CLF-C02#286(Security)
企業がAmazon Auroraをデータベースサービスとして使用しています。企業はデータベースとデータベースバックアップを暗号化したいと考えています。AWS責任共有モデルによると、データベースクラスターとデータベーススナップショットの暗号化は、どちらが管理しますか?
正解:B
正解の根拠
Amazon Aurora の責任共有モデルでは、暗号化を有効化するかどうか、どの KMS キーを使うかは顧客が選択・管理します。AWS は暗号化機能 (KMS) を提供しますが、データベースクラスターやスナップショットを暗号化するという意思決定と設定は顧客側で行うため、暗号化の管理者は企業 (顧客) です。
暗号化の責任
| 項目 | 担当 |
|---|---|
| 暗号化を有効化するか | 顧客 |
| 使用する KMS キー選択 | 顧客 |
| KMS の物理 HSM 運用 | AWS |
| 暗号化処理の実装 | AWS (機能提供) |
不正解の理由
- A: AWS は暗号化機能を提供しますが、有効化やキー選択は顧客が決めるため管理主体ではありません。
- C: AWS Marketplace パートナーはこの責任分界には登場せず、Aurora の暗号化設定は顧客が行います。
- D: サードパーティパートナーが顧客の代わりに暗号化を管理することは、責任共有モデル上の標準ではありません。
参考:Aurora の暗号化
コメント