Q48 — AWS SAA-C03 第2章
第 48/65 問 | ← 第2章
Q113. ある会社には、共通の Amazon RDS MySQL Multi-AZ DB インスタンスに頻繁にアクセスする必要がある複数の Web サーバーがあります。この会社は、Web サーバーがデータベースに安全に接続できる方法を求めており、さらにユーザー認証情報の頻繁なローテーションというセキュリティ要件も満たす必要があります。これらの要件を満たす解決策はどれですか?
- A. データベースユーザーの認証情報を AWS Secrets Manager に保存します。Web サーバーが AWS Secrets Manager にアクセスできるよう、必要な IAM 権限を付与します。 ✓
- B. データベースユーザーの認証情報を AWS Systems Manager OpsCenter に保存します。Web サーバーが OpsCenter にアクセスできるよう、必要な IAM 権限を付与します。
- C. データベースユーザーの認証情報を、安全な Amazon S3 バケットに保存します。Web サーバーが認証情報を取得してデータベースにアクセスできるよう、必要な IAM 権限を付与します。
- D. データベースユーザーの認証情報を、AWS Key Management Service (AWS KMS) で暗号化したファイルとして Web サーバーのファイルシステム上に保存します。Web サーバーは当該ファイルを復号し、データベースにアクセスできます。
正解: A. データベースユーザーの認証情報を AWS Secrets Manager に保存します。Web サーバーが AWS Secrets Manager にアクセスできるよう、必要な IAM 権限を付与します。
解説
AWS Secrets Manager は、データベースの資格情報などの機密情報を安全に保存・管理し、自動的なローテーション(定期的な更新)をサポートする専用サービスです。これにより、手動でのパスワード変更やアプリケーションの再デプロイを回避でき、セキュリティ要件と運用効率の両方を満たします。一方、OpsCenter は運用監視・インシデント対応のためのサービスであり、認証情報の管理には使用しません。Amazon S3 はオブジェクトストレージであり、認証情報のローテーション機能を持たず、セキュリティ上も推奨されません。ローカルファイルシステムへの KMS 暗号化ファイル保存は、ローテーションや集中管理が困難であり、スケーラビリティやセキュリティ面で劣ります。したがって、正解は A です。