Q5 — AWS ANS-C01 第1章

第 5/100 問 | ← 第1章

ある企業が、AWS上で計算集約型のデータ処理アプリケーションを実行する計画です。データは極めて機密性が高く、VPCはインターネットへの直接アクセスを一切許可してはならず、企業は厳格なネットワークセキュリティを適用してアクセスを制御しています。 データサイエンティストは、AWS Site-to-Site VPN接続を用いて、オンプレミスのデータセンターからインスタンスへデータを転送します。オンプレミスのデータセンターはネットワーク範囲172.31.0.0/20を使用し、アプリケーションVPCでは172.31.16.0/20のネットワーク範囲を使用します。 データサイエンティストは、アプリケーションの新しいインスタンスを起動することは可能ですが、オンプレミスのデータセンターからデータを転送できないと報告しています。ネットワークエンジニアはVPCフローログを有効化し、到達性テストとしてインスタンスへのpingを送信しました。フローログは以下の内容を示しています。 ネットワークエンジニアは、データサイエンティストがオンプレミスのデータセンターからデータを転送できるようにするソリューションを推奨する必要があります。 これらの要件を満たすソリューションはどれですか?

正解: C. VPCサブネットのネットワークACLを変更し、VPCサブネット範囲からオンプレミスのデータセンターのネットワーク範囲へのトラフィックを許可するアウトバウンドルールを追加します。

解説

AWSでは、VPC(Virtual Private Cloud)のネットワークアクセス制御は主にセキュリティグループ(Security Groups)およびネットワークアクセス制御リスト(Network ACLs)によって管理されます。セキュリティグループはインスタンスレベルのトラフィックを制御し、ネットワークACLはサブネットレベルのトラフィックを制御します。データサイエンティストがオンプレミスのデータセンターからアプリケーションインスタンスを起動できるがデータ転送ができないという状況から、問題はサブネットレベルのトラフィック制御にある可能性が高いです。選択肢AおよびDはセキュリティグループルールの変更であり、インスタンスへの出入りトラフィックに影響を与えますが、サブネット間のトラフィックには影響しません。VPCとオンプレミスのデータセンター間にはSite-to-Site VPN接続が確立されており、インスタンスの起動も可能なことから、インスタンスレベルのセキュリティグループルールが問題ではないと考えられます。選択肢BはネットワークACLの変更を含みますが、インバウンドルールの追加であり、VPCからオンプレミスのデータセンターへのデータ転送(つまりアウトバウンドトラフィック)の問題に対応していません。選択肢Cが正しく、VPCサブネットのネットワークACLを変更し、VPCサブネット範囲からオンプレミスのデータセンターのネットワーク範囲へのトラフィックを許可するアウトバウンドルールを追加することで、データサイエンティストがVPCからオンプレミスのデータセンターへデータを転送できないという問題を解決します。