Q24 — AWS SAP-C02 第3章
第 24/75 問 | ← 第3章
Q249. ある企業がアプリケーションをAWSへ移行しています。移行中は可能な限りフルマネージドサービスを活用したいと考えています。このアプリケーションでは、大規模かつ重要な文書を保存する必要があります。以下の要件を満たす必要があります: ・データは極めて高い耐久性と可用性を備えていること。 ・データは常に静止時および送信時に暗号化されていること。 ・暗号化キーは企業が管理し、定期的にローテーションすること。 ソリューションアーキテクトが推奨すべき解決策はどれですか?
- A. AWS Storage Gateway をファイルゲートウェイモードで AWS にデプロイします。Amazon EBS ボリュームの暗号化に AWS KMS キーを使用して、Storage Gateway のボリュームを暗号化します。
- B. Amazon S3 を使用し、バケットポリシーでバケットへの接続に HTTPS を強制するとともに、オブジェクトの暗号化にはサーバー側暗号化(SSE)と AWS KMS を強制します。 ✓
- C. Amazon DynamoDB を SSL 接続で使用します。DynamoDB の静止時データ暗号化には AWS KMS キーを使用します。
- D. このデータを保存するために Amazon EBS ボリュームがアタッチされた EC2 インスタンスをデプロイします。EBS ボリュームの暗号化には AWS KMS キーを使用します。
正解: B. Amazon S3 を使用し、バケットポリシーでバケットへの接続に HTTPS を強制するとともに、オブジェクトの暗号化にはサーバー側暗号化(SSE)と AWS KMS を強制します。
解説
大規模かつ重要な文書を AWS へ移行中のアプリケーションで保存する場合、高い耐久性・可用性、静止時および送信時の常時暗号化、および企業による暗号化キーの管理・定期的なローテーションという要件を満たすには、Amazon S3 とサーバー側暗号化(SSE)および AWS KMS を組み合わせたソリューションが最適です。したがって、正解は選択肢 B です。Amazon S3 は、極めて高い耐久性と可用性を提供するオブジェクトストレージサービスであり、サーバー側暗号化により静止時データを自動的に暗号化できます。AWS KMS を使用すれば、暗号化キーの管理および定期的なローテーションが可能になります。さらに、バケットポリシーを設定することで、すべての接続に HTTPS を強制し、すべてのオブジェクトアップロードに対して AWS KMS を用いたサーバー側暗号化を必須とすることが可能です。 選択肢 A では、AWS Storage Gateway のファイルゲートウェイモードを提案していますが、これは Amazon S3 と連携する中間レイヤーであり、S3 自体の暗号化設定(例:SSE-KMS)がなければ要件を完全に満たしません。また、EBS ボリューム暗号化は、ファイルゲートウェイのローカルキャッシュ領域に適用されるものであり、S3 上の最終的なデータ保護には不十分です。 選択肢 C では、DynamoDB を使用し SSL 接続と静止時暗号化を実現しようとしていますが、DynamoDB は 1 アイテムあたり最大 400 KB の制限があり、大規模な文書の保存には不向きです。 選択肢 D では、EC2 インスタンスと EBS ボリュームを用いた自己管理型のストレージを提案していますが、これはフルマネージドではなく、スケーラビリティ・コスト効率・耐久性の面で Amazon S3 に劣ります。また、EBS 暗号化キーのローテーションは、KMS キー自体のローテーションとは異なり、既存の暗号化済みボリュームを再暗号化する追加作業が必要であり、実運用上「定期的なローテーション」を容易に実現できません。