256-AWS SAP AWS 「理論・実践・一問道場」SSE-C

type

status

date

slug

summary

理論

Amazon S3の暗号化とコスト最適化に関する本質的知識

1. サーバーサイド暗号化（SSE）の種類

SSE-S3 (Amazon S3 Managed Keys):

S3が暗号化キーを管理。
コストが低い。KMSリクエスト料金なし。
簡単な運用が可能。

SSE-KMS (AWS Key Management Service):

AWS KMSキーを使用。
高度なセキュリティ機能（キーの制御、監査）。
リクエストごとにKMS料金が発生し、アクセス頻度が高い場合コストが増加。

SSE-C (Customer-Provided Keys):

ユーザーが暗号化キーを管理。
コストは抑えられるが、キー管理が煩雑になる可能性あり。

2. コスト最適化のポイント

頻繁なKMSリクエストの削減:

アクセス頻度が高い場合、SSE-S3を選択することでKMS料金を削減可能。
アプリケーションの変更を最小限に抑えられる。

アクセス頻度に基づくストレージクラス選択:

S3標準: 頻繁アクセス用（高コスト）。
S3インテリジェントティアリング: アクセスパターンに応じて自動的にコスト最適化。
S3 Glacier: 長期間アクセスが不要なデータ用。

3. 関連技術

S3バッチ操作:

大量のオブジェクトを効率的に移行可能。
既存データの再暗号化や新しいバケットへのコピー時に使用。

CloudHSM:

専用ハードウェアでキーを管理。高度なセキュリティが必要な場合に選択肢となるが、運用コストや手間が増加。

実践

略

一問道場

問題 #256

トピック 1

ある会社が、Amazon S3バケットに数百万個のオブジェクトを保存しています。これらのオブジェクトはS3標準ストレージクラスに属しています。すべてのS3オブジェクトは頻繁にアクセスされています。また、これらのオブジェクトにアクセスするユーザーやアプリケーションの数が急速に増加しています。オブジェクトは、AWS KMSキー（SSE-KMS）を使用したサーバーサイド暗号化で暗号化されています。

ソリューションアーキテクトが会社の月次AWS請求書を確認したところ、Amazon S3からのリクエスト数が増加しているため、AWS KMSのコストが増加していることに気づきました。ソリューションアーキテクトは、アプリケーションへの変更を最小限に抑えつつ、コストを最適化する必要があります。

次のうち、最小限の運用負荷でこの要件を満たすソリューションはどれですか？

A. サーバーサイド暗号化に顧客提供キー（SSE-C）を使用する新しいS3バケットを作成します。既存のオブジェクトを新しいS3バケットにコピーし、SSE-Cを指定します。

B. サーバーサイド暗号化にAmazon S3管理キー（SSE-S3）を使用する新しいS3バケットを作成します。S3バッチ操作を使用して、既存のオブジェクトを新しいS3バケットにコピーし、SSE-S3を指定します。

C. AWS CloudHSMを使用して暗号化キーを保存します。新しいS3バケットを作成します。S3バッチ操作を使用して、既存のオブジェクトを新しいS3バケットにコピーし、CloudHSMのキーを使用してオブジェクトを暗号化します。

D. S3バケットにS3インテリジェントティアリングストレージクラスを使用します。90日間アクセスされていないオブジェクトをS3 Glacier Deep Archiveに移行するS3インテリジェントティアリングアーカイブ設定を作成します。