セキュアなアーキテクチャの設計応用問題
企業がAWS KMSのカスタマーマネージドキー(CMK)を使用してS3バケット内のオブジェクトを暗号化しています。管理者が誤ってそのCMKを削除スケジュール(7日間の待機期間)に設定してしまいました。待機期間中にそのS3バケット内の暗号化済みオブジェクトにアクセスしようとした場合、どうなりますか?
A.CMKの削除が確定するまでの7日間はオブジェクトに通常通りアクセスできる
✗ 削除スケジュール中はCMKが無効化されるため、待機期間中もアクセスは拒否されます。
B.削除スケジュール設定後、即座にオブジェクトへのアクセスが拒否される
✗ 即座に拒否されるのではなく、無効化状態によってアクセスが拒否される点が不正確です。
C.CMKが無効化(Disabled)状態になるため、オブジェクトへのアクセスは拒否されるが、削除をキャンセルすれば復元可能← 正解
✓ 正解です。削除スケジュール中はCMKが無効化(Pending Deletion)状態になりアクセス拒否となりますが、キャンセルで復元できます。
D.オブジェクトは自動的に別のAWSマネージドキーで再暗号化されるため、アクセスに影響はない
✗ KMSは自動的に別のキーで再暗号化する機能を持たず、オブジェクトへのアクセスは失敗します。