Q46 — AWS SCS-C02 第1章
第 46/100 問 | ← 第1章
ある会社はus-east-1リージョンでワークロードを実行しています。同社はこれまで他のAWSリージョンにリソースを展開したことがなく、マルチリージョンリソースもありません。同社は、ワークロードおよびインフラストラクチャをus-west-1リージョンにレプリケートする必要があります。 セキュリティエンジニアは、AWS Secrets Managerを使用して両リージョンにシークレットを保存するソリューションを実装する必要があります。このソリューションは、AWS Key Management Service (AWS KMS) を使用してシークレットを暗号化する必要があります。また、遅延を最小限に抑え、単一リージョンのみが利用可能な場合でも機能する必要があります。 セキュリティエンジニアは、Secrets Managerを使用してus-east-1でシークレットを作成しました。 要件を満たすために、セキュリティエンジニアが次に実施すべきことは何ですか?
- A. us-east-1でAWSマネージドKMSキーを使用してシークレットを暗号化します。シークレットをus-west-1にレプリケートします。us-west-1で新しいAWSマネージドKMSキーを使用して、us-west-1のシークレットを暗号化します。
- B. us-east-1でAWSマネージドKMSキーを使用してシークレットを暗号化します。us-west-1のリソースをus-east-1のSecrets Managerエンドポイントを呼び出すように構成します。
- C. us-east-1でカスタマーマネージドKMSキーを使用してシークレットを暗号化します。us-west-1のリソースをus-east-1のSecrets Managerエンドポイントを呼び出すように構成します。
- D. us-east-1でカスタマーマネージドKMSキーを使用してシークレットを暗号化します。シークレットをus-west-1にレプリケートします。us-west-1でus-east-1のカスタマーマネージドKMSキーを使用してシークレットを暗号化します。 ✓
正解: D. us-east-1でカスタマーマネージドKMSキーを使用してシークレットを暗号化します。シークレットをus-west-1にレプリケートします。us-west-1でus-east-1のカスタマーマネージドKMSキーを使用してシークレットを暗号化します。
解説
AWS Secrets ManagerおよびKMSのマルチリージョンレプリケーションのシナリオにおいて、カスタマーマネージドキー(CMK)を活用し、マルチリージョンキーを有効化することが重要です。AWSドキュメントによると、高可用性を確保し、単一リージョンでの運用を可能にするには、マルチリージョン構成で同一のCMKを使用する必要があります。選択肢Dは、シークレットをターゲットリージョンにレプリケートし、ソースリージョンのCMKを再利用することで、各リージョンが独立して暗号化データにアクセスできるようにします。選択肢BおよびCは、クロスリージョン呼び出しに依存しており、単一リージョン可用性の要件を満たしません。選択肢Aは異なるキーを使用するため、復号に失敗します。選択肢Dは、マルチリージョンキーおよびローカルレプリケーションの要件を満たし、低遅延および耐障害性を保証します。