何を書いたか
「AWS Certified Security - Specialty(SCS)」認定試験
合格の為、Cloud-license問題集を活用して勉強しています。
この問題集は本試験と非常に似ており、効果的だと感じています。
(個人の感想です)
既に合格済のAWS資格
2024年04月11日「AWS Certified Cloud Practitioner(CLF)」
2024年06月27日「AWS Certified Solutions Architect - Associate(SAA)」
2024年08月13日「AWS Certified Sysops Administrator - Associate (SysOps)」
2024年11月19日「AWS Certified Solutions Architect - Professional (SAP)」
なぜ書いたか
・新しいキーマテリアルを新しいキーにインポートがイメージ出来なった為
対象読者
「AWS 認定試験」勉強中の方
AWS問題
ある企業には、複数の AWS Key Management Service (AWS KMS) カスタマーマネージドキー
があります。一部のキーにはインポートされたキーマテリアルが含まれています。
会社のセキュリティチームは、各キーを毎年ローテーションする必要があります。
各キーをローテーションするための最適な方法を選択してください。
(2 つ選択)
A(正解)
①キーの自動キーローテーションを有効にします。
B(正解)
②新しいキーマテリアルを新しいキーにインポートします。
③新しいキーを参照するキーのエイリアスを指定します。
C
AWS CLI または AWS マネジメントコンソールを使用して、
既存のキーを明示的にローテーションします。
D
新しいキーマテリアルを既存のキーにインポートします。
問題と解答の理解手順
手順1 問題文の意図をイメージする
一部のキーにはインポートされたキーマテリアルが含まれています。
会社のセキュリティチームは、各キーを毎年ローテーションする必要があります。
この問題はインポートされたキーマテリアルが含まれるキーを
どのように 適切にローテーションするか が問われています。
手順2 重要なキーワードに注目する
「ローテーション」と「インポートされたキーマテリアル」
インポートされたキーマテリアルとは
あなた自身が作成して AWS KMS にアップロードした暗号鍵のデータです。
AWS にすべての暗号鍵を任せたくない場合に使います。
手順3 正解の分割解説
A(正解)①キーの自動キーローテーションを有効にします。
毎年手動で鍵を新しくしなくても自動でやってくれる機能
AWS KMS にてデフォルトでは、KMS キーの自動キーローテーションを有効にすると、
AWS KMS により毎年、その KMS キー向けに新しい暗号化マテリアルが生成されます。
ただし、この仕組みは「自動で新しくできるタイプの鍵」にしか使えません。
大まかなイメージ図
以下の画像は解答の選択肢をイメージして頂く事を優先する為に添付しましたが、
正確性が完全に保証されているわけではありません。ご了承ください。
B(正解)②新しいキーマテリアルを新しいキーにインポートします。
注意「自動で新しくできないタイプの鍵」の場合はBを行います
ここでいう「キーマテリアル」は、「鍵そのものの材料」と考えてください。
一部の鍵は、自動的に新しくする機能が使えません。
この場合、新しい鍵を作らなければいけません。
AWSでは、鍵を「新しく作る」ときに「鍵の材料」を手動で用意して、新しい鍵にセットします。
③新しいキーを参照するキーのエイリアスを指定します。
エイリアスは、鍵の「名前」をつけるようなものです。
AWSでは、鍵の名前を使ってシステムがどの鍵を使うかを決めています。
例、家の鍵に「リビングの鍵」というラベルを貼っていたとします。
新しい鍵を作ったとき、同じ「リビングの鍵」というラベルを貼り替えれば、
家族は迷わず新しい鍵を使えるようになります。
このラベルの貼り替えが③の「エイリアスを指定する」という作業です。
手順4 不正解の選択肢を確認する
選択肢C
AWS CLI(コマンドで操作する方法)やマネジメントコンソール(画面で操作する方法)は、AWSを管理するための道具です。
これだけでは鍵(キー)のローテーションはできません。
例、「新しい鍵を作る」や「名前(エイリアス)を更新する」といった別の作業が必要です。
選択肢D
例、オフィスのドア自体は変わらず、鍵だけ変えた状態です。
誰もその鍵を変えたことに気づきません。
この結果、見た目は鍵を変えたように見えますが、
ドアやエイリアス(メイン玄関の名前)はそのままなので、
真の意味での「鍵のローテーション」にはなりません。
AWS用語説明
AWS Key Management Service(AWS KMS)カスタマーマネージドキー
AWS KMS
AWS(アマゾンのクラウドサービス)でデータを安全に守るための
「鍵(キー)」を作ったり管理したりするサービスです。
カスタマーマネージドキー
ユーザーが自分で作る特別な鍵です。この鍵は、自動的に作られる鍵よりも細かい設定ができます。
インポートされたキーマテリアル
キーマテリアルとは、鍵そのものの材料のことです。
インポートされたキーマテリアルは、自分で作った鍵の材料をAWSに持ち込むイメージです。
これを使うと、鍵の管理をもっと細かくコントロールできます。
例、家の鍵を、自分で設計して特注の金属で作り、
それを金庫屋さん(AWS)に渡して保管してもらうイメージです。
新しいキーマテリアル
これまで使っていた鍵の材料ではなく、全く新しい材料を使って作られた鍵です。
AWSでは、セキュリティを強化するために、新しいキーマテリアルを作ることがよくあります。
キーのエイリアス
エイリアスは「鍵の名前」のことです。
正式な鍵のIDは難しい文字や数字の羅列ですが、エイリアスをつけることで管理しやすくなります。
エイリアスを使うと、鍵を切り替えるときにアプリやサービスの設定を変える必要がなくなります。
参考文献