Q8 — AWS SAA-C03 第2章
第 8/65 問 | ← 第2章
Q73. ある企業は、ソフトウェアエンジニアリング向けに使用されるAWSアカウントを保有しています。このAWSアカウントは、一対のAWS Direct Connect接続を介して企業のオンプレミスデータセンターにアクセス可能です。VPC外のトラフィックはすべて仮想プライベートゲートウェイ(virtual private gateway)へルーティングされます。開発チームが最近、AWS Management Consoleを通じてAWS Lambda関数を作成しました。この開発チームは、企業のデータセンター内のプライベートサブネットで実行されるデータベースにLambda関数からアクセスできるようにする必要があります。 これらの要件を満たす解決策はどれですか?
- A. Lambda関数を適切なセキュリティグループを設定したVPC内で実行するよう設定します。
- B. AWSからデータセンターへのVPN接続をセットアップし、Lambda関数からのトラフィックをそのVPN経由でルーティングします。
- C. VPC内のルートテーブルを更新して、Lambda関数がDirect Connectを介してオンプレミスデータセンターにアクセスできるようにします。 ✓
- D. Elastic IPアドレスを作成し、Lambda関数がElastic Network Interface(ENI)なしでそのElastic IPアドレスを経由してトラフィックを送信するよう設定します。
正解: C. VPC内のルートテーブルを更新して、Lambda関数がDirect Connectを介してオンプレミスデータセンターにアクセスできるようにします。
解説
Lambda関数がオンプレミスのプライベートサブネット上のデータベースにアクセスするには、Lambda関数自体がVPC内(特に、Direct Connect経由でオンプレミスと接続されたVPC)で実行される必要があります。これは、Lambda関数がVPC内にデプロイされると、その関数はVPC内のリソース(例:NAT Gateway、VPCエンドポイント、またはDirect Connect経由のオンプレミスネットワーク)と同様に、VPCのネットワークコンテキストで実行されるためです。ただし、Lambda関数がVPC内に配置される場合、関数はVPC内のサブネットからENI(Elastic Network Interface)を取得し、そのENIを介してVPC内およびVPC外(Direct ConnectやVPN経由)の通信を行います。オプションAは、この要件を正しく満たします。オプションBは、VPNはDirect Connectと重複する接続手段であり、既存のDirect Connect接続がある状況では不要かつ非効率です。オプションCは誤りで、Lambda関数自体がVPC外で実行されている限り、VPCのルートテーブルを変更してもLambda関数のトラフィックはVPC内を通過しないため、オンプレミスへのアクセスはできません。オプションDは技術的に不可能です。Lambda関数はElastic IPアドレスを直接使用できず、またENIなしでElastic IPを割り当てることもできません。