MENU

会員登録（無料）

SCS-C02#2(data-protection)

この問題のディスカッション

SCS-C02#2(data-protection)

セキュリティ部門は、対称カスタマーマネージドキーの自動ローテーションを有効化しました。アプリケーションは古いデータを引き続き復号する必要があり、キー ID は変更されてはなりません。ローテーションの動作として正しい説明はどれですか。

A.
毎月新しいキー ARN が払い出され、古い ARN は 90 日間の猶予期間を経て自動的に無効化される運用設計となります
B.
キー ID と ARN は維持され、年 1 回バッキングが置換され旧マテリアルでも復号可能です
C.
ローテーション時に既存暗号文が KMS によって再暗号化されるため旧バッキングキーは即時削除します
D.
非対称キーと同様に、公開鍵成分のみが定期的にローテーションされ秘密鍵成分は変わりません

正解と解説ディスカッション 0

正解：B

正解の根拠

対称 CMK の自動ローテーションは年 1 回 (現在は構成可能) バッキングキーマテリアルを生成し、KMS が新旧マテリアルの両方を保持するため、過去に暗号化されたデータも継続して復号できます。キー ID/ARN/エイリアスは変わりません。

不正解の理由

A: ローテーションでは新しい ARN は払い出されません。ARN は同一のまま内部マテリアルだけが置き換わります。
C: KMS は既存暗号文を再暗号化しません。旧バッキングキーは復号用に保持され続けます。
D: 非対称キーは自動ローテーション非対応 (一部例外あり) で、公開鍵だけのローテーションは存在しません。

参考：Rotating AWS KMS keys

コメント

コメント

コメントするコメントをキャンセル