Q38 — AWS SCS-C02 第1章
第 38/100 問 | ← 第1章
ある企業は、新しいアプリケーションスタックを設計しています。この設計には、Amazon EC2インスタンス上でホストされるWebサーバーおよびバックエンドサーバーが含まれます。また、Amazon Aurora MySQL DBクラスターも含まれます。 EC2インスタンスは、起動テンプレートを使用するAuto Scalingグループにあります。Web層およびバックエンド層のEC2インスタンスは、Amazon Elastic Block Store(Amazon EBS)ボリュームによってバックアップされています。どのレイヤーも静的暗号化されていません。セキュリティエンジニアは、静的暗号化を実装する必要があります。 これらの要件を満たすステップの組み合わせはどれですか?(2つ選択)
- A. 対象のAWSリージョンでEBSのデフォルト暗号化設定を変更して暗号化を有効化します。Auto Scalingグループのインスタンス更新を使用します。 ✓
- B. Web層およびバックエンド層の起動テンプレートを変更し、添付されたEBSボリュームに対してAWS Certificate Manager(ACM)暗号化を追加します。Auto Scalingグループのインスタンス更新を使用します。
- C. 既存のDBクラスターのスナップショットから、新しいAWS Key Management Service(AWS KMS)暗号化済みDBクラスターを作成します。 ✓
- D. 既存のDBクラスターにAWS Key Management Service(AWS KMS)暗号化を適用します。
- E. 既存のDBクラスターにAWS Certificate Manager(ACM)暗号化を適用します。
正解: A. 対象のAWSリージョンでEBSのデフォルト暗号化設定を変更して暗号化を有効化します。Auto Scalingグループのインスタンス更新を使用します。, C. 既存のDBクラスターのスナップショットから、新しいAWS Key Management Service(AWS KMS)暗号化済みDBクラスターを作成します。
解説
AWSにおける静的データ暗号化は、EBSボリュームおよびデータベースの暗号化処理を含みます。EBSのデフォルト暗号化を有効化すると、新規ボリュームは自動的に暗号化され、既存インスタンスを置き換えるためにインスタンス更新が必要です。Aurora MySQLクラスターの暗号化は、スナップショットから新しい暗号化済みクラスターを復元することで実現します。ACMは証明書管理に使用され、EBSまたはデータベースの暗号化とは無関係です。選択肢Aは、デフォルト暗号化の有効化とインスタンス更新を正しく組み合わせており、正解です。選択肢Cは、スナップショットから暗号化済みの新規クラスターを作成するという正しい手法を採用しています。選択肢B、D、Eは誤ったサービスの使用または実現不可能な手法を含んでいます。AWS EBS暗号化およびAurora暗号化のドキュメントを参照してください。