AWS認定資格 WEB問題集&徹底解説
CloudOpsエンジニア -アソシエイト
解説
正解はAです。AWS KMSのカスタマー管理キーを使用し、自動キーローテーションを有効化することで、要件を満たすことができます。KMSの自動キーローテーションは1年ごとに実行されますが、これは2年ごとの要件も満たします(より頻繁なローテーションはセキュリティ上望ましい)。カスタマー管理キーを使用することで、キーのローテーション履歴やアクセスログをCloudTrailで追跡でき、コンプライアンス要件の証跡管理も容易になります。
選択肢B:アプリケーション層での暗号化は実装と運用の負荷が高く、キーの安全な保管、ローテーション処理の実装、複数のアプリケーションへの展開など、運用負荷を最小限に抑えるという要件に合致しません。
選択肢C:AWS所有キーではキーのローテーション状況やキーポリシーを管理者が制御・確認できないため、2年ごとのローテーションというコンプライアンス要件を証明することができません。
選択肢D:外部HSMからのキーインポートは、AWS KMSの自動キーローテーション機能が使用できません。手動でのキーローテーション実装が必要となり、運用負荷を最小限に抑えるという要件に反します。
AWS Key Management Service (AWS KMS)
選択肢B:アプリケーション層での暗号化は実装と運用の負荷が高く、キーの安全な保管、ローテーション処理の実装、複数のアプリケーションへの展開など、運用負荷を最小限に抑えるという要件に合致しません。
選択肢C:AWS所有キーではキーのローテーション状況やキーポリシーを管理者が制御・確認できないため、2年ごとのローテーションというコンプライアンス要件を証明することができません。
選択肢D:外部HSMからのキーインポートは、AWS KMSの自動キーローテーション機能が使用できません。手動でのキーローテーション実装が必要となり、運用負荷を最小限に抑えるという要件に反します。
関連サービスの解説
Amazon DynamoDBAWS Key Management Service (AWS KMS)
+ 質問 / コメント
解答・解説に疑問がある場合や、よりよい解説がある場合など、お気軽にコメントください。ただし、短文コメントは表示されません。また、中傷などコメントの内容によっては、会員機能を停止させて頂きます。教え学び合える場になれば嬉しいです。(コメント投稿にはログインが必要です)
正答率 77%
No.19 解説
ある企業では、DynamoDBテーブルに保存されている顧客の個人情報を暗号化する必要があります。この暗号化には、保存時の暗号化を使用し、暗号化キーは2年ごとにローテーションすることがコンプライアンス要件として定められています。運用負荷を最小限に抑えながら、この要件を満たすにはどの方法が最適ですか。
- DynamoDB用のカスタマー管理キーをAWS KMSで作成し、自動キーローテーションを有効化する
- アプリケーション層でデータを暗号化してからDynamoDBに保存し、アプリケーション側でキー管理を行う
- DynamoDBのデフォルト暗号化(AWS所有キー)を使用し、AWS側で自動的にキーをローテーションさせる
- 外部のハードウェアセキュリティモジュール(HSM)でキーを生成し、AWS KMSへインポートしてキーローテーションを実装する