Q14 — AWS ANS-C01 第1章
第 14/100 問 | ← 第1章
ある企業が、Application Load Balancer(ALB)をオリジンとして構成されたAmazon CloudFrontディストリビューションを使用しています。ネットワークエンジニアは、ALBへのすべての着信トラフィックがCloudFrontからのみ来るようにするソリューションを実装する必要があります。ネットワークエンジニアは、アプリケーションではなくネットワーク層でこのソリューションを実装しなければなりません。これらの要件を最も運用効率よく満たすソリューションはどれですか?
- A. ALBのセキュリティグループに、CloudFront向けAWSマネージドプレフィックスリストをソースとする受信ルールを追加。 ✓
- B. ALBのサブネットに関連付けられたネットワークACLに、CloudFront向けAWSマネージドプレフィックスリストをソースとする受信ルールを追加。
- C. CloudFrontを構成して、ALBに送信されるリクエストにカスタムHTTPヘッダーを追加。
- D. ALBに関連付けられたAWS WAF Web ACLを設定。CloudFront IPセットからのトラフィックを許可するAWS WAFルールを構成。AWS Lambda関数を用いてCloudFront IPセットを自動更新。
正解: A. ALBのセキュリティグループに、CloudFront向けAWSマネージドプレフィックスリストをソースとする受信ルールを追加。
解説
この問題の核心は、ネットワーク層でALBがCloudFrontからのみトラフィックを受け入れるように強制する方法です。AWS公式ドキュメントでは、セキュリティグループとマネージドプレフィックスリストを組み合わせた方法が推奨されています。セキュリティグループはインスタンスレベルのファイアウォールであり、ALBインスタンスに直接関連付けられます。AWSが管理するCloudFrontプレフィックスリストは、グローバルなエッジノードIPアドレスを自動的に維持するため、手動での更新が不要です。選択肢BのネットワークACLはサブネットレベルの制御であり、ステートレスであるため保守コストが高くなります。選択肢CおよびDはそれぞれアプリケーション層のヘッダー検証およびWAFルールに基づく制御であり、ネットワーク層の要件を満たしません。正解は、単一のセキュリティグループルールで精度の高い効率的なトラフィックフィルタリングを実現する選択肢Aです。