Q28 — AWS SAA-C03 第5章
第 28/65 問 | ← 第5章
Q328. ある企業がAmazon EC2インスタンス上にホストしているアプリケーションからAmazon S3バケットへアクセスする必要があります。データの機密性を考慮し、トラフィックはインターネットを経由してはなりません。ソリューションアーキテクトは、このアクセスをどのように設定すべきでしょうか?
- A. Amazon Route 53を使用してプライベートホステッドゾーンを作成する。
- B. VPC内にAmazon S3用のVPCゲートウェイエンドポイントを設定する。 ✓
- C. EC2インスタンスとS3バケットの間にAWS PrivateLinkを設定する。
- D. VPCとS3バケットの間でサイト間VPN接続を設定する。
正解: B. VPC内にAmazon S3用のVPCゲートウェイエンドポイントを設定する。
解説
インターネットを経由せずにAmazon EC2インスタンスからAmazon S3バケットへ安全にアクセスするには、VPCゲートウェイエンドポイントの利用が推奨されます。Amazon S3用のVPCエンドポイントを設定することで、VPC内のAmazon EC2インスタンスがプライベート接続を介してS3バケットにアクセスできるようになります。この方法では、データはAWSネットワーク内に留まり、インターネットを通過しません。選択肢A(Route 53によるプライベートホステッドゾーンの作成)は、S3バケットへの直接アクセスを可能にするものではなく、VPC内のリソース向けのカスタムDNS名解決を提供するものであり、S3バケットへのアクセスとは無関係です。選択肢C(EC2インスタンスとS3バケット間のPrivateLinkの設定)も、インターネットを経由せずにVPCからS3オブジェクトへ安全にアクセスする手段として利用可能ですが、VPCゲートウェイエンドポイントに比べて設定手順が複雑になります。選択肢D(VPCとS3バケット間のサイト間VPN接続の設定)は、Amazon S3がVPN接続をサポートしていないため、実現不可能です。したがって、選択肢Bが最も適切な解決策であり、データがAWSネットワーク内に留まり、インターネットを経由しないことを保証します。