Q18 — AWS DVA-C02 第2章
第 18/100 問 | ← 第2章
ある企業は、デフォルト設定でドキュメントをAmazon S3に保存しています。新たな規制要件により、静的ドキュメントを暗号化し、暗号化キーを年1回ローテーションし、ローテーションの日時を記録する必要があります。同社は、AWS外での暗号化キー管理を希望していません。この要件を満たす解決策はどれですか?
- A. Amazon S3管理の暗号化キー(SSE-S3)を使用したサーバーサイド暗号化。
- B. AWS KMS管理の暗号化キー(SSE-KMS)を使用したサーバーサイド暗号化。 ✓
- C. 顧客提供の暗号化キー(SSE-C)を使用したサーバーサイド暗号化。
- D. データをAmazon S3に送信する前にクライアント側で暗号化します。
正解: B. AWS KMS管理の暗号化キー(SSE-KMS)を使用したサーバーサイド暗号化。
解説
AWS KMSキーを使用したサーバーサイド暗号化(SSE-KMS)は、SSE-S3と類似していますが、追加のメリットと費用が発生します。KMSキーを使用することで、個別の権限が適用され、Amazon S3内のオブジェクトへの不正アクセスを防ぐ追加の保護が提供されます。さらに、SSE-KMSは、KMSキーがいつ・誰によって使用されたかを示す監査ログを提供します。また、お客様が管理するカスタマーマネージドキーを作成・管理したり、お客様・サービス・リージョン固有のAWSマネージドキーを使用したりできます。