Q14 — AWS ANS-C01 第1章

第 14/100 問 | ← 第1章

ある企業が、Application Load Balancer(ALB)をオリジンとして構成されたAmazon CloudFrontディストリビューションを使用しています。ネットワークエンジニアは、ALBへのすべての着信トラフィックがCloudFrontからのみ来るようにするソリューションを実装する必要があります。ネットワークエンジニアは、アプリケーションではなくネットワーク層でこのソリューションを実装しなければなりません。これらの要件を最も運用効率よく満たすソリューションはどれですか?

正解: A. ALBのセキュリティグループに、CloudFront向けAWSマネージドプレフィックスリストをソースとする受信ルールを追加。

解説

この問題の核心は、ネットワーク層でALBがCloudFrontからのみトラフィックを受け入れるように強制する方法です。AWS公式ドキュメントでは、セキュリティグループとマネージドプレフィックスリストを組み合わせた方法が推奨されています。セキュリティグループはインスタンスレベルのファイアウォールであり、ALBインスタンスに直接関連付けられます。AWSが管理するCloudFrontプレフィックスリストは、グローバルなエッジノードIPアドレスを自動的に維持するため、手動での更新が不要です。選択肢BのネットワークACLはサブネットレベルの制御であり、ステートレスであるため保守コストが高くなります。選択肢CおよびDはそれぞれアプリケーション層のヘッダー検証およびWAFルールに基づく制御であり、ネットワーク層の要件を満たしません。正解は、単一のセキュリティグループルールで精度の高い効率的なトラフィックフィルタリングを実現する選択肢Aです。