Q13 — AWS SOA-C02 第1章
第 13/100 問 | ← 第1章
SysOps管理者は、本番データベースのコピーをマイグレーションアカウントと共有したいと考えています。本番データベースはAmazon RDS DBインスタンス上にホストされており、AWS Key Management Service(AWS KMS)キー(エイリアス:production-rds-key)で静止時暗号化されています。 SysOps管理者は、最小限の管理オーバーヘッドでこれらの要件を満たすために何を行う必要がありますか?
- A. 本番アカウントでRDS DBインスタンスのスナップショットを取得します。production-rds-key KMSキーのKMSキーポリシーを修正し、マイグレーションアカウントのルートユーザーにアクセス権を付与します。スナップショットをマイグレーションアカウントと共有します。 ✓
- B. マイグレーションアカウントにRDSリードレプリカを作成します。KMSキーポリシーを構成して、production-rds-key KMSキーをマイグレーションアカウントへレプリケートします。
- C. 本番アカウントでRDS DBインスタンスのスナップショットを取得します。スナップショットをマイグレーションアカウントと共有します。マイグレーションアカウントで、同一のエイリアスを持つ新しいKMSキーを作成します。
- D. ネイティブデータベースツールセットを用いてRDS DBインスタンスをAmazon S3へエクスポートします。本番アカウントとマイグレーションアカウント間のクロスアカウントアクセスを可能にするS3バケットおよびS3バケットポリシーを作成します。ネイティブデータベースツールセットを用いて、Amazon S3から新しいRDS DBインスタンスへデータベースをインポートします。
正解: A. 本番アカウントでRDS DBインスタンスのスナップショットを取得します。production-rds-key KMSキーのKMSキーポリシーを修正し、マイグレーションアカウントのルートユーザーにアクセス権を付与します。スナップショットをマイグレーションアカウントと共有します。
解説
AWS KMSキーのポリシーは、暗号化されたRDSスナップショットをクロスアカウントで共有する前提条件です。AWS公式ドキュメントでは、暗号化されたスナップショットをクロスアカウントで共有する場合、ターゲットアカウントが元のKMSキーを使用してデータを復号できるよう、明示的なアクセス許可を付与する必要があると明記されています。選択肢Aは、KMSキーポリシーを修正してマイグレーションアカウントのルートユーザーにアクセス権を付与することで、スナップショットの復号に必要な元のキーへのアクセスを保証します。選択肢BはKMSキーのクロスアカウントレプリケーションを含み、手順が複雑であり、必須ではありません。選択肢Cは新しいKMSキーを作成しますが、これでは元のスナップショットを復号できません。選択肢DはS3経由でのデータ転送を含み、追加の手順が多く、最小限の管理オーバーヘッドという要件に反します。選択肢Aは、暗号化されたスナップショットを共有するための必要条件を直接満たします。