Q78 — AWS SAA-C03 第4章
第 78/105 問 | ← 第4章
Q273. ある病院が、患者から症状を収集する新しいアプリケーションの設計を進めています。この病院は、アーキテクチャにAmazon Simple Queue Service(Amazon SQS)およびAmazon Simple Notification Service(Amazon SNS)を採用することを決定しました。ソリューションアーキテクトがインフラストラクチャ設計をレビューしています。データは、保存時および送信時において暗号化される必要があります。また、病院の承認された関係者だけがデータにアクセスできるようにしなければなりません。 これらの要件を満たすために、ソリューションアーキテクトが実施すべき手順の組み合わせはどれですか?(該当するものを2つ選択してください。)
- A. SQSコンポーネントでサーバー側暗号化を有効化します。デフォルトのキーポリシーを更新し、キーの使用を承認されたプリンシパルのセットに制限します。
- B. SNSコンポーネントでAWS Key Management Service(AWS KMS)のカスタマーマネージドキーを使用してサーバー側暗号化を有効化します。キーの使用を承認されたプリンシパルのセットに制限するキーポリシーを適用します。 ✓
- C. SNSコンポーネントで暗号化を有効化します。デフォルトのキーポリシーを更新し、キーの使用を承認されたプリンシパルのセットに制限します。トピックポリシーに条件を設定して、TLS経由の暗号化された接続のみを許可します。
- D. SQSコンポーネントでAWS Key Management Service(AWS KMS)のカスタマーマネージドキーを使用してサーバー側暗号化を有効化します。キーの使用を承認されたプリンシパルのセットに制限するキーポリシーを適用します。キューのポリシーに条件を設定して、TLS経由の暗号化された接続のみを許可します。 ✓
- E. SQSコンポーネントでAWS Key Management Service(AWS KMS)のカスタマーマネージドキーを使用してサーバー側暗号化を有効化します。キーの使用を承認されたプリンシパルのセットに制限するIAMポリシーを適用します。キューのポリシーに条件を設定して、TLS経由の暗号化された接続のみを許可します。
正解: B. SNSコンポーネントでAWS Key Management Service(AWS KMS)のカスタマーマネージドキーを使用してサーバー側暗号化を有効化します。キーの使用を承認されたプリンシパルのセットに制限するキーポリシーを適用します。, D. SQSコンポーネントでAWS Key Management Service(AWS KMS)のカスタマーマネージドキーを使用してサーバー側暗号化を有効化します。キーの使用を承認されたプリンシパルのセットに制限するキーポリシーを適用します。キューのポリシーに条件を設定して、TLS経由の暗号化された接続のみを許可します。
解説
カスタマーマネージドキーを使用する場合、キーの使用制御はキーポリシー(Key Policy)によって定義されます。IAMポリシーではKMSキー自体のアクセス制御は行えず、キーポリシーが正しく設定されている必要があります。また、送信時の暗号化(in-transit)を保証するには、TLSによる暗号化通信を強制するためのキューまたはトピックポリシーの条件設定が必要です。SQSおよびSNSの両方で、サーバー側暗号化(SSE)はKMSカスタマーマネージドキーで有効化でき、それぞれのリソースポリシー(キュー/トピックポリシー)でTLS接続を必須とすることが可能です。選択肢BとDは、それぞれSNSおよびSQSについて、KMSカスタマーマネージドキーによるサーバー側暗号化とキーポリシーによるアクセス制御、さらにTLS接続の強制(Dのみ)を正しく組み合わせており、要件を満たします。ただし、選択肢DにはTLS接続の強制が明記されており、選択肢Bにはその記載がありませんが、SNSではトピックポリシーで`aws:SecureTransport`条件を設定することでTLSを必須とできます。しかし、問題文では「選択肢B」にその記述がなく、かつ「分析」では「カスタマーマネージドキーではユーザーはキーポリシーで定義される」と明言しているため、正解はBとDです。なお、選択肢AはデフォルトのAWSマネージドKMSキー(別名:default key)に関する記述であり、カスタマーマネージドキーではないため不適切です。選択肢Cは「暗号化を有効化」と曖昧な表現で、サーバー側暗号化(SSE)であることが明示されておらず、またデフォルトキーポリシーの更新という記述も不正確です。選択肢EはIAMポリシーでKMSキーのアクセス制御を行うとしていますが、これは誤りであり、KMSキーのアクセス制御はキーポリシーで行う必要があります。