Q32 — AWS SAA-C03 第5章
第 32/65 問 | ← 第5章
Q332. ある会社が、Amazon RDS DBインスタンスに格納されている法務会計データを外部監査人に共有したいと考えています。監査人は独自のAWSアカウントを持っており、データベースの独自のコピーを必要としています。この会社は、監査人に対してデータベースを安全に共有するには、どのようにすべきでしょうか?
- A. データベースの読み取り専用レプリカを作成し、IAM標準データベース認証を設定して監査人にアクセス権を付与する。
- B. データベースのスナップショットをAmazon S3にコピーし、監査人にそのバケット内のオブジェクトへのアクセスを許可するIAMロールを割り当てる。
- C. データベースの内容をテキストファイルにエクスポートし、それらのファイルをAmazon S3に保存した後、監査人のために新しいIAMユーザーを作成し、当該バケットへのアクセス権を付与する。
- D. データベースの暗号化済みスナップショットを作成し、そのスナップショットを共有するとともに、AWS Key Management Service (AWS KMS) 暗号化キーへのアクセスを許可する。 ✓
正解: D. データベースの暗号化済みスナップショットを作成し、そのスナップショットを共有するとともに、AWS Key Management Service (AWS KMS) 暗号化キーへのアクセスを許可する。
解説
外部監査人(別個のAWSアカウントを持つ)とAmazon RDS DBインスタンスのコピーを安全に共有するには、データベースの暗号化済みスナップショットを作成するのが最も適切な方法です。これにより、データは転送中および保存中の両方で暗号化されます。この暗号化済みスナップショットは外部監査人と共有でき、スナップショットの暗号化に使用されたAWS KMS暗号化キーへのアクセス権も付与できます。これにより、監査人は自身のAWSアカウント内でそのスナップショットをRDS DBインスタンスとして復元し、KMSキーを用いてデータを復号することが可能になります。