Q4 — AWS SAA-C03 第5章
第 4/65 問 | ← 第5章
Q304. ある企業が、新しいアプリケーションを Amazon EC2 インスタンス上に展開しています。このアプリケーションは、Amazon Elastic Block Store(Amazon EBS)ボリュームにデータを書き込みます。企業は、EBSボリュームに書き込まれるすべてのデータが静止時(at rest)に暗号化されることを保証する必要があります。この要件を満たす解決策はどれですか?
- A. EBS暗号化を指定するIAMロールを作成し、そのロールをEC2インスタンスにアタッチする
- B. EBSボリュームを暗号化されたボリュームとして作成し、それらのEBSボリュームをEC2インスタンスにアタッチする ✓
- C. キーが「Encrypt」、値が「True」であるEC2インスタンスタグを作成し、EBSレベルでの暗号化を必要とするすべてのインスタンスにこのタグを付ける
- D. AWS Key Management Service(AWS KMS)のキーポリシーを作成して、アカウント内でのEBS暗号化を強制する。このキーポリシーが有効になっていることを確認する
正解: B. EBSボリュームを暗号化されたボリュームとして作成し、それらのEBSボリュームをEC2インスタンスにアタッチする
解説
EBSボリュームの静止時暗号化は、ボリューム作成時に有効化する必要があります。暗号化されたEBSボリュームは、暗号化されたスナップショットから作成されるか、またはボリューム作成時に「暗号化(Encrypted)」オプションを有効にして作成されます。一度作成された暗号化されていないEBSボリュームは、後から暗号化することはできません(代わりに、暗号化されたスナップショットを作成し、そこから新しい暗号化済みボリュームを作成する必要があります)。IAMロール(A)やインスタンスタグ(C)はEBS暗号化を制御しません。KMSキーポリシー(D)は、KMSキーの使用方法を制御しますが、EBSボリュームの暗号化を自動的に強制する機能はありません。デフォルトでは、EBS暗号化は無効であり、明示的に有効化する必要があります。したがって、正解はBです。