AIF-C01#7(security-governance)
ある企業が自社のデータに対して Amazon Q Business を使用したいと考えています。この企業は、データのセキュリティとプライバシーを確保する必要があります。 これらの要件を満たすステップの組み合わせはどれですか?(2つ選択してください。)
正解:A, E
正解の根拠
Amazon Q Business では、Enterprise インデックスに対し AWS KMS のカスタマーマネージドキーを有効化することで、保存データを企業管理の鍵で暗号化できます。さらに認証には IAM Identity Center や IAM 連携を構成し、最小権限のプリンシパル制御を適用することがベストプラクティスです。これにより、データの機密性確保とアクセス制御の両面で要件を満たせます。
セキュリティ要素の整理
| 要素 | 役割 |
|---|---|
| KMS 暗号化 | 保存時暗号化と鍵管理 |
| IAM 認証 | 最小権限プリンシパル制御 |
| クロスアカウント許可 | 共有用途で過剰開放リスク |
| パブリックアクセス | 機密インデックスでは禁忌 |
不正解の理由
- B: クロスアカウントアクセスは共有目的の構成で、機密データの漏えいリスクを招くため本要件のセキュリティ強化策ではありません。
- C: Amazon Inspector は EC2 やコンテナの脆弱性スキャンサービスで、認証機構として動作するものではありません。
- D: インデックスへのパブリックアクセス許可は機密データを露出させ、プライバシーとセキュリティの要件に明確に反します。
コメント