ある製造業企業が AWS Organizations で 100 以上の AWS アカウントを管理しています。IT セキュリティポリシーにより、すべての EBS ボリュームは AWS KMS カスタマー管理キー(CMK)で暗号化する必要があります。また、CMK のキーローテーションは年次で自動的に行われる必要があり、キーの削除には 30 日間の待機期間が必要です。これをすべてのアカウントに強制適用する最も効率的な方法はどれですか?
- A. 各アカウントで EC2 の EBS 暗号化デフォルト設定を有効化し、KMS CMK を使用するように設定する。キーポリシーでローテーションと削除待機を設定する
- B. CloudFormation StackSets を使って全アカウントに EC2 EBS デフォルト暗号化(CMK 指定)と KMS キーポリシー(自動ローテーション有効、削除待機 30 日)の設定スタックを展開する。SCP で kms:DisableKeyRotation と kms:ScheduleKeyDeletion(PendingWindowInDays < 30 の場合)を Deny する
- C. AWS Security Hub の暗号化管理機能を使って全アカウントの EBS 暗号化ステータスを監視し、週次レポートを生成して手動対応する
- D. AWS Config のカスタムルールを作成して暗号化されていない EBS ボリュームを検出し、Systems Manager Automation で自動暗号化する
解答と解説を見る
正解: B
StackSets で EBS デフォルト暗号化と KMS キーポリシーを展開し、SCP で kms:DisableKeyRotation と短い削除待機での ScheduleKeyDeletion を Deny することで、予防的かつ自動化された強制が実現できます。StackSets の自動展開により新規アカウントにも適用されます。 A: 各アカウントで手動設定する方法はスケールしません。100 以上のアカウントでは管理が困難で、設定漏れが生じるリスクがあります。 D: Config による事後検出と自動修復では、未暗号化の EBS ボリュームが一時的に存在する期間が生じます。また新規作成時の暗号化強制には「デフォルト暗号化」の有効化が必要で Config だけでは不十分です。 C: Security Hub による監視と週次レポートは完全な検出と報告が目的であり、暗号化の強制的な適用(予防的制御)ではありません。手動対応は運用負荷が高く、コンプライアンスギャップが生じます。
📚 関連サービスの解説: AWS CloudFormation ・ Amazon EC2