Q25 — AWS SAA-C03 第3章

第 25/65 問 | ← 第3章

Q155. ある会社は契約書類を保存する必要があります。契約期間は5年間です。この5年間の間、当該書類が上書きまたは削除されないことを保証しなければなりません。また、保存時の暗号化と、暗号化キーの自動的な年次ローテーションも必要です。これらの要件を、最も少ない運用オーバーヘッドで満たすために、ソリューションアーキテクトが実施すべき手順の組み合わせはどれですか?(2つ選択してください。)

正解: B. 書類をAmazon S3に保存します。S3 Object Lockをコンプライアンスモードで使用します。, D. AWS Key Management Service(AWS KMS)のカスタマーマネージドキーによるサーバー側暗号化を使用します。キーのローテーションを設定します。

解説

要件を満たすには、(1) 5年間の不変性(overwrite/delete防止)、(2) 保存時暗号化、(3) 年次自動キー・ローテーション の3点が必須です。S3 Object Lockのコンプライアンスモード(B)は、指定された保持期間中は管理者権限を含め誰もオブジェクトを削除・上書きできないため、5年間の不変性を確実に保証します(ガバナンスモードでは特権ユーザーが解除可能のため不十分)。暗号化とキー・ローテーションについては、SSE-S3(C)はAWSが管理するキーであり、AWS KMSとは異なり自動キー・ローテーション機能を提供しません。一方、AWS KMSのカスタマーマネージドキー(D)は、コンソール/CLI/APIから年次ローテーションを有効化でき、S3との統合も容易です(S3はKMSキーIDを指定して暗号化・復号を実行)。カスタマー提供キー(E)はローテーションがサポートされておらず、手動管理が必要なため運用オーバーヘッドが高くなります。したがって、正解はB(コンプライアンスモードによる不変性保証)とD(KMSカスタマーマネージドキーによる自動年次ローテーション対応暗号化)です。