Q82 — AWS DOP-C02 第2章
第 82/100 問 | ← 第2章
ある企業は、AWS Key Management Service (AWS KMS) のキーと手動によるキーのローテーションを用いて、規制遵守要件を満たしています。セキュリティチームは、90 日以上ローテーションされていないキーについて通知を受け取りたいと考えています。
- A. AWS KMS を、キーが 90 日を超えた場合に Amazon Simple Notification Service (Amazon SNS) トピックへ通知を発行するように設定します。
- B. Amazon EventBridge イベントを構成し、AWS Lambda 関数を起動して AWS Trusted Advisor API を呼び出し、Amazon Simple Notification Service (Amazon SNS) トピックへ通知を発行します。
- C. AWS Config のカスタムルールを開発し、キーが 90 日を超えた場合に Amazon Simple Notification Service (Amazon SNS) トピックへ通知を発行します。 ✓
- D. AWS Security Hub を、キーが 90 日を超えた場合に Amazon Simple Notification Service (Amazon SNS) トピックへ通知を発行するように設定します。
正解: C. AWS Config のカスタムルールを開発し、キーが 90 日を超えた場合に Amazon Simple Notification Service (Amazon SNS) トピックへ通知を発行します。
解説
AWS KMS キーのローテーション監視は、AWS Config のカスタムルールを用いて実現できます。AWS Config では、リソースが特定の構成要件(例:キーの最終ローテーション日時が 90 日を超えていないか)を満たしているかを評価するカスタムルールを作成できます。このルールが非準拠を検出した場合、Amazon SNS 通知をトリガーできます。選択肢 C はこの機構を正確に説明しています。他の選択肢(A、B、D)で使用されるサービス(KMS のネイティブ通知、Trusted Advisor、Security Hub)は、このユースケースを直接サポートしておらず、追加の依存関係が必要です。正解は、AWS ドキュメントにおける AWS Config カスタムルールの適用事例に合致する選択肢 C です。