はじめに
セキュリティはCLFで大きなウェイトを占めます。認証・認可、監査、暗号化、脅威対策など、誰が何を担当するか、どのサービスがどの役割かを整理しておくことが重要です。
このサービス・概念とは
暗号鍵を一元管理について、CLFではAWS KMSが正解として問われることが多いです。保存時暗号化と合わせて頻出
解説
- AWS KMSは、データ暗号化で使う鍵を安全に作成・保管・利用制御するマネージドサービスです。保存時暗号化と組み合わせて問われる代表サービスです。
- KMSで集中管理は、認証・認可、監査、暗号化、脅威対策などのセキュリティ領域で使う重要な選択肢です。責任共有モデルや最小権限の考え方と関連づけて覚えるとCLFで判断しやすくなります。
- CloudHSMは、専用HSM上で暗号鍵を管理するサービスです。鍵管理要件が厳しい環境でKMSと比較して選択します。
試験での考え方
「暗号鍵を一元管理」と聞かれたらAWS KMSを選べるようにしましょう。類似サービス(監視ならCloudWatch、監査ならCloudTrail、準拠ならConfigなど)の役割の違いを押さえておくと迷いにくくなります。