Q101 — AWS SAA-C03 第4章

第 101/105 問 | ← 第4章

Q296. ある企業が、AWS上に新しいパブリックWebアプリケーションを展開しようとしています。このアプリケーションには、Amazon EC2インスタンスを使用するWebサーバー層と、Amazon RDS for MySQL DBインスタンスを使用するデータベース層が含まれます。アプリケーションはセキュアでなければならず、IPアドレスが動的に変化するグローバルな顧客からもアクセス可能である必要があります。ソリューションアーキテクトは、これらの要件を満たすためにセキュリティグループをどのように設定すべきでしょうか?

正解: A. Webサーバーのセキュリティグループを、ポート443に対する0.0.0.0/0からの着信トラフィックを許可するように設定します。DBインスタンスのセキュリティグループを、Webサーバーのセキュリティグループからのポート3306に対する着信トラフィックを許可するように設定します。

解説

Webアプリケーションはパブリック(インターネット公開)であり、グローバルな顧客が動的IPでアクセスするため、WebサーバーへのHTTPS(ポート443)アクセスは0.0.0.0/0(すべてのIPv4アドレス)から許可する必要があります。一方、RDSデータベースはインターネットから直接アクセスされるべきではなく、アプリケーション層(Webサーバー)からのみアクセスされるべきです。そのため、DBのセキュリティグループでは、Webサーバーのセキュリティグループをソースとして指定し、ポート3306の着信を許可するのがベストプラクティスです。選択肢Aがこの要件を正しく満たしています。選択肢BおよびCは、顧客のIPアドレスを事前に特定できない(動的IPのため)ため不適切です。選択肢Dは、RDSをインターネット全体に公開してしまうため、重大なセキュリティリスクがあります。また、選択肢Dの「00.0.0/0」は無効なCIDR表記(正しくは「0.0.0.0/0」)であり、技術的にも誤りです。