Q1 — AWS SAP-C02 第3章
第 1/75 問 | ← 第3章
Q226. ある企業は、顧客取引データベースをオンプレミス環境から AWS へ移行する必要があります。このデータベースは、Linux サーバー上で動作する Oracle DB インスタンス上に存在します。新たなセキュリティ要件により、データベースのパスワードを毎年ローテーションする必要があります。 これらの要件を満たすうち、運用オーバーヘッドが最も少ないソリューションはどれですか?
- A. AWS Schema Conversion Tool (AWS SCT) を使用してデータベースを Amazon DynamoDB に変換します。 パスワードを AWS Systems Manager Parameter Store に保存し、Amazon CloudWatch アラームを作成して、毎年のパスワードローテーションを実行する AWS Lambda 関数を呼び出します。
- B. データベースを Amazon RDS for Oracle に移行します。パスワードを AWS Secrets Manager に保存し、自動ローテーションを有効化します。ローテーション間隔を「毎年」に設定します。 ✓
- C. データベースを Amazon EC2 インスタンスに移行します。AWS Systems Manager Parameter Store を使用して接続文字列を管理し、AWS Lambda 関数を毎年実行するスケジュールでパスワードをローテーションします。
- D. AWS Schema Conversion Tool (AWS SCT) を使用してデータベースを Amazon Neptune に変換します。 Amazon CloudWatch アラームを作成し、毎年のパスワードローテーションを実行する AWS Lambda 関数を呼び出します。
正解: B. データベースを Amazon RDS for Oracle に移行します。パスワードを AWS Secrets Manager に保存し、自動ローテーションを有効化します。ローテーション間隔を「毎年」に設定します。
解説
Amazon RDS for Oracle は、クラウド上で Oracle データベースを簡単にセットアップ、運用、スケールできる完全マネージド型サービスです。AWS Secrets Manager を使用すれば、データベースパスワードを安全に保管し、追加の運用作業なしに毎年の自動ローテーションを設定できます。自動ローテーションを有効化することで、セキュリティ要件である「毎年のパスワード変更」が確実に実施され、コンプライアンスも確保されます。したがって、選択肢 B は、要件を満たす中で最もシンプルかつ運用オーバーヘッドが最小のソリューションです。 選択肢 A では、AWS SCT を用いて Amazon DynamoDB への移行を提案していますが、DynamoDB は NoSQL データベースであり、すべてのトランザクション型データに適しているとは限りません。また、CloudWatch アラームと Lambda 関数の設定といった追加手順が必要となり、不要な運用負荷が発生します。 選択肢 C では、データベースを Amazon EC2 インスタンスに移行し、Parameter Store と Lambda を組み合わせてパスワードをローテーションする方法を提案していますが、EC2 インスタンスの運用・管理には、Amazon RDS のようなマネージドサービスよりもはるかに大きな運用オーバーヘッドが伴います。 選択肢 D では、グラフデータベースサービスである Amazon Neptune への移行を提案していますが、Neptune はトランザクションデータの保存を目的として設計されておらず、本要件を満たすための明確なソリューションとはなりません。 以上より、Amazon RDS for Oracle、AWS Secrets Manager、および自動パスワードローテーションを活用する選択肢 B が、最も適切かつ運用オーバーヘッドが最小のソリューションです。