Q81 — AWS SCS-C02 第1章
第 81/100 問 | ← 第1章
アプリケーションが、IAMロールがアタッチされたAmazon EC2インスタンス上で実行されています。このIAMロールは、AWS Key Management Service (AWS KMS) のカスタマーマネージドキーおよびAmazon S3バケットへのアクセスを提供します。このキーは、S3バケットに保存された2 TBの機密データにアクセスするために使用されます。 セキュリティエンジニアが、EC2インスタンス上で機密データの漏洩を招く可能性のある脆弱性を発見しました。他の重要な運用のため、セキュリティエンジニアは、脆弱性のパッチ適用のためにEC2インスタンスを即座に停止できません。 機密データの公開を防止するための最も迅速な方法は何ですか?
- A. 既存のS3バケットからデータを新しいEC2インスタンスにダウンロードし、その後S3バケットからデータを削除します。クライアント側のキーでデータを再暗号化し、新しいS3バケットにアップロードします。
- B. ホストベースのファイアウォールを使用して、S3エンドポイントのパブリックIPアドレス範囲へのアクセスをブロックします。影響を受けたEC2インスタンスからのインターネット向けトラフィックがホストベースのファイアウォールを経由するように設定します。
- C. IAMロールのアクティブなセッション権限を失効させます。S3バケットポリシーを更新して、そのIAMロールへのアクセスを拒否します。EC2インスタンスプロファイルからIAMロールを削除します。 ✓
- D. 現在のキーを無効化します。IAMロールがアクセスできない新しいKMSキーを作成し、すべてのデータをその新しいキーで再暗号化します。侵害されたキーの削除をスケジュールします。
正解: C. IAMロールのアクティブなセッション権限を失効させます。S3バケットポリシーを更新して、そのIAMロールへのアクセスを拒否します。EC2インスタンスプロファイルからIAMロールを削除します。
解説
機密データの漏洩を防ぐため、EC2インスタンスを即座に停止できない状況では、IAMロールの現在のセッション権限を失効させ、S3バケットポリシーを更新して当該ロールへのアクセスを拒否し、EC2インスタンスプロファイルからIAMロールを削除することで、即時にアクセスを遮断できます。他の選択肢は相対的に時間がかかります。