Q15 — AWS ANS-C01 第1章
第 15/100 問 | ← 第1章
ある企業はAWS上で数百のVPCを運用しています。すべてのVPCは、NATゲートウェイを介してAmazon S3およびAWS Systems Managerのパブリックエンドポイントにアクセスしています。すべてのVPCからAmazon S3およびSystems ManagerへのトラフィックはNATゲートウェイを経由しています。企業のネットワークエンジニアは、これらのサービスへのアクセスを集中管理し、パブリックエンドポイントの使用を排除する必要があります。これらの要件を最小限の運用オーバーヘッドで満たすソリューションはどれですか?
- A. プライベートNATゲートウェイを備えた中央出口VPCを作成。すべてのVPCをAWS Transit Gatewayを用いて中央出口VPCに接続。プライベートNATゲートウェイを用いて、プライベートIPアドレスでAmazon S3およびSystems Managerに接続。
- B. 中央共有サービスVPCを作成。この中央共有サービスVPC内で、Amazon S3およびSystems Managerへのアクセス用インターフェイスVPCエンドポイントを作成。プライベートDNSを無効化。すべてのVPCをAWS Transit Gatewayを用いて中央共有サービスVPCに接続。各インターフェイスVPCエンドポイントに対してAmazon Route 53フォワーディングルールを作成し、すべてのVPCに関連付ける。DNSクエリを共有サービスVPC内のインターフェイスVPCエンドポイントに転送。
- C. 中央共有サービスVPCを作成。この中央共有サービスVPC内で、Amazon S3およびSystems Managerへのアクセス用インターフェイスVPCエンドポイントを作成。プライベートDNSを無効化。すべてのVPCをAWS Transit Gatewayを用いて中央共有サービスVPCに接続。Amazon S3およびSystems Managerのフルサービスエンドポイント名を含むAmazon Route 53プライベートホストゾーンを作成し、すべてのVPCに関連付ける。各プライベートホストゾーンに、共有サービスVPC内のインターフェイスVPCエンドポイントを指すエイリアスレコードを作成。 ✓
- D. 中央共有サービスVPCを作成。この中央共有サービスVPC内で、Amazon S3およびSystems Managerへのアクセス用インターフェイスVPCエンドポイントを作成。すべてのVPCをAWS Transit Gatewayを用いて中央共有サービスVPCに接続。インターフェイスVPCエンドポイントに対してプライベートDNSを有効化し、DNSサポートを有効化した状態でTransit Gatewayを作成。
正解: C. 中央共有サービスVPCを作成。この中央共有サービスVPC内で、Amazon S3およびSystems Managerへのアクセス用インターフェイスVPCエンドポイントを作成。プライベートDNSを無効化。すべてのVPCをAWS Transit Gatewayを用いて中央共有サービスVPCに接続。Amazon S3およびSystems Managerのフルサービスエンドポイント名を含むAmazon Route 53プライベートホストゾーンを作成し、すべてのVPCに関連付ける。各プライベートホストゾーンに、共有サービスVPC内のインターフェイスVPCエンドポイントを指すエイリアスレコードを作成。
解説
この問題は、AWSアーキテクチャにおいてAmazon S3およびSystems Managerサービスへの集中アクセスを実現し、パブリックエンドポイントおよびNATゲートウェイの使用を回避する方法について問うものです。正しい選択肢は、集中型VPCエンドポイントアーキテクチャ設計原則に基づき、AWSサービスの特性を考慮したものとなります。AWS公式ドキュメントでは、インターフェイスVPCエンドポイントとPrivateLinkを用いたクロスVPCアクセスが推奨されており、Route 53プライベートホストゾーンによるDNS解決の統一が提案されています。選択肢Cの鍵となる点は以下の通りです:共有サービスVPCを作成し、そこにインターフェイスエンドポイントを展開、エンドポイントのプライベートDNSを無効化して単一VPC内への自動解決を回避;すべてのVPCをTransit Gatewayで接続し、プライベートホストゾーンでフルサービスエンドポイント名を定義して別名レコードを作成することで、すべてのVPCのリクエストを共有エンドポイントにルーティングします。他の選択肢は、DNS解決が集中化されていない(D)、運用が複雑(B)、またはパブリック経路を完全に排除していない(A)といった問題があります。