Q59 — AWS SAA-C03 第3章
第 59/65 問 | ← 第3章
Q189. ある企業がAWS上でワークロードを実行しています。この企業は、外部プロバイダーが提供するサービスに接続する必要があります。当該サービスは、プロバイダーのVPC内にホストされています。企業のセキュリティチームによると、接続はプライベートである必要があり、対象サービスへのアクセスのみに制限されなければなりません。また、接続は企業のVPCからのみ開始される必要があります。これらの要件を満たすソリューションはどれですか?
- A. 企業のVPCとプロバイダーのVPCの間にVPCピアリング接続を作成し、ルートテーブルを更新して対象サービスへ接続します。
- B. プロバイダーに対し、自社VPC内に仮想プライベートゲートウェイを作成するよう依頼し、AWS PrivateLinkを用いて対象サービスに接続します。
- C. 企業のVPC内のパブリックサブネットにNATゲートウェイを作成し、ルートテーブルを更新して対象サービスへ接続します。
- D. プロバイダーに対し、対象サービス向けにVPCエンドポイントを作成するよう依頼し、AWS PrivateLinkを用いて対象サービスに接続します。 ✓
正解: D. プロバイダーに対し、対象サービス向けにVPCエンドポイントを作成するよう依頼し、AWS PrivateLinkを用いて対象サービスに接続します。
解説
正解はDです。AWS PrivateLinkは、VPC間でプライベートかつ安全な接続を確立するためのサービスであり、インターネットやパブリックIPを経由せず、AWSのバックボーンネットワーク上でのみトラフィックを送信します。プロバイダーが自身のVPC内で対象サービス向けにVPCエンドポイント(Interface型)を作成し、それをサービスとして公開(Service Endpoint)することで、企業側はそのサービスにPrivateLink経由で接続できます。この構成では、接続は企業のVPCからのみ開始可能であり、通信は完全にプライベートで、特定のサービスに限定されます。一方、AのVPCピアリングは双方向のトラフィックを許容し、セキュリティグループやネットワークACLによる細かい制御が必要ですが、接続の発信元制限(「企業のVPCからのみ開始」)やサービス単位の制限には直接対応しません。Bは誤りで、仮想プライベートゲートウェイはAWS Site-to-Site VPNやAWS Direct Connectで使用されるものであり、PrivateLinkとは無関係です。CのNATゲートウェイはインターネットへのアウトバウンド接続に使用され、外部プロバイダーのVPC内サービスへプライベートに接続することはできません。