Q10 — AWS SAA-C03 第1章

第 10/65 問 | ← 第1章

Q10. ソリューションアーキテクトが2層構成のWebアプリケーションを設計しています。このアプリケーションは、パブリックサブネット内のAmazon EC2インスタンスでホストされるパブリックなWebレイヤーと、プライベートサブネット内のAmazon EC2インスタンスで実行されるMicrosoft SQL Serverによるデータベースレイヤーから構成されています。セキュリティは、この企業にとって最優先事項です。この状況において、セキュリティグループをどのように設定すべきでしょうか?(該当するものを2つ選択)

正解: A. Webレイヤーのセキュリティグループを、ポート443に対する0.0.0.0/0からの着信トラフィックを許可するように設定する, C. データベースレイヤーのセキュリティグループを、Webレイヤーのセキュリティグループからのポート1433への着信トラフィックを許可するように設定する

解説

このシナリオでは、インターネット上の任意のクライアントからWebフロントエンドへのSSL/TLS(ポート443)経由の着信トラフィックを許可するため、Webレイヤーのセキュリティグループに着信ルールを設定する必要があります。そのため、ソースは任意のIPアドレスを表す0.0.0.0/0とするべきです。一方、Webフロントエンドからデータベースレイヤーへの接続を安全に確保するには、パブリックEC2インスタンスのセキュリティグループから、プライベートEC2インスタンスのセキュリティグループへ向けて発信ルールを設定する必要があります(ただし、本問では発信ルールではなく、データベース側の着信ルールが正解となります)。データベースはMicrosoft SQL Serverであるため、通信ポートは1433です。したがって、プライベートEC2のセキュリティグループには、パブリックEC2のセキュリティグループからのポート1433への着信トラフィックを明示的に許可するルールが必要です。 正解:「Webレイヤーのセキュリティグループを、ポート443に対する0.0.0.0/0からの着信トラフィックを許可するように設定する」は正しい選択肢です。 正解:「データベースレイヤーのセキュリティグループを、Webレイヤーのセキュリティグループからのポート1433への着信トラフィックを許可するように設定する」も正しい選択肢です。 不正解:「Webレイヤーのセキュリティグループを、ポート443に対する0.0.0.0/0への発信トラフィックを許可するように設定する」は誤りです。これは方向が逆であり、またWebサーバーが全インターネット宛てにポート443で発信する必要はありません。 不正解:「データベースレイヤーのセキュリティグループを、Webレイヤーのセキュリティグループへのポート443および1433からの発信トラフィックを許可するように設定する」は誤りです。Microsoft SQL Serverのデータベースインスタンスは、これらのポートで発信トラフィックを送信する必要はありません。 不正解:「データベースレイヤーのセキュリティグループを、Webレイヤーのセキュリティグループからのポート443および1433への着信トラフィックを許可するように設定する」は誤りです。データベースレイヤーはポート443での着信を許可する必要はなく、必要なのはポート1433のみです。