Q64 — AWS SCS-C02 第1章
第 64/100 問 | ← 第1章
ある企業は、単一のAWSリージョンにアプリケーションを移行する計画を立てています。同社のアプリケーションは、Amazon EC2インスタンス、Elastic Load Balancing(ELB)ロードバランサー、およびAmazon S3バケットの組み合わせを使用します。同社は、移行をできる限り迅速に完了したいと考えています。すべてのアプリケーションは、以下の要件を満たす必要があります: ・静止時のデータは暗号化されていること。 ・転送中のデータは暗号化されていること。 ・エンドポイントは異常なネットワークトラフィックを監視すること。
- A. AWS Systems Manager Automationを使用して、Amazon InspectorエージェントをEC2インスタンスにインストールします。
- B. すべてのAWSアカウントでAmazon GuardDutyを有効化します。 ✓
- C. Amazon EC2およびAmazon S3用のVPCエンドポイントを作成します。VPCルートテーブルを更新して、安全なVPCエンドポイントのみを使用するようにします。
- D. AWS Certificate Manager(ACM)を設定します。ロードバランサーがACMから取得した証明書を使用するように設定します。 ✓
- E. AWS Key Management Service(AWS KMS)を使用して鍵管理を行い、S3バケットポリシーを作成して、x-amz-meta-side-encryption条件付きでPutObjectコマンドを拒否します。
- F. AWS Key Management Service(AWS KMS)を使用して鍵管理を行い、S3バケットポリシーを作成して、x-amz-server-side-encryption条件付きでPutObjectコマンドを拒否します。 ✓
正解: B. すべてのAWSアカウントでAmazon GuardDutyを有効化します。, D. AWS Certificate Manager(ACM)を設定します。ロードバランサーがACMから取得した証明書を使用するように設定します。, F. AWS Key Management Service(AWS KMS)を使用して鍵管理を行い、S3バケットポリシーを作成して、x-amz-server-side-encryption条件付きでPutObjectコマンドを拒否します。
解説
本問は、データの静止時および転送中の暗号化、およびエンドポイントの異常ネットワークトラフィック監視を確実にする必要があります。正解はB、D、Fです。Amazon GuardDuty(B)は、悪意のある活動および不正なアクセスを継続的に監視し、トラフィック監視要件を満たします。AWS Certificate Manager(D)は、ロードバランサーにマネージドSSL/TLS証明書を提供し、転送中のデータ暗号化を容易に実現します。AWS KMSとS3バケットポリシー(F)を組み合わせることで、サーバー側暗号化を強制し、正しい条件`x-amz-server-side-encryption`を使用して暗号化されていないアップロードを拒否することで、静止時のデータ暗号化を保証します。選択肢Aは脆弱性評価に関連し、トラフィック監視とは無関係です。選択肢CのVPCエンドポイント設定は、本問のコア要件ではありません。選択肢Eの誤った条件では、暗号化を効果的に強制できません。