Q50 — AWS SAA-C03 第4章
第 50/105 問 | ← 第4章
Q245. ある企業が、Amazon EC2 インスタンスで実行されるアプリケーションと Amazon Aurora データベースを運用しています。EC2 インスタンスは、ローカルのファイルに格納されたユーザー名とパスワードを使用してデータベースに接続しています。この企業は、資格情報(クレデンシャル)管理に伴う運用上の負荷を最小限に抑えたいと考えています。ソリューションアーキテクトは何を行うべきでしょうか?
- A. AWS Secrets Manager を使用し、自動ローテーションを有効化する。 ✓
- B. AWS Systems Manager Parameter Store を使用し、自動ローテーションを有効化する。
- C. AWS Key Management Service (AWS KMS) 暗号化キーで暗号化されたオブジェクトを格納する Amazon S3 バケットを作成する。資格情報ファイルをこの S3 バケットに移行し、アプリケーションがその S3 バケットを参照するように設定する。
- D. 各 EC2 インスタンスごとに暗号化された Amazon Elastic Block Store (Amazon EBS) ボリュームを作成する。新しい EBS ボリュームを各 EC2 インスタンスにアタッチし、資格情報ファイルをこの新しい EBS ボリュームに移行する。アプリケーションが新しい EBS ボリュームを参照するように設定する。
正解: A. AWS Secrets Manager を使用し、自動ローテーションを有効化する。
解説
EC2 インスタンス上のローカルファイルに認証資格情報を保存することは、セキュアな方法ではなく、資格情報が不正に取得されるリスクがあります。AWS では、アプリケーションやサービス、IT リソースへのアクセスに必要なシークレットを保護するとともに、ローテーションや権限・アクセスの管理を容易に行えるサービスとして AWS Secrets Manager を提供しています。 AWS Secrets Manager を活用すれば、データベースのユーザー名およびパスワードを安全にシークレットとして保存でき、EC2 インスタンス上で実行されるアプリケーションからアクセス可能になります。また、シークレットの自動ローテーション機能を有効化することで、手動によるローテーションに伴う運用負荷を軽減し、定期的なシークレット更新によってセキュリティも向上させることができます。 したがって、資格情報管理の運用負荷を最小化し、セキュリティを強化するには、選択肢 A が正しい解決策です。