Q72 — AWS SAA-C03 第4章
第 72/105 問 | ← 第4章
Q267. ある企業は、デジタルメディアストリーミングアプリケーションをホストするための Amazon Elastic Kubernetes Service(Amazon EKS)クラスターを作成する必要があります。このEKSクラスターには、ストレージとして Amazon Elastic Block Store(Amazon EBS)ボリュームをバックエンドとするマネージドノードグループが使用されます。企業は、AWS Key Management Service(AWS KMS)に保存されたカスタマー管理キー(CMK)を用いて、すべての静止中のデータを暗号化しなければなりません。この要件を、最も少ない運用オーバーヘッドで満たすためのアクションの組み合わせはどれですか?(該当するものを2つ選択してください。)
- A. カスタマー管理キーを使用してデータ暗号化を行うKubernetesプラグインを利用する
- B. EKSクラスターの作成後に、EBSボリュームを特定し、カスタマー管理キーを用いて暗号化を有効化する ✓
- C. EKSクラスターを配置するAWSリージョンで、EBS暗号化をデフォルトで有効化し、デフォルトキーとしてカスタマー管理キーを選択する
- D. EKSクラスターを作成する。その後、カスタマー管理キーへのアクセス許可を付与するポリシーを持つIAMロールを作成し、そのロールをEKSクラスターに関連付ける ✓
- E. カスタマー管理キーをEKSクラスター内のKubernetes Secretとして保存し、そのキーを用いてEBSボリュームを暗号化する
正解: B. EKSクラスターの作成後に、EBSボリュームを特定し、カスタマー管理キーを用いて暗号化を有効化する, D. EKSクラスターを作成する。その後、カスタマー管理キーへのアクセス許可を付与するポリシーを持つIAMロールを作成し、そのロールをEKSクラスターに関連付ける
解説
EKSクラスターの作成後にEBSボリュームを特定し、カスタマー管理キーを用いて暗号化を有効化する方法(選択肢B)は、既存のボリュームに対して後から暗号化設定を適用できるものの、実際にはEBSボリュームはクラスター作成時に自動的に作成され、既存の非暗号化ボリュームを後から暗号化することはできません(暗号化済みボリュームからのスナップショットからの復元など、間接的な方法が必要)。したがって、Bは不適切です。一方、リージョンレベルでEBS暗号化をデフォルト有効化し、カスタマー管理キーをデフォルトキーとして指定する(選択肢C)と、新規作成されるすべてのEBSボリューム(ノードグループが起動する際に作成されるものも含む)が自動的にそのキーで暗号化されます。また、EKSクラスターがKMSキーにアクセスできるよう、適切なIAMロールをクラスターに関連付ける(選択肢D)ことで、KMSによる暗号化操作が正しく実行されます。これら2つのアクション(CおよびD)により、追加のカスタムコードやプラグイン、手動介入を必要とせず、最小限の運用オーバーヘッドで要件を満たせます。選択肢AおよびEは、追加の管理・保守コストやセキュリティリスクを伴い、オーバーヘッドが大きくなります。選択肢Bは技術的に実現不可能なアプローチです。