラを必要としません。SSE-Cはキーの配布とアクセス管理を自前で行う必要があり、複雑さが増します。SSE-S3はキーへの独立したアクセス制限が不可能です。CloudHSMはカスタム暗号化ロジックとクラスターのメンテナンスを必要とします。AWSのセキュリティベストプラクティスによれば、SSE-KMSはキー管理とアクセス制御の自動化において最適な選択であり、最小の実装コストを満たします。