Q12 — AWS SAA-C03 第1章
第 12/65 問 | ← 第1章
Q12. アプリケーションがプライベートサブネット内の Amazon EC2 インスタンスで実行されています。このアプリケーションは、Amazon DynamoDB テーブルにアクセスする必要があります。トラフィックが AWS ネットワークの外に出ることなく、かつ最も安全な方法でテーブルにアクセスするには、どの方法が最適ですか?
- A. DynamoDB 用の VPC エンドポイントを使用する。 ✓
- B. パブリックサブネット内に NAT ゲートウェイを配置する。
- C. プライベートサブネット内に NAT インスタンスを配置する。
- D. VPC にアタッチされたインターネットゲートウェイを使用する。
正解: A. DynamoDB 用の VPC エンドポイントを使用する。
解説
キーワード:プライベートサブネット + アプリケーションが DynamoDB にアクセスする必要がある。 条件:トラフィックが AWS ネットワークの外に出ないこと。 DynamoDB へのアクセスには、VPC エンドポイント(特に Gateway タイプの VPC エンドポイント)がサポートされています。 選択肢 A:正解です。VPC エンドポイント(Gateway エンドポイント)を利用することで、EC2 インスタンスから DynamoDB への通信がすべて AWS の内部ネットワーク上(グローバル AWS バックボーン)で完結し、インターネットやパブリックネットワークを経由しないため、セキュリティとパフォーマンスの両面で最適です。 選択肢 B:不適切です。NAT ゲートウェイは、プライベートサブネットからのインターネットへのアウトバウンド通信を可能にしますが、DynamoDB へのアクセスにはインターネット経由(つまり AWS 外部ネットワーク)が必要となり、条件「トラフィックが AWS ネットワークの外に出ない」を満たしません。 選択肢 C:不適切です。NAT インスタンスも同様にインターネット経由の通信を前提としており、セキュリティ・管理面でも推奨されず、条件を満たしません。 選択肢 D:不適切です。インターネットゲートウェイは、VPC 内のリソースがインターネットと双方向通信できるようにするものであり、DynamoDB へのアクセスには不要かつ非効率・非安全です。 補足:DynamoDB では Gateway タイプの VPC エンドポイントのみがサポートされており、Interface エンドポイント(PrivateLink)は対応していません。したがって、本問における「VPC エンドポイント」とは、明示的に Gateway エンドポイントを指します。