Q83 — AWS SCS-C02 第1章

第 83/100 問 | ← 第1章

セキュリティエンジニアは、ユーザーがキーを直接操作することなく、Amazon S3オブジェクトをシームレスに暗号化できるソリューションを実装しようとしています。このソリューションは、継続的な管理を必要とせず、非常にスケーラブルである必要があります。また、組織は暗号化キーを即座に削除できる必要があります。 これらの要件を満たすソリューションはどれですか?

正解: B. KMSとAWSにインポートされた鍵材料を使用し、必要に応じてDeleteImportedKeyMaterial APIを使用して鍵材料を削除します。

解説

AWS KMSのカスタマーマネージドキーは、外部から鍵材料をインポートする機能(B)をサポートしています。AWS公式ドキュメントによると、DeleteImportedKeyMaterial APIを使用すると、インポートされた鍵材料を即座に削除でき、その鍵は利用不可になります。AWS管理キー(A)のScheduleKeyDeletionは、最短7日間の待機期間が必要であり、即時削除を満たしません。CloudHSM(C)はHSMクラスターの自前管理を必要とし、運用負荷が増加します。Systems Manager Parameter Store(D)は専用の鍵管理サービスではなく、大規模な暗号化シナリオには不適切です。