Q64 — AWS SCS-C02 第1章

第 64/100 問 | ← 第1章

ある企業は、単一のAWSリージョンにアプリケーションを移行する計画を立てています。同社のアプリケーションは、Amazon EC2インスタンス、Elastic Load Balancing(ELB)ロードバランサー、およびAmazon S3バケットの組み合わせを使用します。同社は、移行をできる限り迅速に完了したいと考えています。すべてのアプリケーションは、以下の要件を満たす必要があります: ・静止時のデータは暗号化されていること。 ・転送中のデータは暗号化されていること。 ・エンドポイントは異常なネットワークトラフィックを監視すること。

正解: B. すべてのAWSアカウントでAmazon GuardDutyを有効化します。, D. AWS Certificate Manager(ACM)を設定します。ロードバランサーがACMから取得した証明書を使用するように設定します。, F. AWS Key Management Service(AWS KMS)を使用して鍵管理を行い、S3バケットポリシーを作成して、x-amz-server-side-encryption条件付きでPutObjectコマンドを拒否します。

解説

本問は、データの静止時および転送中の暗号化、およびエンドポイントの異常ネットワークトラフィック監視を確実にする必要があります。正解はB、D、Fです。Amazon GuardDuty(B)は、悪意のある活動および不正なアクセスを継続的に監視し、トラフィック監視要件を満たします。AWS Certificate Manager(D)は、ロードバランサーにマネージドSSL/TLS証明書を提供し、転送中のデータ暗号化を容易に実現します。AWS KMSとS3バケットポリシー(F)を組み合わせることで、サーバー側暗号化を強制し、正しい条件`x-amz-server-side-encryption`を使用して暗号化されていないアップロードを拒否することで、静止時のデータ暗号化を保証します。選択肢Aは脆弱性評価に関連し、トラフィック監視とは無関係です。選択肢CのVPCエンドポイント設定は、本問のコア要件ではありません。選択肢Eの誤った条件では、暗号化を効果的に強制できません。