SCS-C02#1(data-protection)
ある企業が複数の AWS アカウントで Amazon S3 と Amazon EBS を運用しており、暗号化キーの管理コストを最小化したいと考えています。セキュリティチームは、キーポリシーの編集やローテーションの制御を完全に自社で行えることを必須要件としており、キーの利用状況も CloudTrail で詳細に追跡したいと考えています。どの KMS キータイプを選択すべきですか。
正解:A
正解の根拠
カスタマーマネージドキー (CMK) はキーポリシー編集、ローテーション制御、無効化、削除スケジュールなど、ライフサイクル全体を顧客が制御でき、CloudTrail に全 API が記録されます。AWS マネージドキーはポリシー編集不可、AWS 所有キーは可視性がありません。
不正解の理由
- B: AWS マネージドキーは aws/service プレフィックスでサービスが管理し、ポリシー編集や手動制御ができません。
- C: AWS 所有キーは複数顧客で共有され、キーポリシーや使用ログを参照できず制御要件を満たせません。
- D: アプリ独自管理は KMS の監査統合や強い鍵保護の利点を放棄するため要件を満たしません。
コメント