Q9 — AWS ANS-C01 第1章

第 9/100 問 | ← 第1章

ある企業には、本番環境用と接続用の2つのAWSアカウントがあります。ネットワークエンジニアは、本番環境アカウントのVPCを接続用アカウントのTransit Gatewayに接続する必要があります。Transit Gatewayでは、共有アタッチメントを自動承認する機能が有効化されていません。これらの要件を満たすために、ネットワークエンジニアは各AWSアカウントでどの手順を実行すべきでしょうか?

正解: D. 1. 接続用アカウント:AWS Resource Access ManagerでTransit Gatewayのリソース共有を作成し、本番環境アカウントIDを指定。外部アカウントを許可する機能を有効化。 2. 本番環境アカウント:リソースを承認。 3. 本番環境アカウント:VPCサブネットへのアタッチメントを作成。 4. 接続用アカウント:アタッチメントを承認。アタッチメントに関連付けられたルートテーブルを設定。

解説

この問題はAWS Transit Gatewayのクロスアカウント共有構成に関するものです。AWSドキュメントによると、Transit Gatewayをクロスアカウントで共有するにはResource Access Manager(RAM)を使用します。リソース所有者(接続用アカウント)が、対象アカウント(本番環境アカウント)へTransit GatewayをRAM経由で共有する必要があります。受信側が共有を承認した後、ローカルアカウント内で共有されたTransit GatewayへのVPCアタッチメントを作成できます。自動承認が無効なため、Transit Gatewayが属するアカウント(接続用アカウント)がアタッチメントを手動で承認し、ルートテーブルを関連付ける必要があります。選択肢Dの手順はこの論理に合致しており、接続用アカウントがTransit Gatewayを共有し、本番環境アカウントがVPCアタッチメントを作成した後に接続用アカウントが承認・ルーティング設定を行う流れです。『AWS Transit Gatewayユーザーガイド』にはクロスアカウント共有の具体的な手順が記載されています。他の選択肢は、リソース共有の方向が誤っているか、操作手順の順序が逆になっています。