Q15 — AWS SAA-C03 第2章

第 15/65 問 | ← 第2章

Q80. ある企業が、アプリケーション移行イニシアチブの支援を目的として、AWSマネージドサービスプロバイダー(MSP)パートナーと契約しました。ソリューションアーキテクトは、既存のAWSアカウントにあるAmazon Machine Image(AMI)を、MSPパートナーのAWSアカウントと共有する必要があります。このAMIはAmazon Elastic Block Store(Amazon EBS)によってバックアップされており、EBSボリュームスナップショットの暗号化にはカスタマーマネージドのカスタマーマスターキー(CMK)が使用されています。ソリューションアーキテクトが、MSPパートナーのAWSアカウントとAMIを共有するための最も安全な方法は何ですか?

正解: B. AMIの「Launch Permission」(起動許可)プロパティを変更し、MSPパートナーのAWSアカウントのみとAMIを共有します。さらに、CMKのキーポリシーを変更して、MSPパートナーのAWSアカウントがそのキーを使用できるようにします。

解説

AMIを他アカウントと安全に共有するには、AMI自体の起動許可(launch permissions)を明示的に設定し、関連する暗号化キー(CMK)のアクセス権も適切に付与する必要があります。選択肢Bは、AMIのlaunch permissionをMSPパートナーのアカウントに限定して共有し、同時にCMKのキーポリシーを更新して当該アカウントがそのCMKを`kms:Decrypt`および`kms:DescribeKey`などの必要な操作で使用できるよう許可しています。これは、公開(A)や不要なキー信頼(C)、あるいは複雑で信頼性の低いエクスポート/再インポート(D)といったリスクを回避した、AWS推奨の標準的な安全な共有手法です。なお、CMKのキーポリシーで他アカウントへのアクセスを許可する際は、最小権限の原則に従い、必要なアクションのみを許可することが重要です。