Question#50(SCS-C01)
ある会社は、Amazon Elastic Block Store (Amazon EBS) ボリュームのスナップショットを毎年作成する必要があります。スナップショットは 10 年間保持しなければなりません。会社は AWS Key Management Service (AWS KMS) を使用して EBS ボリュームとスナップショットを暗号化します。
暗号化キーは毎年自動的にローテーションされる必要があります。過去に作成されたスナップショットは、キーがローテーションされた後も読み取り可能でなければなりません。 この要件を満たす暗号化のために使用すべき KMS キーの種類はどれですか。正解:B
正解です。EBS に対応し、自動ローテーションをサポートし、ローテーション後も古いデータを読み取ることが可能です。
EBS ボリュームとスナップショットは 対称 KMS キー(AES-256) を使用して暗号化されます。EBS では非対称キーをサポートしていないため、非対称キーの選択肢(1と 4)は不適切です。
また、要件は「キーを毎年自動でローテーションする」ことです。自動キーのローテーションをサポートするのは カスタマー管理型の対称 KMS キー(CMK) です。AWS マネージドキーでは自動ローテーションの設定はできません。 さらに、「過去のスナップショットはローテーション後も読み取り可能でなければならない」という要件については、KMS がキーの旧バージョンを保持するため、古い暗号化データも解読可能です。したがって要件を満たします。 一方、カスタムインポートキー素材(3)は、ローテーションを自動で行えず、運用負荷が高くなるため要件を満たしません。
コメント