ある企業は Parameter Store を使って複数の Lambda 関数に共有設定値を提供しています。一部のパラメータは機密情報(DB パスワード)であり、CloudTrail で取得ログを監査したいという要件が追加されました。最もコスト効率よく要件を満たす設定はどれですか?
- A. 標準パラメータの String 型で DB パスワードを保存し、CloudWatch Logs でモニタリングする
- B. S3 に暗号化して保存し S3 アクセスログで監査する
- C. SecureString 型を使って KMS で暗号化し、Parameter Store の API コールが CloudTrail に記録されることを活用する
- D. Secrets Manager に移行して自動ローテーションを有効にし監査ログを設定する
解答と解説を見る
正解: C
Parameter Store の SecureString 型は KMS で暗号化され、GetParameter などの API コールは CloudTrail に自動的に記録されます。追加コストは KMS リクエスト料金のみで、Parameter Store 自体の標準利用は無料です。A の String 型は暗号化されないため機密情報の保存に不適切であり、CloudWatch Logs での監査は自動ではありません。D の Secrets Manager への移行はコストが高く(パラメータあたり月額費用が発生)、自動ローテーション不要な要件では過剰です。B の S3 保存はアクセス制御が複雑でマネージドな方法より劣ります。
📚 関連サービスの解説: AWS KMS ・ AWS Systems Manager