Q43 — AWS SAA-C03 第1章

第 43/65 問 | ← 第1章

Q43. ソリューションアーキテクトが、複数のサブネットから構成されるVPCアーキテクチャを設計しています。このソリューションは、2つのAvailability Zoneにまたがる6つのサブネットで構成され、それぞれパブリックサブネット、プライベートサブネット、データベース専用サブネットとして定義されます。データベースへのアクセスは、プライベートサブネット内でのみ実行されるAmazon EC2インスタンスのみに許可する必要があります。これらの要件を満たすソリューションはどれですか?

正解: C. プライベートサブネット内のインスタンスで使用されるセキュリティグループからのイングレスを許可するセキュリティグループを作成し、それをAmazon RDS DBインスタンスにアタッチします。

解説

データベースへのアクセス制御は、ネットワーク層(ルーティング)ではなく、主にセキュリティグループによるイングレス制御で実現すべきです。Amazon RDSなどのマネージドデータベースサービスでは、セキュリティグループをDBインスタンスに直接アタッチして、許可されるトラフィックの送信元を厳密に制御できます。選択肢Cは、プライベートサブネット内のEC2インスタンスが使用するセキュリティグループを送信元として許可するため、要件「プライベートサブネット内のEC2インスタンスのみがデータベースにアクセス可能」を正確に満たします。選択肢Aはルートテーブルでパブリックサブネットへのルートを除外しても、同一VPC内ではデフォルトルート(local route)によりサブネット間通信が可能であり、データベースへのアクセス制限にはなりません。選択肢Bは「パブリックサブネットのセキュリティグループからのアクセスを拒否」するだけでは、他の不要なサブネット(例:別のプライベートサブネットや管理用サブネットなど)からのアクセスを防げず、最小権限原則に反します。選択肢DのVPCピアリングは、同一VPC内のサブネット間通信には不要であり、かつピアリングはVPC間で使用するものであり、サブネット間には適用できません。