Q11 — AWS SAA-C03 第2章
第 11/65 問 | ← 第2章
Q76. 医療記録を扱う企業が、Amazon EC2インスタンス上でアプリケーションをホストしています。このアプリケーションは、Amazon S3に保存された顧客データファイルを処理します。EC2インスタンスはパブリックサブネット内に配置されており、インターネット経由でAmazon S3にアクセスしていますが、それ以外のネットワークアクセスは必要としていません。新たに、ファイル転送時のネットワークトラフィックをインターネットを経由せず、プライベートな経路で送信するよう要求されました。この要件を満たすために、ソリューションズアーキテクトが推奨すべきネットワークアーキテクチャの変更はどれですか?
- A. NATゲートウェイを作成し、パブリックサブネットのルートテーブルを設定して、Amazon S3へのトラフィックをNATゲートウェイ経由で送信するようにします。
- B. EC2インスタンスのセキュリティグループを設定し、アウトバウンドトラフィックをS3のプレフィックスリスト(Prefix List)宛てのみ許可するように制限します。
- C. EC2インスタンスをプライベートサブネットに移動し、Amazon S3用のVPCエンドポイントを作成して、そのエンドポイントをプライベートサブネットのルートテーブルに関連付けます。 ✓
- D. VPCからインターネットゲートウェイを削除し、AWS Direct Connect接続を設定して、Direct Connect経由でAmazon S3へトラフィックをルーティングします。
正解: C. EC2インスタンスをプライベートサブネットに移動し、Amazon S3用のVPCエンドポイントを作成して、そのエンドポイントをプライベートサブネットのルートテーブルに関連付けます。
解説
要件は「S3へのトラフィックをインターネット経由ではなくプライベート経路で送信すること」です。これは、VPCエンドポイント(Gateway型)を活用することで実現できます。Gateway型VPCエンドポイントは、S3やDynamoDBなど特定のAWSサービスとの通信をVPC内部で完結させ、インターネットやNATデバイスを介さずに安全かつ低遅延で行えます。また、EC2インスタンスがパブリックサブネットにある場合、インターネットゲートウェイ経由でS3にアクセスするため、これを回避するには、EC2をプライベートサブネットに移動し、VPCエンドポイントを導入することが最も適切な設計です。選択肢AはNATゲートウェイ経由でS3にアクセスする方法ですが、これは依然としてインターネット経由(ただしNAT経由)であり、要件を満たしません。選択肢Bはセキュリティグループによるアクセス制御であり、トラフィックの経路(インターネットか否か)を変更するものではありません。選択肢Dは過剰な設計で、コスト・複雑性が高く、かつDirect ConnectはS3への直接接続をサポートしておらず、通常はS3はVPCエンドポイントまたはインターネット経由でアクセスします。したがって、正解はCです。