Q15 — AWS SCS-C02 第1章
第 15/100 問 | ← 第1章
ある企業は、外部ユーザーとアプリケーション間のトラフィックを完全に暗号化する必要があります。同社は、Application Load Balancer(ALB)の背面でAuto Scalingグループ内に実行されるAmazon EC2インスタンスのフリート上でアプリケーションをホストしています。
- A. AWS Secrets Managerで新しいAmazon発行証明書を作成します。Secrets Managerから証明書をエクスポートします。ALBおよびEC2インスタンスに証明書をインポートします。
- B. AWS Certificate Manager(ACM)で新しいAmazon発行証明書を作成します。証明書をALBに関連付けます。ACMから証明書をエクスポートします。EC2インスタンスに証明書をインストールします。
- C. AWS Identity and Access Management(IAM)に新しいサードパーティ証明書をインポートします。IAMから証明書をエクスポートします。ALBおよびEC2インスタンスに証明書を関連付けます。
- D. AWS Certificate Manager(ACM)に新しいサードパーティ証明書をインポートします。証明書をALBに関連付けます。EC2インスタンスに証明書をインストールします。 ✓
正解: D. AWS Certificate Manager(ACM)に新しいサードパーティ証明書をインポートします。証明書をALBに関連付けます。EC2インスタンスに証明書をインストールします。
解説
AWSの暗号化シナリオにおいて、証明書管理とロードバランサーの統合が重要です。AWS公式ドキュメントによると、ACMにサードパーティ証明書をインポートすることでALBへのフロントエンドHTTPSが実現され、バックエンドEC2インスタンスにも同一証明書をインストールすることで、エンドツーエンドの暗号化が達成されます。選択肢Dは、このプロセスに従い、サードパーティ証明書をACMにインポートしてALBに紐付け、EC2に証明書をインストールするものであり、完全な暗号化を満たします。他の選択肢は、不適切なサービス(Secrets Manager、IAM)を用いているか、ACMで発行された証明書は秘密鍵をエクスポートできないため、ダブル暗号化チャネル要件を満たしません。