A不正解
AWS CloudHSM
AWS CloudHSM は、自社専有の物理 HSM を借りて鍵を管理する、厳格なコンプライアンス要件向けのサービスです。
S3 や EBS と統合された マネージドな鍵の作成・管理・アクセス制御・監査 を手軽に行う本問の用途には、KMS が適するため不正解です。
S3 や EBS などのデータを暗号化するために使う暗号化キーを、一元的に作成・管理し、アクセス制御や監査も行えるマネージドサービスはどれですか。
1 / 1
回答を選択してください
正解B
解説
暗号化キーを管理するマネージドサービスを選ぶ問題。
- 1「暗号化キーを」データ暗号化に使うキーが対象
- 2「一元的に作成・管理」キーのライフサイクルを集中管理する=KMS
- 3「アクセス制御や監査」IAM 連携と CloudTrail 監査
B正解
AWS KMS(Key Management Service)
正解。AWS KMS は暗号化キーを一元的に作成・管理するマネージドサービスです。S3・EBS・RDS など多くのサービスと統合され、キーへのアクセスを IAM で制御し、利用履歴を CloudTrail で監査できます。データの暗号化を簡単かつ安全に実現します。
C不正解
AWS Secrets Manager
AWS Secrets Manager は、DB 認証情報や API キーなどの シークレットを保管・ローテーションする サービスです。
扱う対象が パスワード等の機密情報 であり、S3 や EBS のデータ暗号化に使う 暗号化キーそのものを作成・管理する基盤ではない ため不正解です。
D不正解
AWS Certificate Manager
AWS Certificate Manager(ACM)は、TLS/SSL 証明書を発行・更新する サービスです。
通信の暗号化に使う証明書の管理が役割で、保管データの暗号化キーを一元管理する 本問の用途には KMS が適するため不正解です。
ポイント
『暗号化キーの作成・管理』は AWS KMS。多くのサービスと統合し、IAM でアクセス制御・CloudTrail で監査。専用ハードウェアが要件なら CloudHSM。