Q42 — AWS SAP-C02 第2章

第 42/75 問 | ← 第2章

Q192. ある会社は、Amazon S3バケットに数百万個のオブジェクトを保持しています。これらのオブジェクトはS3 Standardストレージクラスに格納されており、すべて頻繁にアクセスされています。また、これらのオブジェクトにアクセスするユーザーおよびアプリケーションの数が急激に増加しています。さらに、すべてのS3オブジェクトはAWS KMSキーによるサーバーサイド暗号化(SSE-KMS)で暗号化されています。 ソリューションアーキテクトが会社の月次AWS請求書を確認したところ、Amazon S3からのKMSリクエスト数が非常に多いため、AWS KMSのコストが増加していることがわかりました。ソリューションアーキテクトは、アプリケーションへの変更を最小限に抑えつつ、コスト最適化を図る必要があります。 これらの要件を満たし、かつ運用上の負荷(オペレーショナルオーバーヘッド)が最も少ないソリューションはどれですか?

正解: B. サーバーサイド暗号化(Amazon S3管理キー:SSE-S3)を暗号化方式とする新しいS3バケットを作成します。S3 Batch Operationsを使用して、既存のオブジェクトを新しいS3バケットにコピーし、SSE-S3を指定します。

解説

選択肢Aでは、SSE-Cを採用する新しいS3バケットを作成し、既存のすべてのオブジェクトをコピーする必要があります。これは時間のかかる作業であり、現在のアプリケーションに影響を与える可能性があります。さらに、SSE-Cでは暗号化キーの管理およびローテーションが必要となるため、運用負荷が増大します。選択肢Cでは、AWS CloudHSMを用いて暗号化キーを管理するため、ソリューションの複雑性とコストが大幅に増加します。また、アプリケーションを変更してCloudHSMからキーを取得するようにする必要があります。 選択肢Dは、アクセスパターンに基づいて異なるストレージクラスへデータを移動するものであり、KMSリクエストに起因する高コストという根本的な課題には対応していません。また、オブジェクトが頻繁にアクセスされる状況では、S3 Glacier Deep Archiveへの移行は不適切であり、KMSリクエストコストの削減効果も限定的です。一方、選択肢Bでは、SSE-S3を採用する新しいS3バケットを作成し、S3 Batch Operationsを用いてオブジェクトをコピーします。SSE-S3はキーの管理やローテーションを必要としないため、運用負荷が最小限に抑えられます。また、アプリケーションの設定を維持したまま、KMSリクエストに起因するコストを削減しつつ、S3オブジェクトの暗号化を継続できます。したがって、この選択肢が最も少ない運用負荷で要件を満たすソリューションです。