Q28 — AWS SCS-C02 第1章
第 28/100 問 | ← 第1章
セキュリティエンジニアは、Amazon EC2上で実行されるJavaアプリケーションを開発しています。このアプリケーションはAmazon RDSインスタンスと通信し、ユーザー名とパスワードで認証を行います。 資格情報(クレデンシャル)を保護し、資格情報のローテーション時にダウンタイムを最小限に抑えるために、エンジニアが実施できる手順の組み合わせはどれですか?(2つ選択)
- A. データベース管理者が資格情報を暗号化し、暗号化されたテキストをAmazon S3に保存します。EC2インスタンスに関連付けられたインスタンスロールに、そのオブジェクトを読み取り、暗号化されたテキストを復号する権限を付与します。
- B. AWS Systems Manager Parameter Storeで資格情報を更新する定期ジョブを設定し、アプリケーションの再起動が必要であることをエンジニアに通知します。
- C. AWS Secrets Managerで資格情報の自動ローテーションを設定します。 ✓
- D. 資格情報をAWS Systems Manager Parameter Storeの暗号化済み文字列パラメータとして保存します。EC2インスタンスに関連付けられたインスタンスロールに、そのパラメータおよび暗号化に使用されるAWS KMSキーへのアクセス権限を付与します。
- E. Javaアプリケーションを構成して接続失敗をキャッチし、パスワードがローテーションされた際にAWS Secrets Managerを呼び出して更新された資格情報を取得するようにします。EC2インスタンスに関連付けられたインスタンスロールに、Secrets Managerへのアクセス権限を付与します。 ✓
正解: C. AWS Secrets Managerで資格情報の自動ローテーションを設定します。, E. Javaアプリケーションを構成して接続失敗をキャッチし、パスワードがローテーションされた際にAWS Secrets Managerを呼び出して更新された資格情報を取得するようにします。EC2インスタンスに関連付けられたインスタンスロールに、Secrets Managerへのアクセス権限を付与します。
解説
AWS Secrets Managerは、データベース資格情報の自動ローテーションをサポートしており、手動介入を必要とせず、資格情報を定期的に更新できます。アプリケーションが接続失敗時に最新の資格情報を自動取得することで、ダウンタイムを回避できます。AWSドキュメントによると、Secrets Managerの自動ローテーションとアプリケーションによる動的取得を組み合わせることで、新しい資格情報へのシームレスな移行が可能になります。選択肢Cは自動ローテーションを有効化し、選択肢Eは資格情報が無効になった際にアプリケーションが最新の資格情報を自動取得することを保証します。この2つを併用することで、安全な保管と最小中断が実現されます。選択肢A、B、Dは自動ローテーションを欠くか、手動操作を必要とするため、要件を満たしません。