No.1702 AWSのバケットポリシーを使用して、バケットに書き込むすべてのオブジェクトに特定のKMSキーIDを使用してSSE-KMSでの暗号化を必須にした場合、どのような条件をポリシーに設定する必要がありますか？

• 「s3:x-amz-server-side-encryption-aws-kms-key-id」の値が特定のKMSキーIDと一致しないことをチェックする。
  正解 正解です。ポリシーの条件部分で「ArnNotEqualsIfExists」を使用して、指定されたKMSキーIDと一致しない場合のリクエストを拒否します。
• 「s3:x-amz-server-side-encryption-aws-kms-key-id」の値がnullであることをチェックする。
  不正解 不正解です。この条件は、オブジェクトがSSE-KMSで暗号化されていない場合のリクエストを拒否するためのものです。
• バケットのリソース名を「arn:aws:s3:::DOC-EXAMPLE-BUCKET/*」に設定する。
  不正解 不正解です。このリソース名はサンプル値であり、実際の環境では適切なバケット名に置き換える必要があります。また、これだけではKMSキーIDでの暗号化を強制する設定にはなりません。
• Actionが「s3:PutObject」であることを確認する。
  不正解 これは一部正しですが、このActionの条件だけでは特定のKMSキーIDでの暗号化を必須にする設定にはなりません。

参考文献