[SAA-C01] AWSのWebアプリケーションのリレーショナルデータベースとしてAmazon RDSを使用しています。Amazon RDSに保存されているすべてのデータは、AW…

分野 3: セキュアなアプリケーションおよびアーキテクチャを規定する

問題

  • AWSのWebアプリケーションのリレーショナルデータベースとしてAmazon RDSを使用しています。Amazon RDSに保存されているすべてのデータは、AWS KMSを使用して暗号化されています。このデータの暗号化は、セキュリティチームの4人のユーザー(ユーザー A、B、C、D)からなる個別のチームによって処理されます。
  • データの暗号化のために2つのCMKを作成しました。監査中に、各ユーザーのCMKへのアクセスに関して監査人から懸念が提起されました。セキュリティチームには、AWS KMS用に設定された次のIAMポリシーとキーポリシーがあります。
    • CMK1は、AWS KMS APIによって作成されデフォルトのキーポリシーがあります。
    • CMK2は、AWSマネジメントコンソールによって作成されたデフォルトのキーポリシーであり、ユーザー Dを許可します。
    • ユーザー Cには、CMK2を許可しながらCMK1のすべてのアクションを拒否するIAMポリシーがあります。
    • ユーザー AとBには、CMK2へのアクセスを拒否しながらCMK1へのアクセスを許可するIAMポリシーがあります。
    • ユーザー Dには、AWS KMSへのフルアクセスを許可するIAMポリシーがあります。
  • 各ユーザーがAWS KMS CMKにアクセスするための正しいステートメントは次のうちどれですか?

選択肢

  • A.ユーザー AとBはCMK1のみを使用でき、ユーザー CはCMK1を使用できませんが、ユーザー DはCMK1とCMK2の両方を使用できます。
  • B.ユーザー AとBはCMK1とCMK2を使用でき、ユーザー CはCMK2のみを使用でき、ユーザー DはCMK1とCMK2の両方を使用できます。
  • C.ユーザー AとBはCMK1を使用でき、ユーザー CはCMK1とCMK2を使用でき、ユーザー DはCMK1とCMK2の両方を使用できます。
  • D.ユーザー AとBはCMK1のみを使用でき、ユーザー CはCMK2のみを使用できますが、ユーザー DはCMK1とCMK2の両方を使用できません。