DP300-SEC#24
各 TDE 設定 オプション が提供する キー管理方式を選択してください。
| ステートメント | 選択 |
|---|---|
Microsoft が暗号化キー を自動 管理 (デフォルト) Service-Managed Key (デフォルト) は Microsoft が暗号化キー の生成 / ローテーション / 保管を自動 実施します。 | |
Azure Key Vault に保管したキー を SQL Database が利用 CMK は Key Vault 保管のキーを SQL Database が Managed Identity で取得 復号で 顧客がキー の制御権を持ちます。 | |
TDE が無効化された状態 TDE 無効は推奨されない設定で Storage 漏洩時にデータが平文で取得される セキュリティリスクが あります。 |
解説
【正解マッチング】
| 判定対象 | 正解 |
|---|---|
| Microsoft が暗号化キー を自動 管理 | Service-Managed |
| Azure Key Vault に保管したキー を SQL Database が利用 | Customer-Managed (CMK) |
| TDE が無効化された状態 | 無効 |
【各判定の詳細】
- 「Microsoft が暗号化キー を自動 管理」→ Service-Managed: Service-Managed Key (デフォルト) は Microsoft が暗号化キー の生成 / ローテーション / 保管を自動 実施します。
- 「Azure Key Vault に保管したキー を SQL Database が利用」→ Customer-Managed (CMK): CMK は Key Vault 保管のキーを SQL Database が Managed Identity で取得 復号で 顧客がキー の制御権を持ちます。
- 「TDE が無効化された状態」→ 無効: TDE 無効は推奨されない設定で Storage 漏洩時にデータが平文で取得される セキュリティリスクが あります。
コメント