Q9 — AWS SAA-C03 第4章
第 9/105 問 | ← 第4章
Q204. ある会社が、データを Amazon S3 バケットに移行することを計画しています。このデータは、S3 バケット内に保存される際に暗号化される必要があります。さらに、暗号化キーは毎年自動的にローテーションされる必要があります。これらの要件を満たす解決策のうち、運用上のオーバーヘッドが最も少ないものはどれですか?
- A. データを S3 バケットに移動します。Amazon S3 管理の暗号化キー(SSE-S3)によるサーバー側暗号化を使用します。SSE-S3 暗号化キーの組み込みキーローテーション機能を利用します。
- B. AWS Key Management Service(AWS KMS)のカスタマーマネージドキーを作成し、自動キーローテーションを有効化します。S3 バケットのデフォルト暗号化設定を、このカスタマーマネージド KMS キーを使用するように設定します。その後、データを S3 バケットに移動します。 ✓
- C. AWS Key Management Service(AWS KMS)のカスタマーマネージドキーを作成し、S3 バケットのデフォルト暗号化設定をこのカスタマーマネージド KMS キーを使用するように設定します。その後、データを S3 バケットに移動します。KMS キーは毎年手動でローテーションします。
- D. データを S3 バケットに移動する前に、顧客提供の鍵材料(customer key material)で暗号化します。鍵材料を持たない AWS Key Management Service(AWS KMS)キーを作成し、その KMS キーに顧客提供の鍵材料をインポートします。その後、自動キーローテーションを有効化します。
正解: B. AWS Key Management Service(AWS KMS)のカスタマーマネージドキーを作成し、自動キーローテーションを有効化します。S3 バケットのデフォルト暗号化設定を、このカスタマーマネージド KMS キーを使用するように設定します。その後、データを S3 バケットに移動します。
解説
SSE-S3(Amazon S3 管理の暗号化キー)は、自動キーローテーション機能を提供していません(選択肢 A は不正解)。AWS KMS のカスタマーマネージドキー(CMK)では、自動キーローテーションを有効化すると、AWS が毎年自動的に新しいキーマテリアルを生成し、古いキーマテリアルを保持したまま新規暗号化に使用するようになります。これは、暗号化されたデータの復号に影響を与えず、運用負荷を最小限に抑えます(選択肢 B が正解)。選択肢 C は手動ローテーションを必要とし、運用オーバーヘッドが大きくなります。選択肢 D は、カスタマープロバイデッド鍵材料(imported key material)を用いる場合、自動キーローテーションはサポートされておらず、手動でのローテーションしかできません(不正解)。