[SAA-C01] AWSのWebアプリケーションのリレーショナルデータベースとしてAmazon RDSを使用しています。Amazon RDSに保存されているすべてのデータは、AW…
2019.11.05
問題
- AWSのWebアプリケーションのリレーショナルデータベースとしてAmazon RDSを使用しています。Amazon RDSに保存されているすべてのデータは、AWS KMSを使用して暗号化されています。このデータの暗号化は、セキュリティチームの4人のユーザー(ユーザー A、B、C、D)からなる個別のチームによって処理されます。
- データの暗号化のために2つのCMKを作成しました。監査中に、各ユーザーのCMKへのアクセスに関して監査人から懸念が提起されました。セキュリティチームには、AWS KMS用に設定された次のIAMポリシーとキーポリシーがあります。
- CMK1は、AWS KMS APIによって作成されデフォルトのキーポリシーがあります。
- CMK2は、AWSマネジメントコンソールによって作成されたデフォルトのキーポリシーであり、ユーザー Dを許可します。
- ユーザー Cには、CMK2を許可しながらCMK1のすべてのアクションを拒否するIAMポリシーがあります。
- ユーザー AとBには、CMK2へのアクセスを拒否しながらCMK1へのアクセスを許可するIAMポリシーがあります。
- ユーザー Dには、AWS KMSへのフルアクセスを許可するIAMポリシーがあります。
- 各ユーザーがAWS KMS CMKにアクセスするための正しいステートメントは次のうちどれですか?
選択肢
- A.ユーザー AとBはCMK1のみを使用でき、ユーザー CはCMK1を使用できませんが、ユーザー DはCMK1とCMK2の両方を使用できます。
- B.ユーザー AとBはCMK1とCMK2を使用でき、ユーザー CはCMK2のみを使用でき、ユーザー DはCMK1とCMK2の両方を使用できます。
- C.ユーザー AとBはCMK1を使用でき、ユーザー CはCMK1とCMK2を使用でき、ユーザー DはCMK1とCMK2の両方を使用できます。
- D.ユーザー AとBはCMK1のみを使用でき、ユーザー CはCMK2のみを使用できますが、ユーザー DはCMK1とCMK2の両方を使用できません。