SCS-C02#5(data-protection)
あるアカウント A の Lambda 関数が、別アカウント B の DynamoDB テーブルに書き込みを行い、テーブルはアカウント B が所有するカスタマーマネージドキーで暗号化されています。アカウント B のキー所有者は、長期的なキーポリシー更新を避けつつアカウント A に時限的な復号権限を与えたいと考えています。どの仕組みが最も適切ですか。
正解:B
正解の根拠
KMS グラントは、特定のプリンシパルに一時的かつ細粒度な暗号操作権限を付与する仕組みで、キーポリシーを編集せずに発行・取消できます。クロスアカウントの一時的アクセスに最適で、RetireGrant や ScheduleExpiration で管理できます。
不正解の理由
- A: 直接追加は永続的な変更となりレビューも必要で、長期的なポリシー更新を避けたい要件に反します。
- C: 同じキーマテリアルのインポートは別 CMK としての扱いとなり、暗号文の互換性も得られません。
- D: S3 バケットポリシーは KMS 復号権限の付与には関係なく、対象リソースも異なります。
コメント