Q18 — AWS SAA-C03 第1章
第 18/65 問 | ← 第1章
Q18. ある会社が、パブリックなウェブサイトからパッチやアップデートをダウンロードする必要がある、プライベートサブネット上で実行されている Amazon EC2 インスタンスを保有しています。この会社は、外部のウェブサイトがその EC2 インスタンスの IP アドレスを認識したり、EC2 インスタンスに対して接続を開始したりすることを望んでいません。ソリューションアーキテクトは、この要件をどのように実現できますか?
- A. プライベートサブネットとパブリックサイトが配置されているネットワークの間で、サイト間 VPN 接続を作成する
- B. パブリックサブネット内に NAT ゲートウェイを作成し、プライベートサブネットからのアウトバウンドトラフィックをその NAT ゲートウェイ経由でルーティングする ✓
- C. EC2 インスタンスが配置されているプライベートサブネット向けにネットワーク ACL を作成し、パブリックウェブサイトの IP アドレス範囲からのアクセスのみを許可する
- D. パブリックウェブサイトの IP アドレス範囲からの接続のみを許可するセキュリティグループを作成し、そのセキュリティグループを EC2 インスタンスにアタッチする
正解: B. パブリックサブネット内に NAT ゲートウェイを作成し、プライベートサブネットからのアウトバウンドトラフィックをその NAT ゲートウェイ経由でルーティングする
解説
NAT ゲートウェイを使用すると、プライベートサブネット内のインスタンスがインターネットやその他の AWS サービスに接続できるようになりますが、インターネット側からそのインスタンスへの接続を開始することはできません。NAT ゲートウェイはプロキシサーバーのような役割を果たし、プライベートサブネット内の EC2 インスタンスをインターネットに接続します。