Question#21(SCS-C01)

ある企業は、機密データを含むすべてのオブジェクトをAmazon S3バケットに保存する予定です。企業は、S3バケットを暗号化するためにサーバーサイド暗号化を使用します。企業の運用チームは、S3バケットへのアクセスを管理します。企業のセキュリティチームは、暗号化キーのアクセスを管理します。企業は、両チームの職務を分離し、一方のチームによる設定ミスが平文データの不正アクセスを許可する形でデータを危険にさらすことがないようにしたいと考えています。どのソリューションがこの要件を満たしますか？

A. 運用チームがS3バケットのデフォルトバケット暗号化を構成し、Amazon S3管理暗号鍵（SSE-S3）を使用するサーバーサイド暗号化を設定することを確認します。セキュリティチームが暗号鍵の使用アクセスを制御するIAMポリシーを作成することを確認します。
B. 運用チームが、バケットポリシーを作成し、リクエストに顧客管理のAWS KMSキーを使用したサーバーサイド暗号化（SSE-KMS）を使用することを要求することを確認します。セキュリティチームが暗号鍵へのアクセスを制御するキー政策を作成することを確認します。
C. 運用チームが、バケットポリシーを作成し、リクエストにAmazon S3管理キーを使用したサーバーサイド暗号化（SSE-S3）を使用することを要求することを確認します。セキュリティチームが暗号鍵の使用アクセスを制御するIAMポリシーを作成することを確認します。
D. 運用チームが、バケットポリシーを作成し、リクエストに顧客提供暗号鍵（SSE-C）を使用したサーバーサイド暗号化を使用することを要求することを確認します。セキュリティチームが顧客提供キーをAWS Key Management Service（AWS KMS）に保存し、暗号鍵へのアクセスを制御するキー政策を作成することを確認します。

正解と解説ディスカッション 0

正解：B

顧客管理のAWS KMSキーを使用したサーバーサイド暗号化（SSE-KMS）は、運用チームがS3バケットポリシーでSSE-KMSを要求する設定を行い、セキュリティチームがKMSキー政策（key policy）で暗号鍵へのアクセスを厳密に制御できます。バケットポリシーでaws:SecureTransportやx-amz-server-side-encryptionを条件として設定し、SSE-KMSを必須にすることで、運用チームは暗号化を強制できます。一方、セキュリティチームはKMSキー政策で、誰がキーを使用または管理できるかを制限し、運用チームが平文データにアクセスする権限を付与しないようにします。この職務分離により、運用チームのバケットポリシー設定ミス（例：不正なアクセス許可）があっても、セキュリティチームのキー政策が平文データへのアクセスをブロックするため、データは保護されます。したがって、この選択肢が正解です。

Question#21(SCS-C01)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル