482-AWS SAP AWS 「理論・実践・一問道場」PGP秘密鍵
理論
1. AWS Transfer Family
AWS Transfer Familyは、SFTP(SSH File Transfer Protocol)、FTPS(FTP Secure)、およびFTPを使用して、安全にデータをAWSに転送できるサービスです。これにより、外部のシステムとデータを安全に交換することができます。
2. PGP暗号化と復号化
- *PGP(Pretty Good Privacy)**は、電子メールの暗号化やファイルのセキュリティ確保に広く使用される暗号化技術です。
- PGPは、公開鍵と秘密鍵をペアで使用します。公開鍵で暗号化したデータは、対応する秘密鍵で復号化できます。
- PGP暗号化されたデータを復号化するためには、秘密鍵が必要です。
3. AWS Secrets Manager
AWS Secrets Managerは、アプリケーションで使用する秘密情報(APIキー、パスワード、秘密鍵など)を安全に管理・保管するためのサービスです。これを使用して、秘密鍵やその他の重要な情報を安全に保存し、必要なときにアクセスできます。
4. Transfer Family ワークフロー
AWS Transfer Familyでは、管理されたワークフローを使ってファイル処理を自動化できます。これにより、ファイル受信後に自動で処理(例えば、解読、転送、保存など)を行うことができます。ワークフロー内でのステップ設定を行うことで、データの暗号化/復号化を自動化することが可能です。
5. IAMロールとポリシー
- *IAM(Identity and Access Management)**は、AWSリソースへのアクセス権限を管理するためのサービスです。
- IAMサービスロールを使って、AWS Transfer FamilyなどのサービスがAWSリソース(例えば、Secrets ManagerやS3バケット)にアクセスできるようにします。信頼関係を設定することで、サービスが特定のロールを引き受け、アクセスできるようにします。
6. ノミナルステップ vs 例外処理
- ノミナルステップは、ワークフローの中で標準的な、予期される処理を行うステップです。
- 例外処理は、エラーや予期しない状況が発生した場合に行う処理です。解読処理には例外処理を使うべきではなく、正常なフローに組み込むべきです。
これらの知識を元に、AWS Transfer Familyを利用した自動化されたファイル受信とPGP復号化の設定を適切に行うことができます。
実践
略
一問道場
質問 #482
ある会社が、第三者のデータ供給者からの更新を受け取るために、AWS Transfer Family SFTP対応サーバーとAmazon S3バケットを使用する必要があります。データはPretty Good Privacy (PGP) 暗号化で暗号化されています。この会社は、データを受け取った後に自動的にデータを復号化するソリューションが必要です。
ソリューションアーキテクトは、Transfer Family管理されたワークフローを使用する予定です。この会社は、AWS Secrets ManagerおよびS3バケットへのアクセスを許可するIAMポリシーを使用してIAMサービスロールを作成しました。ロールの信頼関係により、transfer.amazonaws.comサービスがそのロールを引き受けることができます。
ソリューションアーキテクトは、自動復号化のためのソリューションを完成させるために次に何をすべきでしょうか?
A. PGP公開鍵をSecrets Managerに保存し、Transfer Family管理されたワークフローでファイルを復号化するためのノミナルステップを追加します。ノミナルステップでPGP暗号化パラメーターを設定します。ワークフローをTransfer Familyサーバーに関連付けます。
B. PGP秘密鍵をSecrets Managerに保存し、Transfer Family管理されたワークフローでファイルを復号化するための例外処理ステップを追加します。例外ハンドラでPGP暗号化パラメーターを設定します。ワークフローをSFTPユーザーに関連付けます。
C. PGP秘密鍵をSecrets Managerに保存し、Transfer Family管理されたワークフローでファイルを復号化するためのノミナルステップを追加します。ノミナルステップでPGP復号化パラメーターを設定します。ワークフローをTransfer Familyサーバーに関連付けます。
D. PGP公開鍵をSecrets Managerに保存し、Transfer Family管理されたワークフローでファイルを復号化するための例外処理ステップを追加します。例外ハンドラでPGP復号化パラメーターを設定します。ワークフローをSFTPユーザーに関連付けます。
解説
この問題は、AWS Transfer Familyを使用して、外部のデータ供給者からPGP(Pretty Good Privacy)で暗号化されたデータを受け取るシナリオに関するものです。受け取ったデータは暗号化されており、そのままでは利用できません。そのため、解決策としてデータを自動的に復号化(解読)する方法を選択する必要があります。
問題の要点:
- SFTPサーバー:AWS Transfer Familyを使用して、SFTPでデータを受け取ります。これにより、第三者からのファイル転送が可能になります。
- PGP暗号化:受け取るデータはPGPで暗号化されています。PGPはデータの暗号化と復号化に公開鍵と秘密鍵を使用します。
- 自動解読:データを受け取った後に自動的に復号化(解読)を行う必要があります。
進行中の作業:
- 会社は、IAMサービスロールを作成し、AWS Secrets Manager(PGP鍵を保存する場所)とS3バケットへのアクセス権を与えています。このロールの信頼関係により、AWS Transfer Familyはこのロールを引き受けて操作を実行できます。
- ここでの目的は、「受け取った暗号化されたデータを自動的に復号化する方法」を設定することです。
各選択肢の分析:
A. PGP公開鍵をSecrets Managerに保存し、ノミナルステップで解読を行う
- PGP公開鍵は暗号化に使用される鍵であり、復号化には秘密鍵が必要です。したがって、公開鍵を保存しても解読には使用できません。この選択肢は間違いです。
B. PGP秘密鍵をSecrets Managerに保存し、例外処理で解読を行う
- こちらは秘密鍵をSecrets Managerに保存する方法で、これは正しい手法です。しかし、**「例外処理」**を使用して解読を行うのは、標準的な処理としては適切ではありません。例外処理は通常、エラーが発生した場合に使用されるもので、正常なデータ解読のフローにはふさわしくないため、この選択肢も不正解です。
C. PGP秘密鍵をSecrets Managerに保存し、ノミナルステップで解読を行う
- これは正しい選択肢です。PGP秘密鍵をSecrets Managerに保存し、ノミナルステップでデータを復号化します。ノミナルステップは、標準的な、通常のフローであり、復号化のために適切な場所で実行されるべき処理です。
D. PGP公開鍵をSecrets Managerに保存し、例外処理で解読を行う
- 再度、公開鍵を使用して復号化することはできません。また、解読処理に例外処理を使用するのも不適切です。この選択肢も不正解です。
正解:
C. PGP秘密鍵をSecrets Managerに保存し、ノミナルステップで解読を行う
- PGP秘密鍵をSecrets Managerに保存し、標準的な解読ステップ(ノミナルステップ)を設定することで、データの復号化を自動化できます。この方法が最適です。
- Author:minami
- URL:https://www.minami.ac.cn/private-license/17cd7ae8-88e2-8067-b2d7-f24a4838c75e
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
Relate Posts
