Q6 — AWS ANS-C01 第1章

第 6/100 問 | ← 第1章

ある企業が、Application Load Balancerの背後に複数のAmazon EC2インスタンスで重要なアプリケーションを展開しています。このアプリケーションは、パブリックインターネットからポート443で常に到達可能である必要があります。アプリケーションは最近、EC2のセキュリティグループに対する誤った変更により障害が発生しました。ネットワークエンジニアは、セキュリティグループの変更が行われるたびに、パブリックインターネットとEC2インスタンス間のネットワーク接続性を自動的に検証する方法を実装する必要があります。また、変更が接続に影響を与えた場合にネットワークエンジニアに通知する機能も必要です。 これらの要件を満たすソリューションはどれですか?

正解: D. ポート443でVPC Reachability Analyzerのパスを作成します。ソースとしてVPCのインターネットゲートウェイを指定し、宛先としてEC2インスタンスを指定します。セキュリティグループの変更が接続に影響を与えた場合にネットワークエンジニアに通知するためのAmazon Simple Notification Service(Amazon SNS)トピックを作成します。Reachability Analyzerを起動し、分析が失敗した場合にSNSトピックへメッセージを送信するAWS Lambda関数を作成します。セキュリティグループの変更時にLambda関数を呼び出すAmazon EventBridge(Amazon CloudWatch Events)ルールを作成します。

解説

この問題は、AWS環境においてセキュリティグループの変更がネットワーク接続性に与える影響を自動監視する能力を問うものです。AWSドキュメントによると、VPC Reachability Analyzerはネットワークパスの接続性を検証できます。正しい構成では、インターネットゲートウェイをパスのソースとして指定し、これはパブリックインターネットからのトラフィックを表します。宛先はEC2インスタンスのプライベートIPアドレスであり、ポート443を指定します。選択肢Dのパス構成は正しく、選択肢Cでは誤ってセキュリティグループをソースとしています。セキュリティグループの変更時にEventBridgeルールがLambda関数を起動し、Reachability Analyzerを実行して接続性を検証し、失敗した場合はSNSで通知します。VPCフローログ(選択肢AおよびB)は受動的にログを記録するのみであり、「変更時に即座に検証」するという要件を満たしません。回答の根拠:AWS VPC Reachability Analyzerは、インターネットゲートウェイなどのゲートウェイリソースからEC2インスタンスへのパス分析をサポートしており、EventBridgeとLambdaを組み合わせることで自動化された検出が可能です(AWS re:Invent 2020、セキュリティおよびコンプライアンスセッション)。