CLF-C02#64(Security)
企業がAmazon RDSデータベースの認証情報を安全に保存し、ユーザーパスワードを定期的に自動ローテーションしたいと考えています。この要件を満たすAWSサービスまたは機能はどれですか?
正解:C
正解の根拠
AWS Secrets Managerはデータベース認証情報やAPIキーなどの機密情報を暗号化保管し、Lambda関数による自動ローテーションを内蔵サポートします。RDS、Aurora、Redshift、DocumentDBについては事前定義済みローテーションテンプレートが用意されており、安全かつ自動的にパスワード更新が行えます。
主要サービス比較
| サービス | シークレット保存 | 自動ローテーション |
|---|---|---|
| Secrets Manager | 可能 | 標準サポート |
| SSM Parameter Store | 可能 | 個別実装が必要 |
| S3 | 非推奨 | なし |
不正解の理由
- A: S3はオブジェクトストレージで、認証情報の管理機能やローテーション機能はありません。
- B: Parameter Storeは保存できますが、自動ローテーションは標準提供されません。
- D: CloudTrailは監査ログ用途で、シークレット保管とは無関係です。
コメント