Q43 — AWS SAA-C03 第1章
第 43/65 問 | ← 第1章
Q43. ソリューションアーキテクトが、複数のサブネットから構成されるVPCアーキテクチャを設計しています。このソリューションは、2つのAvailability Zoneにまたがる6つのサブネットで構成され、それぞれパブリックサブネット、プライベートサブネット、データベース専用サブネットとして定義されます。データベースへのアクセスは、プライベートサブネット内でのみ実行されるAmazon EC2インスタンスのみに許可する必要があります。これらの要件を満たすソリューションはどれですか?
- A. パブリックサブネットのCIDRブロックへのルートを除外した新しいルートテーブルを作成し、そのルートテーブルをデータベースサブネットに関連付けます。
- B. パブリックサブネット内のインスタンスで使用されるセキュリティグループからのイングレスを拒否するセキュリティグループを作成し、それをAmazon RDS DBインスタンスにアタッチします。
- C. プライベートサブネット内のインスタンスで使用されるセキュリティグループからのイングレスを許可するセキュリティグループを作成し、それをAmazon RDS DBインスタンスにアタッチします。 ✓
- D. パブリックサブネットとプライベートサブネットの間に新しいVPCピアリング接続を作成し、さらにプライベートサブネットとデータベースサブネットの間にも別のVPCピアリング接続を作成します。
正解: C. プライベートサブネット内のインスタンスで使用されるセキュリティグループからのイングレスを許可するセキュリティグループを作成し、それをAmazon RDS DBインスタンスにアタッチします。
解説
データベースへのアクセス制御は、ネットワーク層(ルーティング)ではなく、主にセキュリティグループによるイングレス制御で実現すべきです。Amazon RDSなどのマネージドデータベースサービスでは、セキュリティグループをDBインスタンスに直接アタッチして、許可されるトラフィックの送信元を厳密に制御できます。選択肢Cは、プライベートサブネット内のEC2インスタンスが使用するセキュリティグループを送信元として許可するため、要件「プライベートサブネット内のEC2インスタンスのみがデータベースにアクセス可能」を正確に満たします。選択肢Aはルートテーブルでパブリックサブネットへのルートを除外しても、同一VPC内ではデフォルトルート(local route)によりサブネット間通信が可能であり、データベースへのアクセス制限にはなりません。選択肢Bは「パブリックサブネットのセキュリティグループからのアクセスを拒否」するだけでは、他の不要なサブネット(例:別のプライベートサブネットや管理用サブネットなど)からのアクセスを防げず、最小権限原則に反します。選択肢DのVPCピアリングは、同一VPC内のサブネット間通信には不要であり、かつピアリングはVPC間で使用するものであり、サブネット間には適用できません。