256-AWS SAP AWS 「理論・実践・一問道場」SSE-C

 

理論

Amazon S3の暗号化とコスト最適化に関する本質的知識

1. サーバーサイド暗号化(SSE)の種類

  • SSE-S3 (Amazon S3 Managed Keys):
    • S3が暗号化キーを管理。
    • コストが低い。KMSリクエスト料金なし。
    • 簡単な運用が可能。
  • SSE-KMS (AWS Key Management Service):
    • AWS KMSキーを使用。
    • 高度なセキュリティ機能(キーの制御、監査)。
    • リクエストごとにKMS料金が発生し、アクセス頻度が高い場合コストが増加。
  • SSE-C (Customer-Provided Keys):
    • ユーザーが暗号化キーを管理。
    • コストは抑えられるが、キー管理が煩雑になる可能性あり。

2. コスト最適化のポイント

  • 頻繁なKMSリクエストの削減:
    • アクセス頻度が高い場合、SSE-S3を選択することでKMS料金を削減可能。
    • アプリケーションの変更を最小限に抑えられる。
  • アクセス頻度に基づくストレージクラス選択:
    • S3標準: 頻繁アクセス用(高コスト)。
    • S3インテリジェントティアリング: アクセスパターンに応じて自動的にコスト最適化。
    • S3 Glacier: 長期間アクセスが不要なデータ用。

3. 関連技術

  • S3バッチ操作:
    • 大量のオブジェクトを効率的に移行可能。
    • 既存データの再暗号化や新しいバケットへのコピー時に使用。
  • CloudHSM:
    • 専用ハードウェアでキーを管理。高度なセキュリティが必要な場合に選択肢となるが、運用コストや手間が増加。

実践

一問道場

問題 #256

トピック 1
ある会社が、Amazon S3バケットに数百万個のオブジェクトを保存しています。これらのオブジェクトはS3標準ストレージクラスに属しています。すべてのS3オブジェクトは頻繁にアクセスされています。また、これらのオブジェクトにアクセスするユーザーやアプリケーションの数が急速に増加しています。オブジェクトは、AWS KMSキー(SSE-KMS)を使用したサーバーサイド暗号化で暗号化されています。
ソリューションアーキテクトが会社の月次AWS請求書を確認したところ、Amazon S3からのリクエスト数が増加しているため、AWS KMSのコストが増加していることに気づきました。ソリューションアーキテクトは、アプリケーションへの変更を最小限に抑えつつ、コストを最適化する必要があります。
次のうち、最小限の運用負荷でこの要件を満たすソリューションはどれですか?
A. サーバーサイド暗号化に顧客提供キー(SSE-C)を使用する新しいS3バケットを作成します。既存のオブジェクトを新しいS3バケットにコピーし、SSE-Cを指定します。
B. サーバーサイド暗号化にAmazon S3管理キー(SSE-S3)を使用する新しいS3バケットを作成します。S3バッチ操作を使用して、既存のオブジェクトを新しいS3バケットにコピーし、SSE-S3を指定します。
C. AWS CloudHSMを使用して暗号化キーを保存します。新しいS3バケットを作成します。S3バッチ操作を使用して、既存のオブジェクトを新しいS3バケットにコピーし、CloudHSMのキーを使用してオブジェクトを暗号化します。
D. S3バケットにS3インテリジェントティアリングストレージクラスを使用します。90日間アクセスされていないオブジェクトをS3 Glacier Deep Archiveに移行するS3インテリジェントティアリングアーカイブ設定を作成します。

解説

問題のポイント(#256)

会社はS3 Standardストレージクラスを使っており、オブジェクトへのアクセス頻度が高いため、AWS KMS(SSE-KMS)のリクエストコストが急増しています。これを解決するために、コスト最適化を行いつつ、アプリケーションへの変更を最小限に抑える方法を探す必要があります。

各選択肢の評価

  1. 選択肢A: SSE-Cを利用する
      • コスト削減: AWS KMS料金は不要になる。
      • デメリット: ユーザーがキーを管理する必要があり、運用負荷が高い。
      • 適していない(運用負荷が増える)。
  1. 選択肢B: SSE-S3を利用する
      • コスト削減: AWS KMSの代わりにAmazon S3がキーを管理するため、KMS料金が発生しない。
      • メリット: Amazon S3が暗号化を完全に管理するため、運用負荷は増えない。
      • 最適な選択肢
  1. 選択肢C: AWS CloudHSMを利用する
      • コスト削減: AWS KMSを使用しないためKMS料金は削減される。
      • デメリット: CloudHSMの導入コストと運用負荷が高い。
      • 適していない(コストがかさむ)。
  1. 選択肢D: S3 Intelligent-Tieringを利用する
      • アクセス頻度に応じてストレージ料金を最適化できるが、KMSリクエスト料金には影響しない。
      • 問題の本質を解決しない

解答

  • 正解: B(SSE-S3を利用する) Amazon S3がキー管理を行い、KMSコストを削減しつつ運用負荷を増やさないため、最も効率的な解決策です。

解説のまとめ

AWS KMSコストを抑えるには、KMS以外の暗号化方式(例: SSE-S3)に移行するのがベストです。SSE-S3は運用負荷が低く、コスト削減に直結します。他の選択肢は、運用負荷やコスト面で課題があります。
Relate Posts
00-AWS SAP「理論・実践・10問道場」
Lazy loaded image
01-AWS SAP「理論・実践・10問道場」
Lazy loaded image
02-AWS SAP「理論・実践・10問道場」
Lazy loaded image
03-AWS SAP「理論・実践・10問道場」
Lazy loaded image
04-AWS SAP 「理論・実践・10問道場」
Lazy loaded image
05-AWS SAP「理論・実践・10問道場」
Lazy loaded image
257-AWS SAP AWS 「理論・実践・一問道場」Lambdaの同時実行制限255-AWS SAP AWS 「理論・実践・一問道場」NACL
Loading...
minami
minami
みなみの成長 🐝
Announcement

🎉 ブログへようこそ 🎉

名前: みなみ一人会社
性別:
国籍: China 🇨🇳
政治スタンス: 民主主義支持者
完全独学で基本情報技術者をはじめ、32個の資格を仕事をしながら取得。
現在はIT会社で技術担当として働きながら、ブログ執筆や学習支援にも取り組んでいます。
独学で合格できる学習法や勉強法、試験対策を発信中!

📚 発信内容

  • 💻 IT・システム開発
  • 🏠 不動産 × 宅建士
  • 🎓 MBA 学習記録
 
Catalog
0%