Q15 — AWS DVA-C02 第2章

第 15/100 問 | ← 第2章

ある企業がAWSクラウドで新しいアプリケーションを構築しています。同社はAWS CloudFormationテンプレートを使用して、Auto Scalingグループによるリソースの自動デプロイを実現しています。起動スクリプトには機密データが含まれています。同社は、CloudFormationと統合可能な機密データ管理の解決策を求めています。この要件を最も安全な方法で満たす解決策はどれですか?

正解: C. 機密データをAWS Systems Manager Parameter Storeのセキュア文字列パラメータとして格納します。CloudFormationテンプレートを更新し、動的参照を使用してテンプレート内の値を指定します。

解説

選択肢Cでは、機密データをAWS Systems Manager Parameter Storeのセキュア文字列パラメータとして格納することを提案しています。Parameter Storeに機密データを格納することで、集中管理が容易になり、機密データの安全な保管および取得が可能です。動的参照を使用すれば、CloudFormationテンプレート内でParameter Storeのセキュア文字列パラメータを参照でき、テンプレート内に機密データを平文で記述する必要がなくなります。他の選択肢の問題点:選択肢Aでは、CloudFormationパラメータとAWS KMSキーを使用する方法は安全ですが、AWS Systems Manager Parameter Storeが提供するセキュリティおよび利便性には劣ります。選択肢Bでは、機密データをAmazon S3バケットに格納すると、データの可用性およびアクセス制御の管理が困難になる可能性があります。選択肢Dでは、Amazon EFSを機密データの格納先として使用すると複雑さが増し、CloudFormationとの統合もParameter Storeほど直接的ではありません。