Q83 — AWS SCS-C02 第1章
第 83/100 問 | ← 第1章
セキュリティエンジニアは、ユーザーがキーを直接操作することなく、Amazon S3オブジェクトをシームレスに暗号化できるソリューションを実装しようとしています。このソリューションは、継続的な管理を必要とせず、非常にスケーラブルである必要があります。また、組織は暗号化キーを即座に削除できる必要があります。 これらの要件を満たすソリューションはどれですか?
- A. AWS KMSとAWS管理キーを使用し、PendingWindowInDaysを0に設定したScheduleKeyDeletion APIを使用して、必要に応じてキーを削除します。
- B. KMSとAWSにインポートされた鍵材料を使用し、必要に応じてDeleteImportedKeyMaterial APIを使用して鍵材料を削除します。 ✓
- C. AWS CloudHSMを使用してキーを保存し、CloudHSM APIまたはPKCS11ライブラリを使用して、必要に応じてキーを削除します。
- D. Systems Manager Parameter Storeを使用してキーを保存し、サービスAPI操作を使用して、必要に応じてキーを削除します。
正解: B. KMSとAWSにインポートされた鍵材料を使用し、必要に応じてDeleteImportedKeyMaterial APIを使用して鍵材料を削除します。
解説
AWS KMSのカスタマーマネージドキーは、外部から鍵材料をインポートする機能(B)をサポートしています。AWS公式ドキュメントによると、DeleteImportedKeyMaterial APIを使用すると、インポートされた鍵材料を即座に削除でき、その鍵は利用不可になります。AWS管理キー(A)のScheduleKeyDeletionは、最短7日間の待機期間が必要であり、即時削除を満たしません。CloudHSM(C)はHSMクラスターの自前管理を必要とし、運用負荷が増加します。Systems Manager Parameter Store(D)は専用の鍵管理サービスではなく、大規模な暗号化シナリオには不適切です。