Q95 — AWS ANS-C01 第1章
第 95/100 問 | ← 第1章
銀行会社が、VPCから特定のパブリックIPアドレスへの接続を必要とするアプリケーションを保有しています。ネットワークエンジニアは、アプリケーションのサブネットに関連付けられたルートテーブルに、インターネットゲートウェイを経由した必要なパブリックIPアドレスへのルートを設定しました。ネットワークエンジニアは、ユーザーがアプリケーションのサブネットのルートテーブルにインターネットゲートウェイをターゲットとしたデフォルトルート(0.0.0.0/0または::/0)を追加した際に、メール通知で警告を受け取る必要があります。これらの要件を満たすとともに、実装作業量が最小となるソリューションはどれですか?
- A. ルートテーブル内のルートを読み取るAWS Lambda関数を作成し、メール通知を送信します。Lambda関数を、0.0.0.0/0または::/0 CIDRをインターネットゲートウェイに向けたルートが設定されている場合にメール通知を送信するように設定します。Lambda関数を1分ごとに実行するように設定します。 ✓
- B. Amazon EC2 CreateRoute API呼び出しによって起動されるAWS Lambda関数を作成します。Lambda関数をメール通知を送信するように設定します。Lambda関数を、0.0.0.0/0または::/0 CIDRをインターネットゲートウェイに向けたルートが設定されている場合にメール通知を送信するように設定します。
- C. AWS Configルールを、internet-gateway-authorized-vpc-onlyマネージドルールを用いてルートテーブルに対して作成します。AWS Configルールに一致するAmazon EventBridgeルールを作成し、Amazon Simple Notification Service(Amazon SNS)トピックにルーティングしてメール通知を送信します。
- D. AWS Configルールを、no-unrestricted-route-to-igwマネージドルールを用いてルートテーブルに対して作成します。AWS Configルールに一致するAmazon EventBridgeルールを作成し、Amazon Simple Notification Service(Amazon SNS)トピックにルーティングしてメール通知を送信します。
正解: A. ルートテーブル内のルートを読み取るAWS Lambda関数を作成し、メール通知を送信します。Lambda関数を、0.0.0.0/0または::/0 CIDRをインターネットゲートウェイに向けたルートが設定されている場合にメール通知を送信するように設定します。Lambda関数を1分ごとに実行するように設定します。
解説
本問の核心は、VPCルートテーブルにインターネットゲートウェイをターゲットとしたデフォルトルート(0.0.0.0/0または::/0)が追加されたことをリアルタイムで監視することです。AWSネイティブサービスの中で、Lambdaによるルートテーブルの定期的なポーリングが最も直接的なソリューションです。選択肢Aは、Lambda関数を1分ごとに実行してルートテーブルを積極的にチェックし、条件に合致するルートを検出すると通知を送信するため、他のサービス(AWS Configルール設定、イベントルールのマッチングなど)との複雑な統合を必要とせず、実装パスが最も短く、コードロジックもシンプルです。他の選択肢は、API呼び出しイベント源の設定が複雑(B)、またはAWS ConfigマネージドルールとEventBridgeの連携(C/D)といった追加の複雑さを導入します。