Question#41(SAP-C02)

ある会社には、AWS Key Management Service（AWS KMS）でデータの暗号化と復号を行うアプリケーションがあります。アプリケーションは同一のAWSリージョン内の Amazon S3 バケットにデータを保存しています。会社のセキュリティポリシーでは、S3 バケットに配置される前にデータが暗号化されている必要があります。アプリケーションは、S3 バケットからファイルを読み取る際にデータを復号しなければなりません。

同社は S3 バケットを他リージョンへレプリケートしています。ソリューションアーキテクトは、アプリケーションがリージョンをまたいで暗号化と復号を行えるように設計する必要があります。各リージョンで同一のキーを用いてデータを復号できなければなりません。この要件を満たすソリューションはどれですか？

A. KMS マルチリージョンプライマリキーを作成する。アプリケーションが稼働する追加の各リージョンで、そのプライマリキーから KMS マルチリージョンレプリカキーを作成する。各リージョンで特定のレプリカキーを使うようにアプリケーションコードを更新する。
B. アプリケーションが稼働する追加の各リージョンで新しいカスタマー管理型 KMS キーを作成する。各リージョンで特定の KMS キーを使うようにアプリケーションコードを更新する。
C. AWS Private Certificate Authority を使用してプライマリリージョンに新しい証明機関（CA）を作成する。アプリケーションのWebサイトURL向けに新しいプライベート証明書を発行する。AWS Resource Access Manager（AWS RAM）を使用してこのCAを追加リージョンと共有する。各リージョンで共有されたCA証明書を使うようにアプリケーションコードを更新する。
D. AWS Systems Manager パラメータストアを使用して、アプリケーションが稼働する追加の各リージョンにパラメータを作成する。プライマリリージョンの KMS キーからキー素材をエクスポートする。各リージョンのパラメータにキー素材を保存する。各リージョンでパラメータから取得したキーを使うようにアプリケーションコードを更新する。

正解と解説ディスカッション 0

正解：A

本件では「リージョン間で暗号化・復号できること」「各リージョンで同じキーで復号できること」が要件です。KMS マルチリージョンキー（multi-Region keys）はこのために設計されており、プライマリキーとレプリカキーは同一のキーIDとキー素材を共有し、暗号化したリージョンとは別リージョンの関連キーで相互に復号できます。したがって、プライマリリージョンにマルチリージョンのプライマリキーを作成し、レプリケーション先の各リージョンにレプリカキーを作成して、そのリージョンの KMS を呼び出すようアプリケーションを設定すれば、要件（事前暗号化、クロスリージョン復号、同一キーによる復号）をすべて満たします。よってAが適切です。

Question#41(SAP-C02)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル