ある企業は AWS KMS のカスタマーマネージドキー(CMK)を使って S3 オブジェクトを暗号化しています。コンプライアンス要件として「暗号化キーを年 1 回ローテーションしなければならない」という規定があります。CMK の自動キーローテーションを有効にした場合の挙動として正しいものはどれですか?
- A. キーのバッキングマテリアル(キー素材)が年 1 回自動的に更新されるが、キー ID と ARN は変わらず、古いバッキングマテリアルも保持されるため既存データはそのまま復号できる
- B. 自動ローテーションはキー素材の更新を行うが、既存オブジェクトの再暗号化も自動的に行われるためすべてのデータが新しいキー素材で保護される
- C. 毎年新しいキー ID が生成され、古い CMK は無効化されるため古いデータを復号するには手動でキーを再暗号化する必要がある
- D. 自動ローテーションを有効にすると月次でローテーションが実行され、古いバッキングマテリアルは 3 か月後に削除される
解答と解説を見る
正解: A
KMS の自動キーローテーションでは、CMK のキー ID・ARN・エイリアスは変わらず、内部のバッキングマテリアル(キー素材)だけが年 1 回更新されます。KMS は古いバッキングマテリアルを保持し続けるため、ローテーション前に暗号化されたデータも引き続き復号できます。アプリケーション側のコード変更は一切不要です。C は古い CMK が「無効化される」という説明が誤りです。キー ID は変わらず古いバッキングマテリアルも保持されます。B は既存オブジェクトの自動再暗号化は行われません。KMS はデータを直接保持していないため、再暗号化はアプリケーション側の処理が必要です。D はローテーション間隔は年 1 回(365 日)であり、古いバッキングマテリアルが削除されることもありません。