Q94 — AWS ANS-C01 第1章
第 94/100 問 | ← 第1章
ある企業は、Application Load Balancerの背後に配置されたAmazon EC2インスタンスのグループ上に重要なアプリケーションを展開しています。このアプリケーションは、パブリックインターネットからポート443で常に到達可能でなければなりません。このアプリケーションは最近、EC2セキュリティグループに対する誤った変更により障害を起こしました。ネットワークエンジニアは、セキュリティグループの変更が行われるたびに、パブリックインターネットとEC2インスタンス間のネットワーク接続性を自動的に検証する方法を実装する必要があります。また、変更が接続に影響を与えた場合にネットワークエンジニアに通知する必要があります。これらの要件を満たすソリューションはどれですか?
- A. 各EC2インスタンスのElastic Network InterfaceでVPC Flow Logsを有効化し、ポート443におけるREJECTトラフィックをキャプチャします。Flow LogレコードをAmazon CloudWatch Logsのロググループに配信します。拒否されたトラフィック用にロググループのCloudWatch Logsメトリクスフィルターを作成します。ネットワークエンジニアに通知するためのアラームを作成します。
- B. 各EC2インスタンスのElastic Network InterfaceでVPC Flow Logsを有効化し、ポート443におけるすべてのトラフィックをキャプチャします。Flow LogレコードをAmazon CloudWatch Logsのロググループに配信します。すべてのトラフィック用にロググループのCloudWatch Logsメトリクスフィルターを作成します。ネットワークエンジニアに通知するためのアラームを作成します。
- C. ポート443でVPC Reachability Analyzerのパスを作成します。ソースとしてセキュリティグループを指定します。宛先としてEC2インスタンスを指定します。セキュリティグループの変更が接続に影響を与えた場合にネットワークエンジニアに通知するためのAmazon Simple Notification Service(Amazon SNS)トピックを作成します。Reachability Analyzerを開始し、分析が失敗した場合にSNSトピックにメッセージを公開するAWS Lambda関数を作成します。セキュリティグループの変更が発生したときにLambda関数を呼び出すAmazon EventBridge(Amazon CloudWatch Events)ルールを作成します。
- D. ポート443でVPC Reachability Analyzerのパスを作成します。ソースとしてVPCのインターネットゲートウェイを指定します。宛先としてEC2インスタンスを指定します。セキュリティグループの変更が接続に影響を与えた場合にネットワークエンジニアに通知するためのAmazon Simple Notification Service(Amazon SNS)トピックを作成します。Reachability Analyzerを開始し、分析が失敗した場合にSNSトピックにメッセージを公開するAWS Lambda関数を作成します。セキュリティグループの変更が発生したときにLambda関数を呼び出すAmazon EventBridge(Amazon CloudWatch Events)ルールを作成します。 ✓
正解: D. ポート443でVPC Reachability Analyzerのパスを作成します。ソースとしてVPCのインターネットゲートウェイを指定します。宛先としてEC2インスタンスを指定します。セキュリティグループの変更が接続に影響を与えた場合にネットワークエンジニアに通知するためのAmazon Simple Notification Service(Amazon SNS)トピックを作成します。Reachability Analyzerを開始し、分析が失敗した場合にSNSトピックにメッセージを公開するAWS Lambda関数を作成します。セキュリティグループの変更が発生したときにLambda関数を呼び出すAmazon EventBridge(Amazon CloudWatch Events)ルールを作成します。
解説
本シナリオでは、セキュリティグループの変更時にネットワーク接続性を自動的に検証し、ネットワークエンジニアに通知するソリューションが必要です。選択肢AおよびBは、VPCフローログと関連するフィルターおよびアラームの設定のみで、ネットワーク接続性の検証という要件を完全には満たしません。選択肢Cでは、ソースとしてセキュリティグループを指定していますが、これは不正確です。なぜなら、パブリックインターネットからEC2インスタンスへの接続性を検証する必要があり、パブリックインターネットは通常VPCのインターネットゲートウェイを経由してアクセスされるからです。選択肢Dでは、ポート443でVPC Reachability Analyzerのパスを作成し、VPCのインターネットゲートウェイをソース、EC2インスタンスを宛先として指定することで、パブリックインターネットからインスタンスへの接続性を正確にシミュレートできます。さらに、SNSトピック、Lambda関数、EventBridgeルールを組み合わせることで、セキュリティグループの変更時に自動的に通知を送信でき、すべての要件を満たします。したがって、正解はDです。