→S3バケットポリシーでaws:SecureTransport条件を使用
→AWS KMSキー(SSE-KMS)
・S3バケットポリシーでaws:SecureTransport条件を使用し、HTTPS(TLS)による暗号化接続のみを許可します。各S3バケットのデフォルトの暗号化を設定し、AWS KMSキー(SSE-KMS)によるサーバーサイド暗号化を使用します。コンプライアンスチームにKMSキーの管理を任せる
この選択肢が正解の理由は以下の通りです。
まず、最初に、aws:SecureTransport条件を使用するS3バケットポリシーにより、HTTPS(TLS)経由の暗号化接続だけを許可することにより、データは転送中に必ず暗号化されます。そのため、転送中のデータの暗号化という要件を満たします。
次に、各S3バケットのデフォルトの暗号化を設定し、AWS KMSキー(SSE-KMS)によるサーバーサイド暗号化を使用します。DynamoDBのデフォルトの暗号化は、静止時のデータを暗号化するためのものであり、この要件を満たします。AWS KMSを使用すると、キーの生成、使用、管理をAWSが行いますが、カスタマーはそれを管理でき、コンプライアンスチームが暗号化キーを管理することが可能となります。
したがって、この選択肢は上記すべての要件を満たします。
コメント