Q90 — AWS SAA-C03 第4章
第 90/105 問 | ← 第4章
Q285. ソリューションアーキテクトが新しいVPC設計を作成しています。ロードバランサ用に2つのパブリックサブネット、Webサーバー用に2つのプライベートサブネット、MySQL用に2つのプライベートサブネットが存在します。WebサーバーはHTTPSのみを使用します。ソリューションアーキテクトはすでに、ロードバランサのセキュリティグループを作成し、0.0.0.0/0からのポート443のアクセスを許可しています。会社の方針では、各リソースに対して、そのタスクを実行するために必要な最小限のアクセス権限のみを付与する必要があります。これらの要件を満たすために、ソリューションアーキテクトが採用すべき追加の設定戦略はどれですか?
- A. Webサーバー用のセキュリティグループを作成し、0.0.0.0/0からのポート443を許可します。MySQLサーバー用のセキュリティグループを作成し、Webサーバーのセキュリティグループからのポート3306を許可します。
- B. Webサーバー用のネットワークACLを作成し、0.0.0.0/0からのポート443を許可します。MySQLサーバー用のネットワークACLを作成し、Webサーバーのセキュリティグループからのポート3306を許可します。
- C. Webサーバー用のセキュリティグループを作成し、ロードバランサからのポート443を許可します。MySQLサーバー用のセキュリティグループを作成し、Webサーバーのセキュリティグループからのポート3306を許可します。 ✓
- D. Webサーバー用のネットワークACLを作成し、ロードバランサからのポート443を許可します。MySQLサーバー用のネットワークACLを作成し、Webサーバーのセキュリティグループからのポート3306を許可します。
正解: C. Webサーバー用のセキュリティグループを作成し、ロードバランサからのポート443を許可します。MySQLサーバー用のセキュリティグループを作成し、Webサーバーのセキュリティグループからのポート3306を許可します。
解説
セキュリティグループはステートフルです。つまり、着信ルールに適用された変更は、自動的に応答の発信ルールにも適用されます(例:着信ポート80を許可した場合、発信ポート80も自動的に許可されます)。一方、ネットワークACLはステートレスです。つまり、着信ルールに適用された変更は、発信ルールには自動的に適用されません(例:着信ポート80を許可した場合、発信トラフィックに対しても明示的にルールを設定する必要があります)。