Q35 — AWS SAA-C03 第2章
第 35/65 問 | ← 第2章
Q100. ある企業が AWS 上でオンライントランザクション処理(OLTP)ワークロードを実行しています。このワークロードでは、暗号化されていない Amazon RDS DB インスタンスが Multi-AZ 対応で稼働しており、このインスタンスから毎日データベーススナップショットが取得されています。ソリューションアーキテクトは、今後データベースおよびそのスナップショットが常に暗号化されるようにするために、どのような対応を行うべきでしょうか?
- A. 最新の DB スナップショットの暗号化済みコピーを作成し、その暗号化済みスナップショットを復元して既存の DB インスタンスを置き換えます。 ✓
- B. 新しい暗号化済みの Amazon Elastic Block Store(Amazon EBS)ボリュームを作成し、スナップショットをそこにコピーします。その後、DB インスタンスに対して暗号化を有効化します。
- C. スナップショットをコピーし、AWS Key Management Service(AWS KMS)を使用して暗号化を有効化します。その後、暗号化済みのスナップショットを既存の DB インスタンスに復元します。
- D. スナップショットを、AWS Key Management Service(AWS KMS)によって管理されるサーバー側暗号化(SSE-KMS)が有効な Amazon S3 バケットにコピーします。
正解: A. 最新の DB スナップショットの暗号化済みコピーを作成し、その暗号化済みスナップショットを復元して既存の DB インスタンスを置き換えます。
解説
Amazon RDS のスナップショットは、RDS 自体の機能として暗号化可能ですが、既存の暗号化されていないスナップショットを直接暗号化することはできません。代わりに、暗号化されていないスナップショットから暗号化済みのコピーを作成する必要があります(オプション A)。その後、その暗号化済みスナップショットを復元して新しい DB インスタンスを作成することで、暗号化された環境を確立できます。RDS では、既存の暗号化されていない DB インスタンスを直接暗号化することはできず、またスナップショットを EBS ボリュームや S3 にコピーしても、RDS の暗号化要件(KMS キーによる静止時暗号化)は満たされません。オプション C は「既存の DB インスタンスに復元」を試みていますが、これは不可能です(復元先は新規 DB インスタンスである必要があります)。したがって、正解は A です。