Question#2(SOA-C02)

SysOps 管理者は、本番データベースのコピーを マイグレーション用アカウントと共有したいと考えています。本番データベースは Amazon RDS DB インスタンス上にホストされており、保存時の暗号化にはエイリアス production-rds-key を持つ AWS Key Management Service (AWS KMS) キーが使用されています。

最小限の管理作業で要件を満たすには、SysOps 管理者は何をすべきですか？

A. 本番アカウントで RDS DB インスタンスのスナップショットを取得する。production-rds-key KMS キーのキーポリシーを修正して、マイグレーションアカウントのルートユーザーにアクセス権を付与する。スナップショットをマイグレーションアカウントと共有する。
B. マイグレーションアカウントに RDS 読み取りレプリカを作成する。production-rds-key KMS キーをマイグレーションアカウントに複製できるようにキーポリシーを構成する。
C. 本番アカウントで RDS DB インスタンスのスナップショットを取得する。そのスナップショットをマイグレーションアカウントと共有する。マイグレーションアカウントで同じエイリアスを持つ新しい KMS キーを作成する。
D. ネイティブなデータベースツールを使用して、RDS DB インスタンスを Amazon S3 にエクスポートする。S3 バケットを作成し、S3 バケットポリシーで本番アカウントとマイグレーションアカウント間のクロスアカウントアクセスを許可する。ネイティブなデータベースツールを使用して、S3 からマイグレーションアカウント内の新しい RDS DB インスタンスにデータベースをインポートする。

正解と解説ディスカッション 0

正解：A

スナップショットを作成し、KMS キーのポリシーにマイグレーションアカウントを追加して共有するのが、AWS公式に推奨される手順です。これでマイグレーションアカウントがスナップショットから新しい DB インスタンスを復元できます。

Amazon RDS の 暗号化スナップショットを別アカウントと共有する場合、スナップショットに使用されている KMS カスタマー管理キー (CMK) のポリシーに、共有先アカウントを明示的に追加する必要があります。これにより共有先アカウントがスナップショットにアクセスできるようになります。

この方法は 最小限の変更で要件を満たす方法であり、管理作業も最小限です。

Question#2(SOA-C02)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル