Q6 — AWS ANS-C01 第1章
第 6/100 問 | ← 第1章
ある企業が、Application Load Balancerの背後に複数のAmazon EC2インスタンスで重要なアプリケーションを展開しています。このアプリケーションは、パブリックインターネットからポート443で常に到達可能である必要があります。アプリケーションは最近、EC2のセキュリティグループに対する誤った変更により障害が発生しました。ネットワークエンジニアは、セキュリティグループの変更が行われるたびに、パブリックインターネットとEC2インスタンス間のネットワーク接続性を自動的に検証する方法を実装する必要があります。また、変更が接続に影響を与えた場合にネットワークエンジニアに通知する機能も必要です。 これらの要件を満たすソリューションはどれですか?
- A. 各EC2インスタンスのElastic Network InterfaceでVPCフローログを有効化し、ポート443におけるREJECTトラフィックをキャプチャします。フローログレコードをAmazon CloudWatch Logsのロググループに送信します。拒否されたトラフィック用にロググループのCloudWatch Logsメトリクスフィルターを作成し、ネットワークエンジニアに通知するアラームを作成します。
- B. 各EC2インスタンスのElastic Network InterfaceでVPCフローログを有効化し、ポート443のすべてのトラフィックをキャプチャします。フローログレコードをAmazon CloudWatch Logsのロググループに送信します。すべてのトラフィック用にロググループのCloudWatch Logsメトリクスフィルターを作成し、ネットワークエンジニアに通知するアラームを作成します。
- C. ポート443でVPC Reachability Analyzerのパスを作成します。ソースとしてセキュリティグループを指定し、宛先としてEC2インスタンスを指定します。セキュリティグループの変更が接続に影響を与えた場合にネットワークエンジニアに通知するためのAmazon Simple Notification Service(Amazon SNS)トピックを作成します。Reachability Analyzerを起動し、分析が失敗した場合にSNSトピックへメッセージを送信するAWS Lambda関数を作成します。セキュリティグループの変更時にLambda関数を呼び出すAmazon EventBridge(Amazon CloudWatch Events)ルールを作成します。
- D. ポート443でVPC Reachability Analyzerのパスを作成します。ソースとしてVPCのインターネットゲートウェイを指定し、宛先としてEC2インスタンスを指定します。セキュリティグループの変更が接続に影響を与えた場合にネットワークエンジニアに通知するためのAmazon Simple Notification Service(Amazon SNS)トピックを作成します。Reachability Analyzerを起動し、分析が失敗した場合にSNSトピックへメッセージを送信するAWS Lambda関数を作成します。セキュリティグループの変更時にLambda関数を呼び出すAmazon EventBridge(Amazon CloudWatch Events)ルールを作成します。 ✓
正解: D. ポート443でVPC Reachability Analyzerのパスを作成します。ソースとしてVPCのインターネットゲートウェイを指定し、宛先としてEC2インスタンスを指定します。セキュリティグループの変更が接続に影響を与えた場合にネットワークエンジニアに通知するためのAmazon Simple Notification Service(Amazon SNS)トピックを作成します。Reachability Analyzerを起動し、分析が失敗した場合にSNSトピックへメッセージを送信するAWS Lambda関数を作成します。セキュリティグループの変更時にLambda関数を呼び出すAmazon EventBridge(Amazon CloudWatch Events)ルールを作成します。
解説
この問題は、AWS環境においてセキュリティグループの変更がネットワーク接続性に与える影響を自動監視する能力を問うものです。AWSドキュメントによると、VPC Reachability Analyzerはネットワークパスの接続性を検証できます。正しい構成では、インターネットゲートウェイをパスのソースとして指定し、これはパブリックインターネットからのトラフィックを表します。宛先はEC2インスタンスのプライベートIPアドレスであり、ポート443を指定します。選択肢Dのパス構成は正しく、選択肢Cでは誤ってセキュリティグループをソースとしています。セキュリティグループの変更時にEventBridgeルールがLambda関数を起動し、Reachability Analyzerを実行して接続性を検証し、失敗した場合はSNSで通知します。VPCフローログ(選択肢AおよびB)は受動的にログを記録するのみであり、「変更時に即座に検証」するという要件を満たしません。回答の根拠:AWS VPC Reachability Analyzerは、インターネットゲートウェイなどのゲートウェイリソースからEC2インスタンスへのパス分析をサポートしており、EventBridgeとLambdaを組み合わせることで自動化された検出が可能です(AWS re:Invent 2020、セキュリティおよびコンプライアンスセッション)。