AIF-C01#2(security-governance)
ある企業が、Amazon Bedrock のカスタムモデルを生成AIアプリケーションに使用しています。同社は、モデルカスタマイズジョブが作成するモデルアーティファクトを暗号化するために、企業が管理する暗号化キーを使用したいと考えています。
この要件を満たす AWS サービスはどれですか?
正解:A
正解の根拠
AWS Key Management Service (KMS) は、企業が管理するカスタマーマネージドキー (CMK) を作成・運用できるマネージド暗号化サービスです。Bedrock のカスタムモデルカスタマイズジョブでは、出力先となるモデルアーティファクトの暗号化に CMK を指定でき、キーローテーションやアクセス制御を顧客側で完全に統制できます。BYOK 要件や規制要件への適合に標準的に利用されます。
関連サービスの役割
| サービス | 役割 |
|---|---|
| AWS KMS | 暗号化キー管理 (CMK) |
| Inspector | 脆弱性評価 |
| Macie | S3 機密データ検出 |
| Secrets Manager | シークレット (パスワード等) 管理 |
不正解の理由
- B: Inspector は EC2 等の脆弱性評価サービスで、暗号化キー管理やモデルアーティファクトの暗号化を担うサービスではありません。
- C: Macie は S3 の機密データ検出と分類が主機能で、Bedrock のモデルアーティファクト暗号化に CMK を提供する機能はありません。
- D: Secrets Manager は API キーや DB パスワードなどシークレット情報の保管・ローテーションが目的で、データ暗号化キーの提供は KMS の役割です。
コメント