Q22 — AWS SAA-C03 第1章

第 22/65 問 | ← 第1章

Q22. ある企業が最近、社内のセキュリティ基準を更新しました。今後は、すべてのAmazon S3バケットおよびAmazon Elastic Block Store(Amazon EBS)ボリュームを、社内のセキュリティ専門家が作成・定期的にローテーションするキーで暗号化する必要があります。この目標を達成するため、企業はAWSネイティブなソフトウェアベースのサービスを求めています。ソリューションアーキテクトは、どのようなソリューションを推奨すべきでしょうか?

正解: B. AWS Key Management Service(AWS KMS)とカスタマーマスターキー(CMK)を組み合わせてマスターキーマテリアルを保存し、定期的に新しいキーを作成してAWS KMS内で置き換えるルーティンを適用します。

解説

AWS Secrets Managerでは、キーの自動ローテーションがAWSによって自動的に実行されます。一方、AWS KMSでは自動ローテーション機能を有効または無効に設定でき、エンジニアが手動でローテーションを行うことも可能です。ただし、問題文では「社内のセキュリティ専門家が作成・定期的にローテーションするキー」と明記されており、これはAWS KMSのカスタマーマスターキー(CMK)の手動/スケジュールローテーション機能(またはカスタムローテーションロジック)と最も整合します。また、AWS KMSはAmazon S3およびAmazon EBSのサーバーサイド暗号化(SSE-S3、SSE-KMS、EBS暗号化)をネイティブにサポートするAWSネイティブなソフトウェアベースのサービスです。他の選択肢は、それぞれ以下のような課題があります:A(Secrets Manager)はシークレット管理向けであり、S3/EBSの暗号化キーとして直接使用できません;C(CloudHSM)はハードウェアベースのソリューションであり、問題文の「ソフトウェアベース」要件に反します;D(Parameter Store)はキーの安全な保存には適さず、S3/EBSの暗号化キーとして使用できません。