Q50 — AWS DOP-C02 第1章

第 50/100 問 | ← 第1章

ある会社が AWS Key Management Service (AWS KMS) のキーと手動によるキーローテーションを活用してコンプライアンス要件を満たしています。任意のキーが 90 日以上ローテーションされていない場合、セキュリティチームは通知を受け取りたいと考えています。

正解: C. AWS Config のカスタムルールを開発し、キーが 90 日を超えた場合に Amazon Simple Notification Service (Amazon SNS) トピックへパブリッシュします。

解説

AWS Config は、リソース構成の評価および監視を可能にします。カスタムルールを開発することで、AWS KMS キーの使用期間を監視できます。キーが 90 日以上ローテーションされていない場合、ルールがトリガーされ、関連情報を Amazon Simple Notification Service (Amazon SNS) トピックへパブリッシュすることで、セキュリティチームへの通知要件を満たします。選択肢 A では、AWS KMS 自体が 90 日経過時に直接 Amazon SNS トピックへパブリッシュする機能を提供していません。選択肢 B では、EventBridge イベントによって Lambda 関数を起動し、Trusted Advisor API を呼び出すという方法は複雑であり、キーローテーションの監視には一般的ではありません。選択肢 D では、AWS Security Hub は全体的なセキュリティ状態の評価に重点を置いており、特定のキーローテーション期間の監視は主な機能ではありません。したがって、正解は選択肢 C です。