Q76 — AWS DVA-C02 第1章
第 76/100 問 | ← 第1章
企業は、AWS上でアプリケーションをホストしています。このアプリケーションは、AWS Fargateを使用するAmazon Elastic Container Service(Amazon ECS)クラスター上で実行されています。クラスターはアプリケーションロードバランサーの後ろで動作しています。アプリケーションは、Amazon Auroraデータベースにデータを保存しています。開発者は、アプリケーション内でデータベースの認証情報を暗号化・管理しています。企業は、より安全な認証情報保管方法を採用し、定期的な認証情報ローテーションを実現したいと考えています。この要件を、運用上のオーバーヘッドを最小限に抑えつつ満たす解決策はどれですか?
- A. シークレット認証情報をAmazon RDSパラメータグループに移行します。AWS Key Management Service(AWS KMS)キーを使用してパラメータを暗号化します。認証情報ローテーションを有効にします。IAMポリシーおよびロールを使用して、AWS KMSがAmazon RDSにアクセスするための権限を付与します。
- B. 認証情報をAWS Systems Manager Parameter Storeに移行します。AWS Key Management Service(AWS KMS)キーを使用してパラメータを暗号化します。認証情報ローテーションを有効にします。IAMポリシーおよびロールを使用して、Amazon ECS FargateがAWS Secrets Managerにアクセスするための権限を付与します。
- C. 認証情報をECS Fargateの環境変数に移行します。AWS Key Management Service(AWS KMS)キーを使用して認証情報を暗号化します。認証情報ローテーションを有効にします。IAMポリシーおよびロールを使用して、Amazon ECS FargateがAWS Secrets Managerにアクセスするための権限を付与します。
- D. 認証情報をAWS Secrets Managerに移行します。AWS Key Management Service(AWS KMS)キーを使用して認証情報を暗号化します。認証情報ローテーションを有効にします。IAMポリシーおよびロールを使用して、Amazon ECS FargateがAWS Secrets Managerにアクセスするための権限を付与します。 ✓
正解: D. 認証情報をAWS Secrets Managerに移行します。AWS Key Management Service(AWS KMS)キーを使用して認証情報を暗号化します。認証情報ローテーションを有効にします。IAMポリシーおよびロールを使用して、Amazon ECS FargateがAWS Secrets Managerにアクセスするための権限を付与します。
解説
選択肢Aでは、シークレット認証情報をAmazon RDSパラメータグループに移行することを提案していますが、これはAmazon Auroraデータベースには適用されません。また、IAMポリシーとロールを用いてAWS KMSがAmazon RDSにアクセスする権限を付与する方法は、運用上の複雑さを増大させます。選択肢Bでは、認証情報をAWS Systems Manager Parameter Storeに移行することを提案していますが、これは有効な手法ではありますが、Amazon ECS Fargateとの統合はAWS Secrets Managerほど直接的ではありません。選択肢Cでは、認証情報をECS Fargateの環境変数に移行することを提案していますが、これは環境内に認証情報が露出するため、セキュリティ上不適切です。選択肢Dでは、認証情報をAWS Secrets Managerに移行することを提案しており、これはAWSが認証情報管理のために専門的に提供するサービスであり、認証情報ローテーションをサポートしています。また、Amazon ECS Fargateとの統合も比較的シンプルであり、運用上の複雑さをほとんど増加させません。