Q17 — AWS SAP-C02 第3章
第 17/75 問 | ← 第3章
Q242. ある企業が、静的コンテンツをホストする新しいWebサイトの設計を行っています。このWebサイトでは、ユーザーが大規模なファイルをアップロードおよびダウンロードできるようにする必要があります。企業の要件によると、すべてのデータは「トランジット中」と「保存時」の両方で暗号化されなければなりません。ソリューションアーキテクトは、Amazon S3およびAmazon CloudFrontを用いてこのソリューションを構築しています。暗号化要件を満たすためには、以下のどの手順の組み合わせを実施すればよいでしょうか?(3つ選択)
- A. Webアプリケーションが使用するAmazon S3バケットに対して、S3サーバー側暗号化(SSE)を有効化する ✓
- B. S3 ACLにおいて、読み取りおよび書き込み操作向けにポリシー属性 "aws:SecureTransport": "true" を追加する
- C. Webアプリケーションが使用するAmazon S3バケットに対して、暗号化されていない操作を拒否するバケットポリシーを作成する ✓
- D. CloudFrontで保存時の暗号化を設定し、AWS KMSキー(SSE-KMS)によるサーバー側暗号化を使用する
- E. CloudFrontでHTTPリクエストをHTTPSリクエストへリダイレクトするよう設定する ✓
- F. Webアプリケーションが使用するAmazon S3バケット向けに、事前署名URLの作成時にRequireSSLオプションを使用する
正解: A. Webアプリケーションが使用するAmazon S3バケットに対して、S3サーバー側暗号化(SSE)を有効化する, C. Webアプリケーションが使用するAmazon S3バケットに対して、暗号化されていない操作を拒否するバケットポリシーを作成する, E. CloudFrontでHTTPリクエストをHTTPSリクエストへリダイレクトするよう設定する
解説
暗号化要件を満たす正しい手順の組み合わせは、A、C、Eです。 これらの3つの手順により、トランジット中および保存時の両方でデータが暗号化されることが保証されます。 手順Aでは、Webアプリケーションが使用するS3バケットに対してサーバー側暗号化(SSE)を有効化します。これにより、バケットにアップロードされるすべてのオブジェクトが自動的に保存時に暗号化されます。 手順Cでは、暗号化されていない操作(例:暗号化なしでのPUT/GET)を明示的に拒否するバケットポリシーを作成します。これにより、すべての読み取りおよび書き込み操作が暗号化を必須とし、セキュリティをさらに強化します。 手順Eでは、CloudFrontが受信したHTTPリクエストを自動的にHTTPSへリダイレクトするよう設定します。これにより、クライアントとCloudFront間の通信が常にトランジット中に暗号化され、安全な通信が確保されます。 この3つの手順を組み合わせることで、Amazon S3およびAmazon CloudFrontを用いた静的コンテンツホスティングにおいて、企業が定める「トランジット中」と「保存時」の両方における暗号化要件を完全に満たすことができます。