Q79 — AWS DOP-C02 第1章
第 79/100 問 | ← 第1章
ある企業は、AWS CodeBuildを使用してコンテナベースのアプリケーションをデプロイしています。セキュリティチームは、保護されたエンドポイントへのデプロイ前に、対象コンテナに対して脆弱性スキャンを実施することを要求しています。また、すべての機密情報は安全に保管される必要があります。 これらの要件を満たすには、どのソリューションを使用すべきでしょうか?
- A. AWS KMSでパスワードを暗号化します。暗号化されたパスワードをbuildspec.ymlファイル内の環境変数として変数マッピング下に格納します。環境変数を参照してスキャンを起動します。
- B. パスワードをAWS CloudHSMキーにインポートします。buildspec.ymlファイル内でCloudHSMキーを変数マッピング下の環境変数として参照します。環境変数を参照してスキャンを起動します。
- C. パスワードをAWS Systems Manager Parameter Storeにセキュア文字列として保存します。Parameter Storeのキーをbuildspec.ymlファイル内のパラメータストアマッピング下の環境変数として追加します。環境変数を参照してスキャンを起動します。 ✓
- D. AWS Encryption SDKを使用してパスワードを暗号化し、secretsマッピング下の変数としてbuildspec.ymlファイルに埋め込みます。必要な復号化キーへのアクセスを有効にするポリシーをCodeBuildにアタッチします。
正解: C. パスワードをAWS Systems Manager Parameter Storeにセキュア文字列として保存します。Parameter Storeのキーをbuildspec.ymlファイル内のパラメータストアマッピング下の環境変数として追加します。環境変数を参照してスキャンを起動します。
解説
AWS Systems Manager Parameter Storeは、構成データやパスワードなどの機密情報を安全に保存および管理するために特化したサービスです。パスワードをセキュア文字列としてParameter Storeに保存し、buildspec.ymlファイル内でパラメータストアマッピング下の環境変数として参照することで、機密情報の安全な保管という要件を満たすことができます。また、脆弱性スキャン時に環境変数を参照してスキャンを起動することも可能です。選択肢Aでは、AWS KMSで暗号化したパスワードを環境変数に格納する方法は、一定のリスクを伴います。選択肢Bでは、CloudHSMキーはこのユースケースにおいて過剰な複雑さを伴います。選択肢Dでは、Encryption SDKで暗号化してbuildspec.ymlに埋め込む方法は、Parameter Storeに保存する方法ほど便利でも安全でもありません。したがって、選択肢Cが正解です。