Q70 — AWS ANS-C01 第1章
第 70/100 問 | ← 第1章
グローバルな配送会社が、その車両管理システムをモダナイズしています。同社には複数の事業部門があり、それぞれが独自のAWSアカウント内で分離されたアプリケーションVPCにホストされるアプリケーションを設計・維持しています。各事業部門のアプリケーションは、中央の共有サービスVPCからデータを取得するように設計されています。 同社は、粒度の高いセキュリティ制御を提供するネットワーク接続アーキテクチャを望んでいます。また、今後さらに多くの事業部門が中央の共有サービスVPCからデータを利用する際に、アーキテクチャがスケール可能である必要があります。
- A. 中央のトランジットゲートウェイを作成します。各アプリケーションVPCに対してVPCアタッチメントを作成します。トランジットゲートウェイを用いて、すべてのVPC間でフルメッシュ接続を提供します。
- B. 中央の共有サービスVPCと各事業部門のAWSアカウント内の各アプリケーションVPCとの間にVPCピアリング接続を作成します。
- C. 中央の共有サービスVPC内でAWS PrivateLinkを活用したVPCエンドポイントサービスを作成します。各アプリケーションVPCにVPCエンドポイントを作成します。 ✓
- D. AWSマーケットプレイスのVPNアプライアンスを用いた中央トランジットVPCを作成します。各VPCからトランジットVPCへのVPNアタッチメントを作成します。すべてのVPC間でフルメッシュ接続を提供します。
正解: C. 中央の共有サービスVPC内でAWS PrivateLinkを活用したVPCエンドポイントサービスを作成します。各アプリケーションVPCにVPCエンドポイントを作成します。
解説
選択肢Cは、AWS PrivateLinkを活用して中央共有サービスVPCにVPCエンドポイントサービスを作成し、各アプリケーションVPCにVPCエンドポイントを作成することで、安全かつスケーラブルなネットワーク接続アーキテクチャを実現します。この方法により、事業部門のアプリケーションVPCは、パブリックインターネットへの露出や複雑なネットワークルーティング設定を必要とせずに、中央共有サービスVPCのリソースに安全にアクセスできます。粒度の高いセキュリティ制御を満たし、将来的に追加の事業部門がサービスを利用する際の拡張性も確保されます。一方、選択肢AおよびDは過剰なネットワークルーティングを導入し、選択肢Bはセキュリティおよびスケーラビリティの面で劣ります。