Question#29(SAP-C02)

ある会社は、AWS Transfer Family の SFTP 対応サーバーと Amazon S3 バケットを使用して、サードパーティのデータ提供元から更新データを受け取る必要があります。データは PGP（Pretty Good Privacy）暗号化されています。会社は、受信後にデータを自動で復号するソリューションを必要としています。ソリューションアーキテクトは Transfer Family のマネージドワークフローを使用します。会社は AWS Secrets Manager と S3 バケットへのアクセスを許可する IAM ポリシーで IAM サービスロールを作成済みで、このロールの信頼ポリシーでは transfer.amazonaws.com サービスがロールを引き受けられるようにしています。

自動復号ソリューションを完成させるために、次に何をすべきですか？

A. PGP 公開鍵を Secrets Manager に保管する。Transfer Family のマネージドワークフローに通常ステップ（nominal step）を追加してファイルを復号する。通常ステップで PGP の暗号化パラメータを設定する。ワークフローを Transfer Family サーバーに関連付ける。
B. PGP 秘密鍵を Secrets Manager に保管する。Transfer Family のマネージドワークフローに例外処理ステップを追加してファイルを復号する。例外処理に PGP の暗号化パラメータを設定する。ワークフローを SFTP ユーザーに関連付ける。
C. PGP 秘密鍵を Secrets Manager に保管する。Transfer Family のマネージドワークフローに通常ステップ（nominal step）を追加してファイルを復号する。通常ステップで PGP 復号のパラメータを設定する。ワークフローを Transfer Family サーバーに関連付ける。
D. PGP 公開鍵を Secrets Manager に保管する。Transfer Family のマネージドワークフローに例外処理ステップを追加してファイルを復号する。例外処理に PGP 復号のパラメータを設定する。ワークフローを SFTP ユーザーに関連付ける。

正解と解説ディスカッション 0

正解：C

PGP で復号するには秘密鍵が必須であり、鍵素材は安全に保管・参照される必要があります。Transfer Family のマネージドワークフローには、アップロード完了後に実行される通常ステップ（nominal step）として「復号（Decrypt）」アクションを組み込めます。このステップの設定で、Secrets Manager に保存した PGP 秘密鍵を参照させることで、S3 に到着したファイルを自動復号できます。

また、ワークフローは一般にサーバーに関連付けることで、当該サーバーに届くすべて（または一致する条件）の転送に対して確実に実行されます。したがって、PGP 秘密鍵を Secrets Manager に格納し、通常ステップの Decrypt を設定し、ワークフローをサーバーに関連付けるという流れの C が要件を最小の開発工数で満たします。

Question#29(SAP-C02)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル