Q92 — AWS DOP-C02 第1章
第 92/100 問 | ← 第1章
アプリケーションを実行するために、DevOpsエンジニアはパブリックサブネット内のパブリックIPアドレスを使用してAmazon EC2インスタンスを起動します。ユーザーデータスクリプトがアプリケーションアーティファクトを取得し、起動時にインスタンス上にインストールします。アプリケーションのセキュリティ分類に関する新たな要件により、インスタンスはインターネットアクセスなしで実行される必要があります。インスタンスは正常に起動し、ヘルスステータスも正常ですが、アプリケーションがインストールされていないようです。 新しい要件を遵守しつつ、以下のうちアプリケーションのインストールを成功させる方法はどれでしょうか?
- A. Elastic IPアドレスがアタッチされたパブリックサブネットでインスタンスを起動します。アプリケーションのインストールおよび実行後に、Elastic IPアドレスの関連付けを解除するスクリプトを実行します。
- B. NATゲートウェイを設定します。EC2インスタンスをプライベートサブネットにデプロイし、プライベートサブネットのルートテーブルを更新して、NATゲートウェイをデフォルトルートとして指定します。
- C. アプリケーションアーティファクトをAmazon S3バケットに公開し、S3用のVPCエンドポイントを作成します。EC2インスタンスにIAMインスタンスプロファイルを割り当て、S3バケットからアーティファクトを読み取れるようにします。 ✓
- D. アプリケーションインスタンス用のセキュリティグループを作成し、アーティファクトストアへのアウトバウンドトラフィックのみを許可します。インストール完了後に、セキュリティグループのルールを削除します。
正解: C. アプリケーションアーティファクトをAmazon S3バケットに公開し、S3用のVPCエンドポイントを作成します。EC2インスタンスにIAMインスタンスプロファイルを割り当て、S3バケットからアーティファクトを読み取れるようにします。
解説
インターネットアクセス不可のEC2インスタンス上でアプリケーションアーティファクトを安全に取得する方法についての問題です。AWSドキュメントによると、VPCエンドポイントは、パブリックインターネットを経由せず、Amazonネットワークを介して特定サービス(例:S3)に直接アクセスするための手段を提供します。選択肢Cは、S3へのVPCエンドポイント接続と、IAMインスタンスプロファイルによるアクセス許可を組み合わせることで、インスタンスがパブリックネットワークに依存せずにアーティファクトを取得でき、セキュリティ要件を満たします。他の選択肢(A/B)はパブリックネットワークまたはNATを介したアクセスを含むため、インターネットアクセスを許容します。Dはセキュリティグループのみでルーティング問題を解決していません。正解はCであり、VPCエンドポイント+S3のプライベートアクセス機構を利用します。