Q74 — AWS SAA-C03 第4章
第 74/105 問 | ← 第4章
Q269. ソリューションアーキテクトが、パブリックサブネットとデータベースサブネットからなる2層アーキテクチャを設計しています。パブリックサブネット内のWebサーバーは、ポート443でインターネットからのアクセスを許可する必要があります。一方、データベースサブネット内のAmazon RDS for MySQL DBインスタンスは、ポート3306でWebサーバーからのみアクセス可能である必要があります。これらの要件を満たすために、ソリューションアーキテクトが実施すべき手順の組み合わせはどれですか?(2つ選択)
- A. パブリックサブネット用のネットワークACLを作成し、0.0.0.0/0宛てのアウトバウンドトラフィックをポート3306で拒否するルールを追加する
- B. DBインスタンス用のセキュリティグループを作成し、パブリックサブネットのCIDRブロックからのポート3306へのトラフィックを許可するルールを追加する
- C. パブリックサブネット内のWebサーバー用のセキュリティグループを作成し、0.0.0.0/0からのポート443へのトラフィックを許可するルールを追加する ✓
- D. DBインスタンス用のセキュリティグループを作成し、Webサーバーのセキュリティグループからのポート3306へのトラフィックを許可するルールを追加する ✓
- E. DBインスタンス用のセキュリティグループを作成し、Webサーバーのセキュリティグループからのトラフィックを除き、すべてのトラフィックをポート3306で拒否するルールを追加する
正解: C. パブリックサブネット内のWebサーバー用のセキュリティグループを作成し、0.0.0.0/0からのポート443へのトラフィックを許可するルールを追加する, D. DBインスタンス用のセキュリティグループを作成し、Webサーバーのセキュリティグループからのポート3306へのトラフィックを許可するルールを追加する
解説
Webサーバー用のセキュリティグループを作成し、0.0.0.0/0からのポート443へのトラフィックを許可するルールを追加します。また、DBインスタンス用のセキュリティグループを作成し、Webサーバーのセキュリティグループからのポート3306へのトラフィックを許可するルールを追加します。セキュリティグループはステートフルであり、特定のソース(他のセキュリティグループ)を参照して許可ルールを設定することで、最小権限の原則に従った安全な構成が実現できます。ネットワークACL(オプションA)はサブネット単位のステートレスな制御であり、この要件には不適切です。また、CIDRブロックによる許可(オプションB)は、サブネット内に他の不要なインスタンスが存在する場合に過剰なアクセスを許容してしまう可能性があるため、推奨されません。オプションEは文法的に誤り(「deny all except」はセキュリティグループではサポートされておらず、明示的な拒否ルールは設定できません)かつ冗長です。