Q54 — AWS DOP-C02 第2章

第 54/100 問 | ← 第2章

ある企業は、重要なドキュメントの保存にAmazon S3バケットを使用しています。同社は、一部のS3バケットが暗号化されていないことに気づきました。現在、同社のIAMユーザーは暗号化なしで新しいS3バケットを作成できます。同社は新たな要件を導入し、すべてのS3バケットが暗号化されることを義務付けました。 DevOpsエンジニアは、既存および新規のS3バケットに対してサーバーサイド暗号化(SSE)を確実に有効化するソリューションを実装する必要があります。新しいS3バケットが作成された直後に、自動的に暗号化が有効化される必要があります。デフォルトの暗号化タイプは、256ビットAES(AES-256)である必要があります。

正解: B. s3-bucket-server-side-encryption-enabled AWS Configマネージドルールを設定・有効化します。このルールを、補正アクションとしてAWS Systems Manager Automationランブック「AWS-EnableS3BucketEncryption」を呼び出すように構成します。既存のS3バケットのコンプライアンスを保証するために、再評価プロセスを手動で実行します。

解説

s3-bucket-server-side-encryption-enabled AWS Configマネージドルールは、S3バケットの暗号化設定をチェックし、暗号化されていない場合に通知を発行します。さらに、このルールは、AWS Systems Manager Automationランブック「AWS-EnableS3BucketEncryption」を補正アクションとして呼び出すように構成することで、非コンプライアンスなS3バケットを自動修復できます。このソリューションにより、既存のすべてのS3バケットが暗号化され、IAMユーザーが作成するすべての新規S3バケットも暗号化されるようになります。また、要求されている暗号化タイプであるAES-256がデフォルトとして適用されます。