Q28 — AWS SAA-C03 第5章

第 28/65 問 | ← 第5章

Q328. ある企業がAmazon EC2インスタンス上にホストしているアプリケーションからAmazon S3バケットへアクセスする必要があります。データの機密性を考慮し、トラフィックはインターネットを経由してはなりません。ソリューションアーキテクトは、このアクセスをどのように設定すべきでしょうか?

正解: B. VPC内にAmazon S3用のVPCゲートウェイエンドポイントを設定する。

解説

インターネットを経由せずにAmazon EC2インスタンスからAmazon S3バケットへ安全にアクセスするには、VPCゲートウェイエンドポイントの利用が推奨されます。Amazon S3用のVPCエンドポイントを設定することで、VPC内のAmazon EC2インスタンスがプライベート接続を介してS3バケットにアクセスできるようになります。この方法では、データはAWSネットワーク内に留まり、インターネットを通過しません。選択肢A(Route 53によるプライベートホステッドゾーンの作成)は、S3バケットへの直接アクセスを可能にするものではなく、VPC内のリソース向けのカスタムDNS名解決を提供するものであり、S3バケットへのアクセスとは無関係です。選択肢C(EC2インスタンスとS3バケット間のPrivateLinkの設定)も、インターネットを経由せずにVPCからS3オブジェクトへ安全にアクセスする手段として利用可能ですが、VPCゲートウェイエンドポイントに比べて設定手順が複雑になります。選択肢D(VPCとS3バケット間のサイト間VPN接続の設定)は、Amazon S3がVPN接続をサポートしていないため、実現不可能です。したがって、選択肢Bが最も適切な解決策であり、データがAWSネットワーク内に留まり、インターネットを経由しないことを保証します。