Q33 — AWS SAA-C03 第2章
第 33/65 問 | ← 第2章
Q98. ソリューションアーキテクトがアプリケーション向けに新しい Amazon CloudFront ディストリビューションを作成しています。ユーザーが送信する情報の一部は機密性が高いものです。アプリケーションは HTTPS を使用していますが、さらに追加のセキュリティ層が必要です。この機密情報は、アプリケーションスタック全体を通して保護される必要があり、そのアクセスは特定のアプリケーションのみに制限される必要があります。ソリューションアーキテクトが取るべき措置はどれですか?
- A. CloudFront サイン付き URL を設定する。
- B. CloudFront サイン付き Cookie を設定する。
- C. CloudFront のフィールドレベル暗号化プロファイルを設定する。 ✓
- D. CloudFront を設定し、オリジンプロトコルポリシー設定を「HTTPS Only」に、ビューアプロトコルポリシーを設定する。
正解: C. CloudFront のフィールドレベル暗号化プロファイルを設定する。
解説
機密情報(例:クレジットカード番号、個人識別情報など)をエンドツーエンドで保護し、アプリケーションスタック全体(特にオリジンへの転送時)で暗号化されたままにする必要がある場合、CloudFront の「フィールドレベル暗号化(Field-Level Encryption)」が最適です。これは、HTTP リクエスト内の特定のフィールド(例:フォームの特定の入力項目)を、CloudFront エッジロケーションで公開鍵を使って暗号化し、その後、オリジン(例:EC2 インスタンスや Lambda@Edge)で秘密鍵を使って復号する仕組みです。これにより、機密データはネットワーク経路やオリジンサーバー上でも暗号化された状態で保持され、アクセス制御と併せて、特定のアプリケーションのみが復号・利用可能になります。一方、サイン付き URL/Cookie は認証・認可(誰がアクセスできるか)を制御しますが、データ自体の暗号化は行いません。また、オプション D はオリジンとの通信を HTTPS に強制するものであり、ビューア(クライアント)と CloudFront 間の通信を HTTPS に制限するものではなく、また機密フィールドの暗号化も実現しません。