Q83 — AWS DVA-C02 第3章
第 83/100 問 | ← 第3章
ある会社が、一連のAWS Lambda関数としてアプリケーションを実行しています。各Lambda関数はAmazon Simple Notification Service(Amazon SNS)からデータを受信し、そのデータをAmazon Aurora DBインスタンスに書き込みます。情報セキュリティポリシーを遵守するため、同社はすべてのLambda関数が、Auroraへのアクセスに使用するセキュアな暗号化されたデータベース接続文字列を共有することを必須としています。この要件を満たす解決策はどれですか?
- A. AuroraのIAMデータベース認証を有効化して、すべてのLambda関数の安全なデータベース接続を可能にする。
- B. 資格情報を暗号化されたAmazon RDS DBインスタンス内に保存し、そこから資格情報を読み込む。
- C. 資格情報をAWS Systems Manager Parameter Store内にセキュア文字列パラメータとして保存する。 ✓
- D. Lambda環境変数を使用し、共有のAWS Key Management Service(AWS KMS)キーで暗号化する。
正解: C. 資格情報をAWS Systems Manager Parameter Store内にセキュア文字列パラメータとして保存する。
解説
選択肢Cでは、資格情報をAWS Systems Manager Parameter Store内にセキュア文字列パラメータとして保存することを提案しています。Parameter Storeは、データベース接続文字列などの機密情報の安全かつ管理可能な保存を提供します。これにより、Lambda関数はParameter Storeからセキュア文字列パラメータを読み取り、すべてのLambda関数が同一のセキュアで暗号化されたデータベース接続文字列を使用できます。他の選択肢の問題点:選択肢Aでは、IAMデータベース認証は確かに安全なデータベース接続を提供しますが、通常はデータベースユーザーIDと関連付けられ、接続文字列の直接的な保存には使用されません。選択肢Bでは、資格情報を暗号化されたAmazon RDS DBインスタンス内に保存しても、一部のセキュリティは確保されますが、インスタンスへのアクセス権限によって資格情報が危険にさらされる可能性があり、ベストプラクティスとは言えません。選択肢Dでは、Lambda環境変数と共有のAWS KMSキーによる暗号化は暗号化手段を提供しますが、機密情報の保存・管理に特化したParameter Storeほど適していません。