Q101 — AWS SAA-C03 第4章
第 101/105 問 | ← 第4章
Q296. ある企業が、AWS上に新しいパブリックWebアプリケーションを展開しようとしています。このアプリケーションには、Amazon EC2インスタンスを使用するWebサーバー層と、Amazon RDS for MySQL DBインスタンスを使用するデータベース層が含まれます。アプリケーションはセキュアでなければならず、IPアドレスが動的に変化するグローバルな顧客からもアクセス可能である必要があります。ソリューションアーキテクトは、これらの要件を満たすためにセキュリティグループをどのように設定すべきでしょうか?
- A. Webサーバーのセキュリティグループを、ポート443に対する0.0.0.0/0からの着信トラフィックを許可するように設定します。DBインスタンスのセキュリティグループを、Webサーバーのセキュリティグループからのポート3306に対する着信トラフィックを許可するように設定します。 ✓
- B. Webサーバーのセキュリティグループを、顧客のIPアドレスからのポート443に対する着信トラフィックを許可するように設定します。DBインスタンスのセキュリティグループを、Webサーバーのセキュリティグループからのポート3306に対する着信トラフィックを許可するように設定します。
- C. Webサーバーのセキュリティグループを、顧客のIPアドレスからのポート443に対する着信トラフィックを許可するように設定します。DBインスタンスのセキュリティグループを、顧客のIPアドレスからのポート3306に対する着信トラフィックを許可するように設定します。
- D. Webサーバーのセキュリティグループを、ポート443に対する00.0.0/0からの着信トラフィックを許可するように設定します。DBインスタンスのセキュリティグループを、ポート3306に対する0.0.0.0/0からの着信トラフィックを許可するように設定します。
正解: A. Webサーバーのセキュリティグループを、ポート443に対する0.0.0.0/0からの着信トラフィックを許可するように設定します。DBインスタンスのセキュリティグループを、Webサーバーのセキュリティグループからのポート3306に対する着信トラフィックを許可するように設定します。
解説
Webアプリケーションはパブリック(インターネット公開)であり、グローバルな顧客が動的IPでアクセスするため、WebサーバーへのHTTPS(ポート443)アクセスは0.0.0.0/0(すべてのIPv4アドレス)から許可する必要があります。一方、RDSデータベースはインターネットから直接アクセスされるべきではなく、アプリケーション層(Webサーバー)からのみアクセスされるべきです。そのため、DBのセキュリティグループでは、Webサーバーのセキュリティグループをソースとして指定し、ポート3306の着信を許可するのがベストプラクティスです。選択肢Aがこの要件を正しく満たしています。選択肢BおよびCは、顧客のIPアドレスを事前に特定できない(動的IPのため)ため不適切です。選択肢Dは、RDSをインターネット全体に公開してしまうため、重大なセキュリティリスクがあります。また、選択肢Dの「00.0.0/0」は無効なCIDR表記(正しくは「0.0.0.0/0」)であり、技術的にも誤りです。