Q98 — AWS ANS-C01 第1章

第 98/100 問 | ← 第1章

グローバルな配送会社が、そのフリート管理システムを近代化しています。同社には複数の事業部門があり、各事業部門は、同じAWSリージョン内の別々のアプリケーションVPCにホストされる独自のAWSアカウントでアプリケーションを設計・維持しています。各事業部門のアプリケーションは、中央の共有サービスVPCからデータを取得するように設計されています。同社は、ネットワーク接続アーキテクチャに細かいセキュリティ制御を提供することを求めています。また、今後さらに多くの事業部門が中央の共有サービスVPCからデータを利用する際に、アーキテクチャが拡張可能である必要があります。これらの要件を最も安全な方法で満たすソリューションはどれですか?

正解: C. 中央の共有サービスVPC内でAWS PrivateLinkによって提供されるVPCエンドポイントサービスを作成します。各アプリケーションVPCにVPCエンドポイントを作成します。

解説

AWS PrivateLink(VPCエンドポイントサービス)は、サービスプロバイダー(中央共有サービスVPC)がプライベートネットワーク経由で特定のサービスを公開し、コンシューマー(事業部門VPC)が作成したインターフェイスエンドポイントを通じてアクセスできるように設計されています。これはインターネットや従来のVPCピアリングを介さないため、VPC間でネットワーク全体を開放することを回避し、攻撃面を最小限に抑え、細かいセキュリティ制御要件を満たします。PrivateLinkはVPCレベルではなくサービスレベルのアクセスポリシーに基づいており、各エンドポイントは承認済みサービスのみにアクセス可能であり、サービスプロバイダーはエンドポイント接続の承認・拒否を管理できます。拡張性の観点では、新しい事業部門は自VPCに新しいエンドポイントをデプロイするだけでよく、既存のアーキテクチャを変更する必要がなく、VPCピアリングの点対点接続数の制限やトランジットゲートウェイのルーティングの複雑さを回避します。AWSドキュメントによると、PrivateLinkはクロスアカウント・クロスVPCの安全なサービス共有シナリオに適しており、トラフィックの分離とネットワーク管理の簡素化を保証します。他の選択肢、つまりフルメッシュトランジットゲートウェイ(A)やVPN(D)はサービスレベルの制御を欠き、VPCピアリング(B)は拡張性のボトルネックとセキュリティポリシー負荷を伴います。