AWS

AWS認定ビッグデータスペシャリティサンプル試験問題10

AWSAWS認定ビッグデータスペシャリティAWS認定資格

質問

原文

10) A data engineer needs to architect a data warehouse for an online retail company to store historic purchases. The data engineer needs to use Amazon Redshift. To comply with PCI:DSS and meet corporate data protection standards, the data engineer must ensure that data is encrypted at rest and that the keys are managed by a corporate on-premises HSM.

Which approach meets these requirements in the most cost-effective manner?

    A) Create a VPC, and then establish a VPN connection between the VPC and the on-premises network. Launch the Amazon Redshift cluster in the VPC, and configure it to use your corporate HSM.
    B) Use the AWS CloudHSM service to establish a trust relationship between the CloudHSM and the corporate HSM over a Direct Connect connection. Configure Amazon Redshift to use the CloudHSM device.
    C) Configure the AWS Key Management Service to point to the corporate HSM device, and then launch the Amazon Redshift cluster with the KMS managing the encryption keys.
    D) Use AWS Import/Export to import the corporate HSM device into the AWS Region where the Amazon Redshift cluster will launch, and configure Redshift to use the imported HSM.

googleで日本語翻訳

10)データエンジニアは、オンライン小売会社が過去の購入品を保管するためのデータウェアハウスを設計する必要があります。データエンジニアはAmazon Redshiftを使用する必要があります。 PCI:DSSに準拠し、企業データ保護基準を満たすために、データエンジニアは、データが安心して暗号化され、企業の社内HSMによってキーが管理されるようにする必要があります。

どちらのアプローチが最も費用対効果の高い方法でこれらの要件を満たしていますか?

    A)VPCを作成し、次にVPCとオンプレミスネットワーク間にVPN接続を確立します。 VPCでAmazon Redshiftクラスタを起動し、会社のHSMを使用するように構成します。
    B)AWS CloudHSMサービスを使用して、CloudHSMと企業HSMとの間の直接接続接続による信頼関係を確立します。 CloudHSMデバイスを使用するようにAmazon Redshiftを設定します。
    C)企業のHSMデバイスを指すようにAWS鍵管理サービスを構成し、暗号鍵を管理するKMSでAmazon Redshiftクラスタを起動します。
    D)AWSインポート/エクスポートを使用して、企業のHSMデバイスをAmazon Redshiftクラスタが起動するAWSリージョンにインポートし、インポートしたHSMを使用するようにRedshiftを設定します。

bingで日本語翻訳

10) データエンジニアは、歴史的な購入を格納するためにオンライン小売会社のためのデータウェアハウスを設計する必要があります。データエンジニアは amazon redshift を使用する必要があります。pci: dss に準拠し、企業のデータ保護基準を満たしている場合、データエンジニアは、データが残りの部分で暗号化されていること、および企業の社内の hsm によってキーが管理されていることを確認する必要があります。

どのアプローチが最も費用対効果の高い方法でこれらの要件を満たしている?

a) vpc を作成し、vpc とオンプレミスネットワーク間の vpn 接続を確立します。vpc で amazon redshift クラスターを起動し、企業の hsm を使用するように構成します。
b) aws cloudhsm サービスを使用して、直接接続接続を介して cloudhsm と企業 hsm の間の信頼関係を確立します。cloudhsm デバイスを使用するように amazon redshift を構成します。
c) 企業の hsm デバイスをポイントするように aws キーマネージメントサービスを構成し、暗号化キーを管理する kms を使用して amazon redshift クラスターを起動します。
d) aws インポート/エクスポートを使用して、amazon redshift クラスターが起動する aws リージョンに企業 hsm デバイスをインポートし、インポートした hsm を使用するように redshift を構成します。

解答

原文

10) A - Amazon Redshift can use an on-premises HSM for key management over the VPN, which ensures that the encryption keys are locally managed. 
Option B is possible: CloudHSM can cluster to an on-premises HSM. But then key management could be performed on either the on-premises HSM or CloudHSM, and that doesn’t meet the design goal. 
Option C does not describe a valid feature of KMS and violates the requirement for the corporate HSM to manage the keys requirement, even if it were possible. 
Option D is not possible because you cannot put hardware into an AWS Region.

googleで日本語翻訳

10)A - Amazon RedshiftはVPN上のキー管理にオンプレミスHSMを使用して、暗号化キーがローカルで管理されるようにします。
オプションBが可能:CloudHSMはオンプレミスHSMにクラスタ化できます。 しかし、キー管理はオンプレミスのHSMまたはCloudHSMで実行でき、それは設計目標を満たしていません。
オプションCは、KMSの有効な機能を記述しておらず、可能であれば、企業のHSMがキー要件を管理するための要件に違反しています。
オプションDは、ハードウェアをAWSリージョンに入れることができないため不可能です。

bingで日本語翻訳

10) a-amazon redshift は、vpn 経由のキー管理にオンプレミスの hsm を使用して、暗号化キーがローカルで管理されるようにすることができます。
オプション b は可能です: cloudhsm はオンプレミス hsm にクラスタ化できます。しかし、キーマネージメントはオンプレミス hsm または cloudhsm のいずれかで実行でき、設計目標を満たしていません。
オプション c では、kms の有効な機能については説明せず、可能であったとしても、企業の hsm がキー要件を管理するための要件に違反しています。
ハードウェアを aws リージョンに配置できないため、オプション d は使用できません。