Q25 — AWS SAA-C03 第4章

第 25/105 問 | ← 第4章

Q220. ある企業のコンテナ化されたアプリケーションが Amazon EC2 インスタンス上で実行されています。このアプリケーションは、他のビジネスアプリケーションと通信を開始する前に、セキュリティ証明書をダウンロードする必要があります。企業は、証明書をほぼリアルタイムで暗号化および復号化できる、高度にセキュアなソリューションを求めており、さらに暗号化後のデータを高可用性ストレージに保存することも必要です。これらの要件を満たすとともに、運用オーバーヘッドが最も少ないソリューションはどれですか?

正解: C. AWS Key Management Service (AWS KMS) のカスタマーマネージドキーを作成します。EC2 インスタンスのロールが、この KMS キーを用いて暗号化操作を行えるように許可します。暗号化済みデータは Amazon S3 に保存します。

解説

正解は選択肢 C です。AWS KMS は、FIPS 140-2 準拠の暗号化サービスであり、証明書の暗号化/復号化を安全かつ低オーバーヘッドで提供します。EC2 インスタンスロールに KMS キー使用権限(kms:Encrypt, kms:Decrypt)を付与することで、アプリケーションは直接 KMS API を呼び出してリアルタイムの暗号化・復号化を実行できます。また、暗号化後の証明書を Amazon S3 に保存すれば、S3 の設計上の高可用性(99.99% の可用性保証)と耐久性(11 個の 9 の耐久性)を活用でき、運用負荷が最小限に抑えられます。選択肢 A は手動更新が必要で「ほぼリアルタイム」や「最小運用オーバーヘッド」の要件を満たさず、選択肢 B は暗号化ライブラリの管理・パッチ適用・セキュリティアップデートなど運用負荷が高く、選択肢 D の Amazon EBS は単一 AZ 内のブロックストレージであり、高可用性(マルチAZ)の要件を満たしません。