Q83 — AWS ANS-C01 第1章

第 83/100 問 | ← 第1章

ある企業には在宅勤務のユーザーがいます。この企業は、追加のセキュリティ可視性を確保するために、これらのユーザーをAmazon WorkSpacesへ移行することを検討しています。 企業は、自身のAWSアカウント内のVPC AにWorkSpacesを展開しました。ネットワークエンジニアは、Gateway Load Balancer(GWLB)の後ろに2台のファイアウォールアプライアンスを配置することでセキュリティ可視性を提供することを決定しました。ネットワークエンジニアは、別のアカウントにVPC Bをプロビジョニングし、別々の可用性ゾーンに2台のファイアウォールアプライアンスを展開しました。 このソリューションのネットワーク接続を構成するために、ネットワークエンジニアは何を行うべきですか?

正解: B. VPC BにGWLBを作成し、ファイアウォールアプライアンスインスタンスをターゲットとして指定します。GWLBを使用してGWLBエンドポイントを作成します。GWLBエンドポイントのプリンシパル許可リストにWorkSpacesアカウントのAWSプリンシパルARNを追加します。WorkSpacesアカウント内でVPCエンドポイントを作成し、AWSマネジメントコンソールが提供するGWLBエンドポイントのサービス名を指定します。VPC Aのルートテーブルを変更し、デフォルトルートをGWLBエンドポイントへ向けるように設定します。

解説

このシナリオでは、企業が在宅勤務ユーザーをAmazon WorkSpacesへ移行し、セキュリティ可視性を強化しようとしています。この目的を達成するため、ネットワークエンジニアは別のアカウント内のVPC Bに2台のファイアウォールデバイスを展開し、Gateway Load Balancer(GWLB)を介してセキュアなアクセスを提供します。選択肢Aは、VPC A内にGWLBを作成しようとしていますが、ファイアウォールデバイスはVPC B内にあるため、ネットワーク構成が複雑になり、クロスアカウントリソースアクセスの標準的手法に反します。選択肢Bは、VPC B内にGWLBを作成し、ファイアウォールデバイスをターゲットとして指定し、GWLBエンドポイントを作成します。さらに、WorkSpacesアカウントのAWSプリンシパルARNをGWLBエンドポイントの許可リストに追加し、WorkSpacesアカウント内でVPCエンドポイントを作成してGWLBエンドポイントのサービス名を指定します。その後、VPC Aのルートテーブルを変更してデフォルトルートをGWLBエンドポイントへ向けることで、VPC AからVPC B内のファイアウォールデバイスへのトラフィックルーティングが可能になります。これは正しい構成です。選択肢Cは、VPC AのルートテーブルをWorkSpacesサブネットではなくGWLBエンドポイントへ向けるべきところを誤っています。選択肢Dは、GWLBエンドポイントの許可リストにファイアウォールデバイスを含むアカウントのARNを追加していますが、正しくはWorkSpacesアカウントのARNである必要があります。