ある開発者が S3 バケットに保存される顧客データに対してサーバーサイド暗号化を設定しようとしています。「暗号化キーの管理責任を AWS に委ねたい」「追加コストはかけたくない」「キーポリシーの設定は不要」という要件があります。最も適切な暗号化オプションはどれですか?
- A. SSE-KMS(AWS マネージドキー aws/s3 を使用)
- B. SSE-C(顧客提供キー)
- C. クライアントサイド暗号化(CSE)
- D. SSE-S3(Amazon S3 マネージドキー)
解答と解説を見る
正解: D
SSE-S3 は S3 サービスが独自のキーを自動管理するサーバーサイド暗号化で、追加費用なし・キーポリシー設定不要・AWS が完全管理という要件に完全合致します。A の SSE-KMS は KMS API コールごとに費用が発生し、キーポリシーの設定も必要です。B の SSE-C は顧客がキーを管理・提供する必要があるため「管理責任を AWS に委ねたい」要件に反します。C のクライアントサイド暗号化はアプリケーション側でキー管理と暗号化処理を行う必要があり、開発負荷が最も高くなります。
📚 関連サービスの解説: Amazon S3