ある企業は S3 に保存する機密ファイルの暗号化キーを自社のオンプレミスキー管理システム(KMS)で管理することが義務付けられています。AWS のキー管理サービスは使用できません。S3 のサーバーサイド暗号化でこの要件を満たすオプションはどれですか?
- A. SSE-C(顧客提供キー)を使用し、各リクエスト時にオンプレミス KMS から取得したキーをリクエストヘッダーに含めて送信する
- B. SSE-S3 を使用して S3 に暗号化を任せ、使用するキーの ARN を設定で指定する
- C. クライアントサイド暗号化(CSE-KMS)で AWS KMS を使って暗号化してから S3 にアップロードする
- D. SSE-KMS で AWS マネージドキー(aws/s3)を使用する
解答と解説を見る
正解: A
SSE-C(Server-Side Encryption with Customer-Provided Keys)は、暗号化キーをユーザー自身が管理し、各 S3 リクエスト(PUT/GET)時にリクエストヘッダー(x-amz-server-side-encryption-customer-key など)でキーを提供します。AWS はキーを保存せず、暗号化・復号処理のみを行います。これによりキー管理を完全に自社コントロール下に置けます。B の SSE-S3 はキー管理を完全に AWS に委ねるため要件に反します。D の SSE-KMS AWS マネージドキーもキーは AWS KMS が管理するため、自社キー管理の要件を満たしません。C のクライアントサイド暗号化(CSE-KMS)は AWS KMS を使うため「AWS のキー管理サービスは使用できない」という要件に違反します。
📚 関連サービスの解説: AWS KMS