Q45 — AWS SAP-C02 第1章
第 45/75 問 | ← 第1章
Q120. ある企業には2つの独立した事業部門があり、それぞれがAWS Organizations内の単一組織内で独自のAWSアカウントを保有しています。これらの事業部門は定期的に機密性の高い文書を相互に共有しています。この共有を容易にするため、企業は各アカウントにAmazon S3バケットを作成し、両方のS3バケット間で双方向レプリケーションを設定しました。各S3バケットには数百万個のオブジェクトが格納されています。最近実施されたセキュリティ監査では、いずれのS3バケットにも静止時暗号化(encryption at rest)が有効化されていないことが判明しました。企業の方針では、すべての文書を静止時暗号化して保存することが義務付けられています。企業は、Amazon S3管理の暗号化キー(SSE-S3)によるサーバーサイド暗号化を実装したいと考えています。 これらの要件を満たす、最も運用効率の良い解決策はどれですか?
- A. 両方のS3バケットでSSE-S3を有効化します。S3 Batch Operationsを使用して、同一ロケーション内でオブジェクトをコピーし、暗号化します。 ✓
- B. 各アカウントにAWS Key Management Service (AWS KMS) キーを作成します。各S3バケットで、対応するAWSアカウント内のKMSキーを用いたサーバーサイド暗号化(SSE-KMS)を有効化します。既存のオブジェクトはAWS CLIのS3 copyコマンドで暗号化します。
- C. 両方のS3バケットでSSE-S3を有効化します。既存のオブジェクトはAWS CLIのS3 copyコマンドで暗号化します。
- D. 各アカウントにAWS Key Management Service (AWS KMS) キーを作成します。各S3バケットで、対応するAWSアカウント内のKMSキーを用いたサーバーサイド暗号化(SSE-KMS)を有効化します。S3 Batch Operationsを使用して、オブジェクトを同一ロケーションにコピーします。
正解: A. 両方のS3バケットでSSE-S3を有効化します。S3 Batch Operationsを使用して、同一ロケーション内でオブジェクトをコピーし、暗号化します。
解説
選択肢Aが、既存のS3バケット内のオブジェクトに対してSSE-S3によるサーバーサイド暗号化を有効化する最も運用効率の良い解決策です。まず両方のS3バケットでSSE-S3を有効化することで、今後アップロードされるすべての新規オブジェクトがS3管理の暗号化キーで静止時暗号化されることを保証します。その後、S3 Batch Operationsを用いて既存のオブジェクトを同一ロケーションでコピー・暗号化します。S3 Batch Operationsは、大量のオブジェクトに対して並列処理を実行できるため、数百万個のオブジェクトを個別に暗号化する場合に比べ、運用上の負荷を大幅に削減できます。 選択肢Bは、AWS KMSキー(SSE-KMS)を用いる方法であり、静止時暗号化は実現できますが、SSE-S3を単純に有効化するだけの方法と比較して、追加の手順と複雑さを伴います。 選択肢Cは、SSE-S3を有効化し、AWS CLIのS3 copyコマンドで既存オブジェクトを暗号化するという点で運用効率は高いですが、数百万個のオブジェクトを効率よく処理できるS3 Batch Operationsの機能を活用していないため、選択肢Aほど効率的ではありません。 選択肢Dは、各アカウントにAWS KMSキーを作成し、SSE-KMSを有効化したうえでS3 Batch Operationsを用いる方法です。静止時暗号化は達成できますが、AWS KMSキーを導入することは不要な複雑さを追加するだけで、選択肢Aと比較して追加のメリットはありません。 よって、正しい解決策はAです:両方のS3バケットでSSE-S3を有効化し、S3 Batch Operationsを用いて同一ロケーション内でオブジェクトをコピー・暗号化します。