Q50 — AWS ANS-C01 第1章

第 50/100 問 | ← 第1章

ある企業が、us-east-1リージョンおよびap-southeast-2リージョンのエッジロケーションでAWS Cloud WANを展開しています。各エッジロケーションにおいて、開発環境、本番環境、共有サービス環境向けに個別のAWS Cloud WANセグメントが構成されています。多数の新しいVPCが各環境向けに展開され、それらはAWS Cloud WANコアネットワークへのアタッチメントとして構成されます。企業のネットワークチームは、VPCアタッチメントが正しいセグメントに構成されることを保証したいと考えています。ネットワークチームは、VPCアタッチメントに「Environment」キーと対応する環境セグメント名を値とするタグを付与します。us-east-1リージョンにおける本番環境セグメントへのアタッチメント要求は、承認を必須としなければなりません。その他のすべてのアタッチメント要求は承認を不要とします。 これらの要件を満たすソリューションはどれですか?

正解: B. 本番セグメントへのアタッチメントに承認を必須とするルール(優先度100)を作成します。このルールでは条件論理を「AND」に設定し、「tag:Environment」値が「Production」かつリージョン値が「us-east-1」であることを条件に含めます。任意の「tag:Environment」値をそれぞれのセグメントにマップするための承認不要ルール(優先度200)を作成します。

解説

AWS Cloud WANのポリシールールは優先度順(数値が小さいほど優先度が高い)に処理されます。ルール100は「AND」論理で、「tag:Environment」値が「Production」かつリージョンが「us-east-1」の組み合わせのみを対象に承認を必須とします。ルール200は残りのすべてのタグ値を自動的に対応するセグメントにマップし、承認を不要とします。AWSドキュメントによると、条件論理が「AND」の場合、すべての条件が同時に満たされる必要があります。また、上位優先度のルールが先に適用され、残りのケースは下位ルールで処理されます。選択肢Bの構成は、本番環境に対して厳格な承認制御を確保し、他の環境は自動処理するという要件を正確に満たします。誤った選択肢は、条件論理や優先度順序が要件に合致していません。AWS Cloud WANポリシールールの構成については『AWS Networking Guide』を参照してください。