Q41 — AWS SAA-C03 第2章

第 41/65 問 | ← 第2章

Q106. グローバルなユーザー基盤を持つ企業が、新しいサービスをリリースしようとしています。このサービスは大規模なマーケティングキャンペーンにより、非常に注目されています。企業は、Application Load Balancer(ALB)の後ろで実行されるAmazon EC2インスタンス上にこのサービスを構築しています。また、データストレージにはAmazon RDS for MySQL DBインスタンスとAmazon S3を使用しています。過去に、同社は自社のユーザー基盤を持たない特定の国から発生した大規模なサイバー攻撃を受けたことがあります。サービスのリリース前に、その特定の国から発信されるすべてのトラフィックをブロックしたいと考えています。この要件を満たすソリューションはどれですか?

正解: D. 地理的位置に基づくマッチ条件でトラフィックをブロックするルールを含むAWS WAFのWeb ACLを作成し、そのWeb ACLをALBに関連付けます。

解説

ALBの前段で、地理的地域(Geo Match)に基づくトラフィック制御を行うには、AWS WAFが最適な選択です。AWS WAFは、ALBやCloudFrontなどと統合可能で、国コード(Country Code)を条件としてリクエストをブロック・許可できます。一方、EC2やRDSのセキュリティグループはIPアドレス範囲(CIDR)のみを基準にフィルタリングでき、国単位の正確な制御は困難です(CIDRは国と1対1に対応しておらず、更新も頻繁です)。また、S3バケットポリシーには地理的条件(geoip)を指定する機能はなく、国コードによるアクセス制御はサポートされていません。したがって、正解はオプションDです。