Q53 — AWS SOA-C02 第1章

第 53/100 問 | ← 第1章

ある会社が外部ベンダーと提携し、データ処理サービスを提供することになりました。この統合のために、ベンダーは会社のデータを自社のAWSアカウント内のAmazon S3バケットにホストする必要があります。ベンダーは、会社のデータを暗号化するためにAWS Key Management Service(AWS KMS)キーを会社が提供することを許可しています。また、ベンダーはこの統合のために会社にIAMロールのARNを提供しました。 この統合を構成するために、SysOps管理者は何を行うべきですか?

正解: A. 新しいKMSキーを作成します。KMSキーのポリシーにベンダーのIAMロールARNを追加します。新しいKMSキーのARNをベンダーに提供します。

解説

AWS KMSキーのポリシーでは、外部アカウントのIAMロールに対するアクセス権限を明示的に付与する必要があります。AWSドキュメントによると、KMSキーのクロスアカウントアクセスを実現するには、キーのポリシーに相手側のロールARNを明示的に追加する必要があります。選択肢Aは、新しいKMSキーを作成し、ベンダーのロールARNをポリシーに追加することで、そのロールによるキー利用を許可する正しい構成です。選択肢BはIAMユーザーを扱っており、ベンダーが提供したロールARNという前提に合致しません。選択肢CおよびDはAWSマネージドS3キーを使用していますが、問題文では会社が自身のKMSキーを提供することが求められています。選択肢Aは、クロスアカウント暗号化を正しく実現する構成です。