Q19 — AWS ANS-C01 第1章

第 19/100 問 | ← 第1章

金融取引会社が、取引プラットフォームの一部としてAmazon EC2インスタンス上で第三者提供の価格情報サービスを利用しています。このEC2インスタンスは、UDPポート50000を介して価格情報サービスと通信します。最近、価格情報サービスに問題が発生しており、一部の応答が誤った形式で返され、正常に処理されていません。第三者ベンダーは、価格情報サービスが返すデータへのアクセスを要求しています。ベンダーは、価格情報サービスにアクセスするEC2インスタンスにログインして、デバッグのためにリクエストおよび応答データをキャプチャしたいと考えています。しかし、同社は本番システムへの直接アクセスを禁止しており、すべてのログ分析は専用のモニタリングアカウントで実行する必要があります。これらの要件を満たすために、ネットワークエンジニアが実施すべき手順のセットはどれですか?

正解: C. 1. UDPデータをキャプチャするためのトラフィックミラー・フィルターを構成します。2. EC2インスタンスのElastic Network Interface(ENI)のトラフィックをキャプチャするようトラフィックミラーリングを構成します。3. モニタリングアカウントに新しいEC2インスタンスを作成し、パケット検査パッケージを構成します。この新しいEC2インスタンスのENIをトラフィックミラーのターゲットとして使用します。4. パケット検査パッケージを使用してデータを抽出します。5. データを第三者ベンダーに提供します。

解説

この問題は、AWSにおけるネットワークトラフィックのキャプチャと、クロスアカウントでのログ管理の実装方法について問うものです。AWSドキュメントによると、VPCトラフィックミラーリング(Traffic Mirroring)は、指定されたENIのトラフィックをターゲットインスタンスに複製する機能であり、実際のパケット内容をキャプチャする必要があるシナリオに適しています。選択肢Cの鍵となる点は、ミラートラフィックをモニタリングアカウントのインスタンスに送信することであり、これは本番システムへの直接アクセスを禁止し、ログ分析を独立したアカウントで実行するという要件を満たします。選択肢AのVPCフローログはメタデータのみを記録し、具体的なパケット内容を取得できません。選択肢Bのターゲットインスタンスが本番環境に存在するため、モニタリングアカウントに関するポリシーに違反します。選択肢Dは本番インスタンスへのログインを伴い、セキュリティ規定に明確に反します。正解である選択肢Cは、トラフィックミラー・フィルターの構成、クロスアカウントターゲットミラーの設定、およびデータ抽出のプロセスを通じて、すべての条件を満たします。