Question#32(SAA-C03)

ある企業は、Amazon Aurora MySQL DBクラスターをストレージとして使用するマルチティアのウェブアプリケーションをホストしています。アプリケーション層はAmazon EC2インスタンスでホストされています。企業のITセキュリティガイドラインでは、データベース認証情報を暗号化し、14日ごとにローテーションすることが義務付けられています。ソリューションアーキテクトは、最小限の運用努力でこの要件を満たすために何をすべきですか？

A. 新しいAWS Key Management Service（AWS KMS）暗号化キーを作成します。AWS Secrets Managerを使用して、適切な認証情報とともにKMSキーを使った新しいシークレットを作成します。シークレットをAurora DBクラスターに関連付けます。14日のカスタムローテーション期間を構成します。
B. AWS Systems Manager Parameter Storeに2つのパラメータを作成します：ユーザー名用の文字列パラメータと、パスワード用のSecureStringタイプのパラメータ。パスワードパラメータにAWS Key Management Service（AWS KMS）暗号化を選択し、アプリケーション層でこれらのパラメータを読み込みます。14日ごとにパスワードをローテーションするAWS Lambda関数を実装します。
C. 認証情報を含むファイルをAWS Key Management Service（AWS KMS）で暗号化されたAmazon Elastic File System（Amazon EFS）ファイルシステムに保存します。EFSファイルシステムをアプリケーション層のすべてのEC2インスタンスにマウントします。ファイルシステム上のファイルへのアクセスを制限し、アプリケーションがファイルを読み取れるようにし、スーパーユーザーのみがファイルを変更できるようにします。14日ごとにAuroraのキーをローテーションし、新しい認証情報をファイルに書き込むAWS Lambda関数を実装します。
D. 認証情報を含むファイルを、アプリケーションが認証情報を読み込むために使用するAWS Key Management Service（AWS KMS）で暗号化されたAmazon S3バケットに保存します。正しい認証情報が使用されるように、定期的にアプリケーションにファイルをダウンロードします。14日ごとにAuroraの認証情報をローテーションし、これらの認証情報をS3バケットのファイルにアップロードするAWS Lambda関数を実装します。

正解と解説ディスカッション 0

正解：A

AWS Secrets Managerを使用してKMSキーで暗号化されたシークレットを作成し、Aurora DBクラスターに関連付け、14日ごとの自動ローテーションを構成する方法は、Secrets Managerが認証情報の暗号化とローテーションをネイティブにサポートし、Aurora MySQLとの統合が簡単で、アプリケーションの変更や追加の管理が不要なため、最小限の運用努力でセキュリティ要件を満たす最適なソリューションです。 AWS Secrets Managerは、KMS暗号化による認証情報の安全な保存と、Aurora MySQL向けの自動ローテーション（14日間）をネイティブにサポートし、アプリケーションやインフラの変更が最小限で済むため、ITセキュリティガイドラインの暗号化とローテーション要件を最小限の運用努力で満たします。

Question#32(SAA-C03)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル