Q53 — AWS SOA-C02 第1章
第 53/100 問 | ← 第1章
ある会社が外部ベンダーと提携し、データ処理サービスを提供することになりました。この統合のために、ベンダーは会社のデータを自社のAWSアカウント内のAmazon S3バケットにホストする必要があります。ベンダーは、会社のデータを暗号化するためにAWS Key Management Service(AWS KMS)キーを会社が提供することを許可しています。また、ベンダーはこの統合のために会社にIAMロールのARNを提供しました。 この統合を構成するために、SysOps管理者は何を行うべきですか?
- A. 新しいKMSキーを作成します。KMSキーのポリシーにベンダーのIAMロールARNを追加します。新しいKMSキーのARNをベンダーに提供します。 ✓
- B. 新しいKMSキーを作成します。新しいIAMキーを作成します。IAMユーザーにアタッチされたインラインポリシーにベンダーのIAMロールARNを追加します。新しいIAMユーザーのARNをベンダーに提供します。
- C. KMS管理S3キーを使用して暗号化を構成します。KMSキーのポリシーにベンダーのIAMロールARNを追加します。KMS管理S3キーのARNをベンダーに提供します。
- D. KMS管理S3キーを使用して暗号化を構成します。S3バケットを作成します。S3バケットポリシーにベンダーのIAMロールARNを追加します。S3バケットのARNをベンダーに提供します。
正解: A. 新しいKMSキーを作成します。KMSキーのポリシーにベンダーのIAMロールARNを追加します。新しいKMSキーのARNをベンダーに提供します。
解説
AWS KMSキーのポリシーでは、外部アカウントのIAMロールに対するアクセス権限を明示的に付与する必要があります。AWSドキュメントによると、KMSキーのクロスアカウントアクセスを実現するには、キーのポリシーに相手側のロールARNを明示的に追加する必要があります。選択肢Aは、新しいKMSキーを作成し、ベンダーのロールARNをポリシーに追加することで、そのロールによるキー利用を許可する正しい構成です。選択肢BはIAMユーザーを扱っており、ベンダーが提供したロールARNという前提に合致しません。選択肢CおよびDはAWSマネージドS3キーを使用していますが、問題文では会社が自身のKMSキーを提供することが求められています。選択肢Aは、クロスアカウント暗号化を正しく実現する構成です。