Q7 — AWS SCS-C02 第1章
第 7/100 問 | ← 第1章
ある会社は、AWS CloudFormationテンプレートからリソースを展開する際にセキュリティのベストプラクティスに従う必要があります。CloudFormationテンプレートは、機密性の高いデータベース資格情報の設定を可能にする必要があります。 この会社はすでにAWS Key Management Service (AWS KMS) およびAWS Secrets Managerを使用しています。 この要件を満たすソリューションはどれですか?
- A. CloudFormationテンプレート内で動的参照を使用して、Secrets Manager内のデータベース資格情報を参照します。 ✓
- B. CloudFormationテンプレート内でパラメーターを使用してデータベース資格情報を参照します。AWS KMSを使用してCloudFormationテンプレートを暗号化します。 
- C. CloudFormationテンプレート内でSecureStringパラメーターを使用して、Secrets Manager内のデータベース資格情報を参照します。 
- D. CloudFormationテンプレート内でSecureStringパラメーターを使用して、AWS KMS内の暗号化された値を参照します。
正解: A. CloudFormationテンプレート内で動的参照を使用して、Secrets Manager内のデータベース資格情報を参照します。
解説
AWS CloudFormationの動的参照は、Secrets Managerから機密データを安全に取得する機能を提供し、テンプレート内に平文で資格情報を記述する必要がありません。『AWS Secrets Managerユーザーガイド』によると、動的参照は`{{resolve:secretsmanager:secret-id}}`という構文で秘密値を安全に取得します。選択肢Aはこの機構を活用し、データベース資格情報がテンプレート内で露呈することを防ぎます。選択肢Bのテンプレート暗号化は、パラメーターの平文伝送リスクを防止できません。選択肢CおよびDのSecureStringパラメーターはSystems Manager Parameter Storeの機能であり、問題文で既に使用されているSecrets Managerとは異なります。正解はAであり、これはセキュリティのベストプラクティスに合致します。