Q70 — AWS SAA-C03 第4章
第 70/105 問 | ← 第4章
Q265. ある企業がAWS上で自己管理型のDNSサービスを実装しています。このソリューションは以下の構成で構成されています:— 異なるAWSリージョンに配置されたAmazon EC2インスタンス、— AWS Global Acceleratorの標準アキュレーター(Standard Accelerator)のエンドポイント。この企業は、このソリューションをDDoS攻撃から保護したいと考えています。この要件を満たすために、ソリューションズアーキテクトは何を行うべきでしょうか?
- A. AWS Shield Advancedにサブスクライブし、アキュレーターを保護対象リソースとして追加する ✓
- B. AWS Shield Advancedにサブスクライブし、EC2インスタンスを保護対象リソースとして追加する
- C. レートベースルールを含むAWS WAF Web ACLを作成し、そのWeb ACLをアキュレーターに関連付ける
- D. レートベースルールを含むAWS WAF Web ACLを作成し、そのWeb ACLをEC2インスタンスに関連付ける
正解: A. AWS Shield Advancedにサブスクライブし、アキュレーターを保護対象リソースとして追加する
解説
AWS Global Acceleratorは、グローバルなトラフィックを最適なエンドポイントにルーティングするサービスであり、DDoS攻撃に対する組み込みの保護機能を提供します。AWS Shield Advancedは、Global Acceleratorのアキュレーター(Standard Accelerator)を保護対象リソースとして直接サポートしており、これによりレイヤー3およびレイヤー4のDDoS攻撃に対する高度な自動緩和が可能になります。一方、AWS WAFは主にHTTP/HTTPS(レイヤー7)トラフィック向けであり、DNSトラフィック(UDP/TCPポート53)やGlobal Acceleratorの背後にある非HTTPエンドポイントには適用できません。また、EC2インスタンス単体をShield Advancedで保護しても、Global Acceleratorによる分散・緩和の恩恵を受けられず、最適な防御アプローチではありません。したがって、正解はAです。