Question#26(SCS-C01)
セキュリティエンジニアは開発チームと協力して、サプライチェーンアプリケーションを設計しています。このアプリケーションは Amazon S3 バケットに機密性の高い在庫データを保存します。アプリケーションは、データを Amazon S3 に保存する際に AWS Key Management Service (AWS KMS) のカスタマー管理キー(CMK) を使用して暗号化します。
Amazon S3 内の在庫データは 数百のベンダーと共有されます。すべてのベンダーは、自身の AWS アカウントの AWS プリンシパルを使用して Amazon S3 内のデータにアクセスします。ベンダーのリストは毎週変更される可能性があります。 セキュリティエンジニアは、クロスアカウントアクセスをサポートするソリューションを見つける必要があります。 運用上もっとも効率的にカスタマー管理キーのアクセス制御を管理できるソリューションはどれでしょうか?正解:A
KMS グラントは、特定のプリンシパルに対してキーの利用権限を一時的または限定的に付与する仕組みです。
- 各ベンダーごとに Encrypt / Decrypt 操作を許可するグラントを作成可能。
- ベンダーが不要になったら、対応するグラントを 即時に Revoke(失効) できる。
- キーのポリシーや IAM ポリシー自体を編集する必要がないため、更新作業が軽量で済む。
- 毎週ベンダーが入れ替わるシナリオにおいても、プログラムでグラントを作成・削除するだけで柔軟に管理可能。
コメント