182-AWS SAP AWS 「理論・実践・一問道場」データの暗号化（静止状態および転送中）

type

status

date

slug

summary

理論

1. 高耐久性・高可用性のストレージ

AWSのストレージサービスには、耐久性と可用性を高めるために設計されたものがいくつかあります。特に、Amazon S3（Simple Storage Service）は、データの冗長性を確保するために複数のアベイラビリティゾーンにデータを保存します。これにより、災害時でもデータの可用性が保たれます。

2. データの暗号化（静止状態および転送中）

データは、保存時（静止状態）と転送時（通信中）の両方で暗号化する必要があります。AWSでは、以下の方法で暗号化を実現できます：

静止状態の暗号化: Amazon S3、EBS（Elastic Block Store）、DynamoDBなどのサービスでは、AWS KMS（Key Management Service）を使用してデータを暗号化できます。

転送中の暗号化: 通信時の暗号化は、HTTPS（SSL/TLS）を使用して実施できます。これにより、ネットワーク越しに送信されるデータも安全に保護されます。

3. 暗号化キーの管理とローテーション

AWS KMSを使用すると、暗号化キーを会社が管理でき、定期的にローテーションすることが可能です。これにより、セキュリティを保ちながら、暗号化キーの管理を自動化できます。

4. AWSのストレージオプション

Amazon S3: 大規模なオブジェクトストレージに最適で、データの高耐久性、可用性、暗号化管理が可能です。特に大容量のファイルの保存に向いています。

Amazon EBS: EC2インスタンスにアタッチして使用するブロックストレージで、インスタンスのストレージとして利用されます。データの暗号化にAWS KMSを使用できますが、主に仮想マシンのディスクとして利用されます。

Amazon DynamoDB: 高速なNoSQLデータベースで、SSLによる暗号化とKMSでの静止状態の暗号化が可能です。ただし、ドキュメントや大容量ファイルのストレージには不向きです。

実践

略

一問道場

問題 #182

トピック 1

ある会社がアプリケーションをAWSに移行しています。移行中は可能な限りフルマネージドサービスを使用したいと考えています。会社はアプリケーション内で重要な大容量の文書を保存する必要があります。以下の要件があります：

データは高い耐久性と可用性を持つ必要があります。

データは常に静止状態および転送中に暗号化されている必要があります。

暗号化キーは会社によって管理され、定期的にローテーションされる必要があります。

以下のうち、ソリューションアーキテクトが推奨すべきソリューションはどれですか？

A. ストレージゲートウェイをAWSに展開し、ファイルゲートウェイモードを使用します。Amazon EBSボリューム暗号化を使用して、AWS KMSキーでストレージゲートウェイのボリュームを暗号化します。

B. Amazon S3を使用し、バケットポリシーでHTTPS接続を強制し、サーバーサイド暗号化とAWS KMSを使用してオブジェクト暗号化を強制します。

C. Amazon DynamoDBを使用し、SSLでDynamoDBに接続します。AWS KMSキーを使用してDynamoDBオブジェクトを静止状態で暗号化します。

D. インスタンスを展開し、Amazon EBSボリュームを添付してこのデータを保存します。EBSボリューム暗号化を使用して、AWS KMSキーでデータを暗号化します。

解説

この問題では、データの保存に関する要件（高耐久性、暗号化、暗号化キーの管理）が提示されています。最適なソリューションを選択するために、以下のポイントを考慮します。

データの高耐久性と可用性: Amazon S3は、高耐久性（99.999999999%）と高可用性を提供するオブジェクトストレージサービスで、要件に最適です。

暗号化: S3はサーバーサイド暗号化（SSE）を提供しており、AWS KMSを利用して暗号化キーを管理・ローテーションできます。また、HTTPSを使用して転送中のデータも暗号化できます。

管理の簡便さ: S3はフルマネージドサービスで、運用の手間を最小限に抑えつつ、要件を満たすことができます。

そのため、B（Amazon S3の利用）が最適解です。