CLF-C02#230(Security)
ユーザーが、管理タスクに費やす時間を最小限に抑えながら、アプリケーション間で共有される認証情報の管理とローテーションを安全に自動化したいと考えています。これを達成するために使用できるAWSサービスまたは機能はどれですか?
正解:C
正解の根拠
AWS Secrets Managerはデータベース認証情報、APIキー、トークンなどのシークレットを暗号化保存し、Lambdaローテーション関数によりRDS等のパスワードを自動でローテーションできます。アプリは長期パスワードを保持せず、APIで都度取得するため運用負荷を最小化しつつ安全に共有できます。
認証情報・鍵管理サービス比較
| サービス | 主目的 |
|---|---|
| Secrets Manager | シークレット保管と自動ローテーション |
| KMS | 暗号化キーの作成・管理・利用 |
| CloudHSM | 専有 HSM での鍵管理 |
| SSE | S3 等の保存データ暗号化 |
不正解の理由
- A: CloudHSMは専有HSMによる鍵管理で、シークレット本体の保管・ローテーション機能はありません。
- B: KMSは暗号化鍵の管理が役割で、パスワード値の保存やローテーションは行いません。
- D: サーバーサイド暗号化はストレージ層の暗号化機能で、認証情報共有とは無関係です。
コメント