Q4 — AWS SAA-C03 第5章

第 4/65 問 | ← 第5章

Q304. ある企業が、新しいアプリケーションを Amazon EC2 インスタンス上に展開しています。このアプリケーションは、Amazon Elastic Block Store(Amazon EBS)ボリュームにデータを書き込みます。企業は、EBSボリュームに書き込まれるすべてのデータが静止時(at rest)に暗号化されることを保証する必要があります。この要件を満たす解決策はどれですか?

正解: B. EBSボリュームを暗号化されたボリュームとして作成し、それらのEBSボリュームをEC2インスタンスにアタッチする

解説

EBSボリュームの静止時暗号化は、ボリューム作成時に有効化する必要があります。暗号化されたEBSボリュームは、暗号化されたスナップショットから作成されるか、またはボリューム作成時に「暗号化(Encrypted)」オプションを有効にして作成されます。一度作成された暗号化されていないEBSボリュームは、後から暗号化することはできません(代わりに、暗号化されたスナップショットを作成し、そこから新しい暗号化済みボリュームを作成する必要があります)。IAMロール(A)やインスタンスタグ(C)はEBS暗号化を制御しません。KMSキーポリシー(D)は、KMSキーの使用方法を制御しますが、EBSボリュームの暗号化を自動的に強制する機能はありません。デフォルトでは、EBS暗号化は無効であり、明示的に有効化する必要があります。したがって、正解はBです。