SCS-C02#3(data-protection)

マルチリージョン構成のグローバル Web アプリで、DynamoDB Global Table と S3 Cross-Region Replication を us-east-1 と eu-west-1 で利用しています。アクティブ-アクティブで両リージョンが同じ暗号文を扱い、同一のキーマテリアルで復号できるようにする必要があります。どの設計が最も適切ですか。

A.
各リージョンに独立した CMK を作り、データを必ず再暗号化してからレプリケートします
B.
CloudHSM クラスターをリージョン間で同期して同じ HSM 鍵を両リージョンから参照します
C.
マルチリージョンキーをプライマリ作成しレプリカを別リージョンに展開して鍵マテリアルを共有します
D.
KMS グラントを発行して暗号文を相手リージョンに送信し、その都度復号と再暗号化を実施します

正解と解説ディスカッション 0

正解：C

正解の根拠

KMS マルチリージョンキーは、プライマリとレプリカが同一のキーマテリアル/キー ID 末尾を共有しつつ各リージョンで独立したリソースとして動作するため、片方のリージョンで生成された暗号文をもう片方で再暗号化なしに復号できます。

不正解の理由

A: 独立 CMK は鍵マテリアルが異なるため復号できず、再暗号化のコストとオペレーション負荷が増加します。
B: CloudHSM クラスターはリージョン間レプリケーションをサポートせず、運用が複雑で要件外です。
D: グラントはアクセス権限の付与であり、鍵マテリアルの共有手段ではないため復号できません。

参考：Multi-Region keys

SCS-C02#3(data-protection)

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル