Q55 — AWS DEA-C01 第1章

第 55/100 問 | ← 第1章

ある会社は、機密な顧客情報を含むAmazon S3オブジェクトとして通話ログを受信します。この会社は、暗号化を用いてS3オブジェクトを保護する必要があります。また、特定の従業員のみがアクセス可能な暗号化キーを使用する必要があります。

正解: C. 顧客情報を含むオブジェクトの暗号化に、AWS KMSキーによるサーバーサイド暗号化(SSE-KMS)を使用します。オブジェクトを暗号化するKMSキーへのアクセスを制限するIAMポリシーを構成します。

解説

AWS S3の暗号化方式において、SSE-KMS(AWS KMSキーによるサーバーサイド暗号化)は、KMSサービスが暗号化キーを管理し、IAMポリシーによるきめ細かなアクセス制御をサポートします。KMSはS3とネイティブに統合されており、追加のアーキテクチャ調整やキー管理インフラを必要としません。SSE-Cはキーの配布とアクセス管理を自前で行う必要があり、複雑さが増します。SSE-S3はキーへの独立したアクセス制限が不可能です。CloudHSMはカスタム暗号化ロジックとクラスターのメンテナンスを必要とします。AWSのセキュリティベストプラクティスによれば、SSE-KMSはキー管理とアクセス制御の自動化において最適な選択であり、最小の実装コストを満たします。