Q37 — AWS SAA-C03 第3章
第 37/65 問 | ← 第3章
Q167. ある会社は、ap-southeast-3 リージョン内の Amazon Aurora PostgreSQL データベースに機密データを保存しています。このデータベースは、AWS Key Management Service (AWS KMS) のカスタマーマネージドキーで暗号化されています。同社は最近買収され、買収先の企業の AWS アカウント(同じ ap-southeast-3 リージョン内)に対して、データベースのバックアップを安全に共有する必要があります。これらの要件を満たすために、ソリューションアーキテクトが実施すべき措置は何ですか?
- A. データベーススナップショットを作成します。そのスナップショットを新しい暗号化されていないスナップショットにコピーし、買収先企業の AWS アカウントと共有します。
- B. データベーススナップショットを作成します。KMS キーのポリシーに買収先企業の AWS アカウントを追加し、スナップショットを買収先企業の AWS アカウントと共有します。 ✓
- C. 別の AWS マネージド KMS キーを使用するデータベーススナップショットを作成します。KMS キーのエイリアスに買収先企業の AWS アカウントを追加し、スナップショットを買収先企業の AWS アカウントと共有します。
- D. データベーススナップショットを作成します。スナップショットをダウンロードし、Amazon S3 バケットにアップロードします。S3 バケットポリシーを更新して、買収先企業の AWS アカウントからのアクセスを許可します。
正解: B. データベーススナップショットを作成します。KMS キーのポリシーに買収先企業の AWS アカウントを追加し、スナップショットを買収先企業の AWS アカウントと共有します。
解説
Aurora スナップショットを他アカウントと共有する場合、スナップショット自体の共有に加えて、そのスナップショットが暗号化されている KMS キーへのアクセス権限も付与する必要があります。カスタマーマネージドキー(CMK)で暗号化されたスナップショットを共有するには、対象の CMK のキーポリシーに、共有先アカウントのアカウントIDを明示的に追加し、`kms:Decrypt` および `kms:DescribeKey` などの必要な権限を許可する必要があります。選択肢 B はこの正しい手順を正確に反映しています。選択肢 A は暗号化を解除するためセキュリティ要件に反し、選択肢 C は AWS マネージドキーでは他アカウントとの共有がサポートされておらず、またキーエイリアスへのアカウント追加は権限付与になりません。選択肢 D は、スナップショットのダウンロード・アップロードという非推奨かつ非効率な方法であり、スナップショットの暗号化状態や整合性の保証も困難です。