Q26 — AWS SAA-C03 第4章
第 26/105 問 | ← 第4章
Q221. ある企業は、ドメイン名を Amazon Route 53 で登録しています。同社は、ca-central-1 リージョンで Amazon API Gateway をバックエンドのマイクロサービス API に対するパブリックインターフェイスとして使用しており、サードパーティのサービスがこれらの API を安全に利用しています。同社は、API Gateway の URL を自社のドメイン名および対応する証明書で構成し、サードパーティのサービスが HTTPS を使用できるようにしたいと考えています。 これらの要件を満たす解決策はどれですか?
- A. API Gateway でステージ変数を作成し、Name="Endpoint-URL"、Value="会社のドメイン名" と設定してデフォルトの URL を上書きします。また、会社のドメイン名に関連付けられたパブリック証明書を AWS Certificate Manager (ACM) にインポートします。
- B. 会社のドメイン名で Route 53 の DNS レコードを作成し、エイリアスレコードを Regional API Gateway ステージエンドポイントに向けるように設定します。さらに、会社のドメイン名に関連付けられたパブリック証明書を us-east-1 リージョンの AWS Certificate Manager (ACM) にインポートします。
- C. Regional API Gateway エンドポイントを作成し、そのエンドポイントを会社のドメイン名に関連付けます。会社のドメイン名に関連付けられたパブリック証明書を、同じリージョン(ca-central-1)の AWS Certificate Manager (ACM) にインポートします。その後、この証明書を API Gateway エンドポイントにアタッチします。さらに、Route 53 を設定してトラフィックを API Gateway エンドポイントへルーティングします。 ✓
- D. Regional API Gateway エンドポイントを作成し、そのエンドポイントを会社のドメイン名に関連付けます。会社のドメイン名に関連付けられたパブリック証明書を us-east-1 リージョンの AWS Certificate Manager (ACM) にインポートし、API Gateway の各 API にこの証明書をアタッチします。さらに、会社のドメイン名で Route 53 の DNS レコードを作成し、A レコードを会社のドメイン名に向けるように設定します。
正解: C. Regional API Gateway エンドポイントを作成し、そのエンドポイントを会社のドメイン名に関連付けます。会社のドメイン名に関連付けられたパブリック証明書を、同じリージョン(ca-central-1)の AWS Certificate Manager (ACM) にインポートします。その後、この証明書を API Gateway エンドポイントにアタッチします。さらに、Route 53 を設定してトラフィックを API Gateway エンドポイントへルーティングします。
解説
サードパーティのサービスが HTTPS を使用して安全にアクセスできるよう、API Gateway の URL を自社ドメイン名および対応する証明書で構成するには、Regional API Gateway エンドポイントを作成し、それを自社ドメイン名と関連付ける必要があります。また、該当ドメイン名に対応するパブリック証明書を、API Gateway と同じリージョン(この場合は ca-central-1)の AWS Certificate Manager (ACM) にインポートし、その証明書を API Gateway エンドポイントにアタッチします。さらに、Route 53 を設定してトラフィックをその API Gateway エンドポイントへルーティングする必要があります。したがって、正解は選択肢 C です。 選択肢 A では、ステージ変数を使ってデフォルト URL を上書きし、ACM に証明書をインポートする方法が提案されています。これは特定のステージにおける URL 表示を変更するには有効ですが、API Gateway エンドポイントとドメイン名を包括的に関連付ける完全なソリューションにはなりません。 選択肢 B では、Route 53 のエイリアスレコードを Regional API Gateway ステージエンドポイントへ向けるとともに、証明書を us-east-1 の ACM にインポートする方法が提案されています。しかし、API Gateway が ca-central-1 にある場合、us-east-1 の ACM 証明書は Regional エンドポイントでは使用できません(Regional エンドポイントは同一リージョンの ACM 証明書のみサポートします)。したがって、この構成は機能しません。 選択肢 D では、証明書を us-east-1 の ACM にインポートし、API Gateway の「API」(正確にはエンドポイント)にアタッチすると記述されていますが、Regional エンドポイントでは同一リージョンの ACM 証明書しか使用できないため、この構成は無効です。また、「A レコードを会社のドメイン名に向ける」という記述は技術的に不正確であり、API Gateway のエンドポイントにはエイリアスレコード(Alias record)または CNAME を使用する必要があります。 Regional API Gateway エンドポイントを用い、同一リージョンの ACM 証明書を関連付けて Route 53 で適切にルーティングすることで、HTTPS を通じたエンドツーエンドの暗号化を実現し、スケーラブルかつ安全な API 公開が可能になります。このソリューションは、設問のすべての要件を満たします。