Q54 — AWS DOP-C02 第2章
第 54/100 問 | ← 第2章
ある企業は、重要なドキュメントの保存にAmazon S3バケットを使用しています。同社は、一部のS3バケットが暗号化されていないことに気づきました。現在、同社のIAMユーザーは暗号化なしで新しいS3バケットを作成できます。同社は新たな要件を導入し、すべてのS3バケットが暗号化されることを義務付けました。 DevOpsエンジニアは、既存および新規のS3バケットに対してサーバーサイド暗号化(SSE)を確実に有効化するソリューションを実装する必要があります。新しいS3バケットが作成された直後に、自動的に暗号化が有効化される必要があります。デフォルトの暗号化タイプは、256ビットAES(AES-256)である必要があります。
- A. Amazon EventBridgeのスケジュールルールによって定期的に呼び出されるAWS Lambda関数を作成します。このLambda関数を、すべての既存S3バケットの暗号化ステータスをスキャンし、暗号化設定がないバケットに対してAES-256をデフォルト暗号化として設定するようにプログラミングします。
- B. s3-bucket-server-side-encryption-enabled AWS Configマネージドルールを設定・有効化します。このルールを、補正アクションとしてAWS Systems Manager Automationランブック「AWS-EnableS3BucketEncryption」を呼び出すように構成します。既存のS3バケットのコンプライアンスを保証するために、再評価プロセスを手動で実行します。 ✓
- C. Amazon EventBridgeのイベントルールによって呼び出されるAWS Lambda関数を作成します。このルールは、新規S3バケット作成イベントに一致するイベントパターンで定義されます。Lambda関数はEventBridgeイベントを解析し、S3バケットの構成を確認して、AES-256をデフォルト暗号化として設定します。
- D. s3:x-amz-server-side-encryption条件キーの値がAES-256でない場合、s3:CreateBucket操作を拒否するIAMポリシーを構成します。同社のすべてのIAMユーザーを含むIAMグループを作成し、このIAMポリシーをそのグループに関連付けます。
正解: B. s3-bucket-server-side-encryption-enabled AWS Configマネージドルールを設定・有効化します。このルールを、補正アクションとしてAWS Systems Manager Automationランブック「AWS-EnableS3BucketEncryption」を呼び出すように構成します。既存のS3バケットのコンプライアンスを保証するために、再評価プロセスを手動で実行します。
解説
s3-bucket-server-side-encryption-enabled AWS Configマネージドルールは、S3バケットの暗号化設定をチェックし、暗号化されていない場合に通知を発行します。さらに、このルールは、AWS Systems Manager Automationランブック「AWS-EnableS3BucketEncryption」を補正アクションとして呼び出すように構成することで、非コンプライアンスなS3バケットを自動修復できます。このソリューションにより、既存のすべてのS3バケットが暗号化され、IAMユーザーが作成するすべての新規S3バケットも暗号化されるようになります。また、要求されている暗号化タイプであるAES-256がデフォルトとして適用されます。