Q12 — AWS SAA-C03 第1章

第 12/65 問 | ← 第1章

Q12. アプリケーションがプライベートサブネット内の Amazon EC2 インスタンスで実行されています。このアプリケーションは、Amazon DynamoDB テーブルにアクセスする必要があります。トラフィックが AWS ネットワークの外に出ることなく、かつ最も安全な方法でテーブルにアクセスするには、どの方法が最適ですか?

正解: A. DynamoDB 用の VPC エンドポイントを使用する。

解説

キーワード:プライベートサブネット + アプリケーションが DynamoDB にアクセスする必要がある。 条件:トラフィックが AWS ネットワークの外に出ないこと。 DynamoDB へのアクセスには、VPC エンドポイント(特に Gateway タイプの VPC エンドポイント)がサポートされています。 選択肢 A:正解です。VPC エンドポイント(Gateway エンドポイント)を利用することで、EC2 インスタンスから DynamoDB への通信がすべて AWS の内部ネットワーク上(グローバル AWS バックボーン)で完結し、インターネットやパブリックネットワークを経由しないため、セキュリティとパフォーマンスの両面で最適です。 選択肢 B:不適切です。NAT ゲートウェイは、プライベートサブネットからのインターネットへのアウトバウンド通信を可能にしますが、DynamoDB へのアクセスにはインターネット経由(つまり AWS 外部ネットワーク)が必要となり、条件「トラフィックが AWS ネットワークの外に出ない」を満たしません。 選択肢 C:不適切です。NAT インスタンスも同様にインターネット経由の通信を前提としており、セキュリティ・管理面でも推奨されず、条件を満たしません。 選択肢 D:不適切です。インターネットゲートウェイは、VPC 内のリソースがインターネットと双方向通信できるようにするものであり、DynamoDB へのアクセスには不要かつ非効率・非安全です。 補足:DynamoDB では Gateway タイプの VPC エンドポイントのみがサポートされており、Interface エンドポイント(PrivateLink)は対応していません。したがって、本問における「VPC エンドポイント」とは、明示的に Gateway エンドポイントを指します。