みなみの風物詩
type
status
date
slug
summary
tags
category
icon
password
 

理論

Amazon S3の暗号化とコスト最適化に関する本質的知識

1. サーバーサイド暗号化(SSE)の種類

  • SSE-S3 (Amazon S3 Managed Keys):
    • S3が暗号化キーを管理。
    • コストが低い。KMSリクエスト料金なし。
    • 簡単な運用が可能。
  • SSE-KMS (AWS Key Management Service):
    • AWS KMSキーを使用。
    • 高度なセキュリティ機能(キーの制御、監査)。
    • リクエストごとにKMS料金が発生し、アクセス頻度が高い場合コストが増加。
  • SSE-C (Customer-Provided Keys):
    • ユーザーが暗号化キーを管理。
    • コストは抑えられるが、キー管理が煩雑になる可能性あり。

2. コスト最適化のポイント

  • 頻繁なKMSリクエストの削減:
    • アクセス頻度が高い場合、SSE-S3を選択することでKMS料金を削減可能。
    • アプリケーションの変更を最小限に抑えられる。
  • アクセス頻度に基づくストレージクラス選択:
    • S3標準: 頻繁アクセス用(高コスト)。
    • S3インテリジェントティアリング: アクセスパターンに応じて自動的にコスト最適化。
    • S3 Glacier: 長期間アクセスが不要なデータ用。

3. 関連技術

  • S3バッチ操作:
    • 大量のオブジェクトを効率的に移行可能。
    • 既存データの再暗号化や新しいバケットへのコピー時に使用。
  • CloudHSM:
    • 専用ハードウェアでキーを管理。高度なセキュリティが必要な場合に選択肢となるが、運用コストや手間が増加。

実践

一問道場

問題 #256

トピック 1
ある会社が、Amazon S3バケットに数百万個のオブジェクトを保存しています。これらのオブジェクトはS3標準ストレージクラスに属しています。すべてのS3オブジェクトは頻繁にアクセスされています。また、これらのオブジェクトにアクセスするユーザーやアプリケーションの数が急速に増加しています。オブジェクトは、AWS KMSキー(SSE-KMS)を使用したサーバーサイド暗号化で暗号化されています。
ソリューションアーキテクトが会社の月次AWS請求書を確認したところ、Amazon S3からのリクエスト数が増加しているため、AWS KMSのコストが増加していることに気づきました。ソリューションアーキテクトは、アプリケーションへの変更を最小限に抑えつつ、コストを最適化する必要があります。
次のうち、最小限の運用負荷でこの要件を満たすソリューションはどれですか?
A. サーバーサイド暗号化に顧客提供キー(SSE-C)を使用する新しいS3バケットを作成します。既存のオブジェクトを新しいS3バケットにコピーし、SSE-Cを指定します。
B. サーバーサイド暗号化にAmazon S3管理キー(SSE-S3)を使用する新しいS3バケットを作成します。S3バッチ操作を使用して、既存のオブジェクトを新しいS3バケットにコピーし、SSE-S3を指定します。
C. AWS CloudHSMを使用して暗号化キーを保存します。新しいS3バケットを作成します。S3バッチ操作を使用して、既存のオブジェクトを新しいS3バケットにコピーし、CloudHSMのキーを使用してオブジェクトを暗号化します。
D. S3バケットにS3インテリジェントティアリングストレージクラスを使用します。90日間アクセスされていないオブジェクトをS3 Glacier Deep Archiveに移行するS3インテリジェントティアリングアーカイブ設定を作成します。

解説

問題のポイント(#256)

会社はS3 Standardストレージクラスを使っており、オブジェクトへのアクセス頻度が高いため、AWS KMS(SSE-KMS)のリクエストコストが急増しています。これを解決するために、コスト最適化を行いつつ、アプリケーションへの変更を最小限に抑える方法を探す必要があります。

各選択肢の評価

  1. 選択肢A: SSE-Cを利用する
      • コスト削減: AWS KMS料金は不要になる。
      • デメリット: ユーザーがキーを管理する必要があり、運用負荷が高い。
      • 適していない(運用負荷が増える)。
  1. 選択肢B: SSE-S3を利用する
      • コスト削減: AWS KMSの代わりにAmazon S3がキーを管理するため、KMS料金が発生しない。
      • メリット: Amazon S3が暗号化を完全に管理するため、運用負荷は増えない。
      • 最適な選択肢
  1. 選択肢C: AWS CloudHSMを利用する
      • コスト削減: AWS KMSを使用しないためKMS料金は削減される。
      • デメリット: CloudHSMの導入コストと運用負荷が高い。
      • 適していない(コストがかさむ)。
  1. 選択肢D: S3 Intelligent-Tieringを利用する
      • アクセス頻度に応じてストレージ料金を最適化できるが、KMSリクエスト料金には影響しない。
      • 問題の本質を解決しない

解答

  • 正解: B(SSE-S3を利用する) Amazon S3がキー管理を行い、KMSコストを削減しつつ運用負荷を増やさないため、最も効率的な解決策です。

解説のまとめ

AWS KMSコストを抑えるには、KMS以外の暗号化方式(例: SSE-S3)に移行するのがベストです。SSE-S3は運用負荷が低く、コスト削減に直結します。他の選択肢は、運用負荷やコスト面で課題があります。
相关文章
クラウド技術の共有 | AWS Site-to-Site
Lazy loaded image
EKSでのWordPressデプロイ:KCNA-JP試験対策 (Kubernetes実践編)
Lazy loaded image
初心者向け!コンテナ化WordPressサイト構築ガイド(超詳細版)
Lazy loaded image
EFSを活用!AWS EC2でDockerを使ったWordPressサイト構築
Lazy loaded image
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
Lazy loaded image
528-AWS SAP AWS 「理論・実践・一問道場」Migration Evaluator
Lazy loaded image
257-AWS SAP AWS 「理論・実践・一問道場」Lambdaの同時実行制限255-AWS SAP AWS 「理論・実践・一問道場」NACL
Loading...
みなみ
みなみ
一个普通的干饭人🍚
最新发布
02-生成AIパスポート試験対策:第2章「生成AI」
02-生成AIパスポート試験対策:第2章「生成AI」
2025-2-1
01-生成AIパスポート試験対策:第1章「人口知能」
01-生成AIパスポート試験対策:第1章「人口知能」
2025-2-1
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
2025-1-27
不要再傻傻的直接买NISA啦
不要再傻傻的直接买NISA啦
2025-1-27
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
2025-1-24
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
2025-1-22
公告
🎉欢迎访问我的博客🎉
- 感谢您的支持 --
本站点于2024/09/01建立
👏主要分享IT相关主题👏
系统管理:
Redhat…
容器和编排:
Kubernetes、Openshift…
云计算:
AWS、IBM…
AI入门
以及技术笔记和考证经验
定期更新,欢迎互动。
感谢访问!
快速浏览相关标签
标签 | みなみの風物詩
自分らしく未来へ
标签 | みなみの風物詩
https://notion-next-theta-gray.vercel.app/tag
标签 | みなみの風物詩
 
目录
0%