Q29 — AWS SCS-C02 第1章
第 29/100 問 | ← 第1章
ある企業は、AWS Key Management Service (AWS KMS) のAWS所有のキーをアプリケーションで使用し、AWSアカウント内のファイルを暗号化しています。同社のセキュリティチームは、潜在的なキー侵害が発生した際に、新規ファイルに対して新しいキー素材に切り替える能力を確保したいと考えています。セキュリティエンジニアは、セキュリティチームがいつでもキーを変更できるようにするソリューションを実装しなければなりません。 これらの要件を満たすソリューションはどれですか?
- A. 新しいカスタマーマネージドキーを作成します。キーにキー回転スケジュールを追加します。セキュリティチームがキー変更を要求するたびに、このキー回転スケジュールを実行します。
- B. 新しいAWSマネージドキーを作成します。キーにキー回転スケジュールを追加します。セキュリティチームがキー変更を要求するたびに、このキー回転スケジュールを実行します。
- C. キー別名(Alias)を作成します。セキュリティチームがキー変更を要求するたびに、新しいカスタマーマネージドキーを作成します。この別名を新しいキーに関連付けます。 ✓
- D. キー別名(Alias)を作成します。セキュリティチームがキー変更を要求するたびに、新しいAWSマネージドキーを作成します。この別名を新しいキーに関連付けます。
正解: C. キー別名(Alias)を作成します。セキュリティチームがキー変更を要求するたびに、新しいカスタマーマネージドキーを作成します。この別名を新しいキーに関連付けます。
解説
AWS KMSのカスタマーマネージドキーは、ユーザーがキーのライフサイクルを自主的に管理できるように設計されています。AWSドキュメントによると、別名はKMSキーを指すポインタであり、いつでも新しいキーに再マッピングできます。選択肢Cは、新しいカスタマーマネージドキーを作成し、別名をその新しいキーに関連付けることで、キー変更時にアプリケーションの設定を変更する必要なく、別名の再マッピングのみで対応できます。選択肢Aのキー回転は新しい暗号化素材を自動生成しますが、主キー自体を置き換えません。選択肢BおよびDはAWSマネージドキーを扱いますが、ユーザーはそれらを手動で作成・交換できません。正しい方法は、別名を用いてカスタマーマネージドキーを動的に切り替えることです。