Q38 — AWS SAA-C03 第4章

第 38/105 問 | ← 第4章

Q233. アプリケーションが VPC 内の Amazon EC2 インスタンスで実行されています。このアプリケーションは、Amazon S3 バケットに保存されたログを処理します。EC2 インスタンスは、インターネットへの接続を経由せずに S3 バケットにアクセスする必要があります。Amazon S3 へのプライベートネットワーク接続を提供する解決策はどれですか?

正解: A. S3 バケットへのゲートウェイタイプの VPC エンドポイントを作成する

解説

S3 へのプライベートなネットワーク接続を実現するには、VPC エンドポイント(特にゲートウェイタイプ)が最適です。ゲートウェイ VPC エンドポイントは、VPC 内のトラフィックをインターネットを経由せず、AWS ネットワーク上で直接 S3 にルーティングします。これは、ルートテーブルに静的ルートを追加するだけで設定可能であり、セキュリティとパフォーマンスの両面で優れています。オプション B はインターネット経由でないとは限らず、またログ転送のアーキテクチャを変更する不必要な複雑化を招きます。オプション C のインスタンスプロファイルは IAM 権限を付与するものであり、ネットワーク接続そのものを提供しません。オプション D は、API Gateway と PrivateLink を用いたインターフェイス VPC エンドポイントの誤った適用であり、S3 は PrivateLink(インターフェイスエンドポイント)に対応しておらず、S3 への接続にはゲートウェイ VPC エンドポイントのみがサポートされています。