Q60 — AWS ANS-C01 第1章

第 60/100 問 | ← 第1章

ある企業が単一のAWSアカウント内でTransit Gatewayを運用しています。同社は、このTransit GatewayのフローログをAmazon CloudWatch Logsのロググループに送信しています。また、ログを分析するAWS Lambda関数を作成しました。このLambda関数は、VPCから生成されたトラフィックがTransit Gatewayによって破棄された場合に、Amazon Simple Notification Service(Amazon SNS)トピックへ通知を送信します。各通知にはアカウントID、VPC ID、および破棄されたパケット総数が含まれます。同社は、このSNSトピックに新しいLambda関数をサブスクライブしたいと考えています。この新しいLambda関数は、各通知で特定されたトラフィックを、該当VPCのTransit Gatewayアタッチメントサブネットに適用されるネットワークACLを用いて、VPCから流出しないよう自動的に防止する必要があります。

正解: B. 既存のLambda関数を設定し、破棄されたトラフィックの送信元IPアドレスを各SNS通知に追加します。新しいLambda関数を設定し、ネットワークACLのインバウンドルールを、通知内の送信元IPアドレスを用いて作成します。

解説

AWSネットワークACLの設定とトラフィック方向の処理に関する知識が問われています。AWS公式ドキュメントによると、ネットワークACLのインバウンドルールはサブネットへの流入トラフィックを制御します。既存のLambda関数が破棄されたトラフィックの送信元IP(つまり、破棄されたトラフィックを発生させたIPアドレス)を通知に含めるように設定され、新しいLambda関数がその送信元IPを用いてネットワークACLのインバウンドルールを作成することで、これらの送信元からのトラフィックがサブネットに入ることを阻止できます。これにより、以降のトラフィックがTransit Gatewayで破棄されるのを防げます。選択肢Bは、送信元IPとインバウンドルールの組み合わせを正しく反映しています。他の選択肢は、トラフィック方向とルールタイプのマッチングが正しくありません。