Q63 — AWS SAA-C03 第1章
第 63/65 問 | ← 第1章
Q63. ある企業は、最近、Amazon EC2上でLinuxベースのアプリケーションインスタンスをVPC内のプライベートサブネットに起動し、またLinuxベースのバストンホストを同一VPC内のパブリックサブネット上のAmazon EC2インスタンスとして起動しました。ソリューションアーキテクトは、オンプレミスネットワークから企業のインターネット接続を経由して、まずバストンホストへ、その後アプリケーションサーバーへと接続する必要があります。また、ソリューションアーキテクトは、すべてのEC2インスタンスのセキュリティグループがこのアクセスを許可するよう設定することを保証しなければなりません。これらの要件を満たすために、ソリューションアーキテクトが実施すべき手順の組み合わせはどれですか?(2つ選択)
- A. バストンホストの現在のセキュリティグループを、アプリケーションインスタンスからの着信アクセスのみを許可するセキュリティグループに置き換えます。
- B. バストンホストの現在のセキュリティグループを、企業の内部IP範囲からの着信アクセスのみを許可するセキュリティグループに置き換えます。
- C. バストンホストの現在のセキュリティグループを、企業の外部IP範囲からの着信アクセスのみを許可するセキュリティグループに置き換えます。 ✓
- D. アプリケーションインスタンスの現在のセキュリティグループを、バストンホストのプライベートIPアドレスからのみSSH着信アクセスを許可するセキュリティグループに置き換えます。 ✓
正解: C. バストンホストの現在のセキュリティグループを、企業の外部IP範囲からの着信アクセスのみを許可するセキュリティグループに置き換えます。, D. アプリケーションインスタンスの現在のセキュリティグループを、バストンホストのプライベートIPアドレスからのみSSH着信アクセスを許可するセキュリティグループに置き換えます。
解説
選択肢Dによると、企業のオンプレミスネットワークからアプリケーションサーバーへの接続は直接行えません。まずバストンホストに接続し、その後アプリケーションサーバーに接続する必要があります。バストンホストは同一VPC内にあり、VPC内でのルーティングが既に確立されているため、ローカルVPC内にいる状態で外部IPを経由して接続するという論理的な根拠はありません。