Q10 — AWS SAP-C02 第1章

第 10/75 問 | ← 第1章

Q85. ある企業が、サードパーティ製のソフトウェア・アズ・ア・サービス(SaaS)アプリケーションを活用したいと考えています。このサードパーティ製SaaSアプリケーションは、複数のAPI呼び出しを通じて利用されます。また、このSaaSアプリケーションはAWS上でVPC内にホストされています。 当該企業は、自社のVPC内からこのサードパーティ製SaaSアプリケーションを利用する予定です。ただし、企業の内部セキュリティポリシーにより、インターネットを経由しないプライベートな接続のみが許可されています。また、企業のVPC内で実行されるリソースは、そのVPC外部からのアクセスを一切許可してはなりません。さらに、すべての権限設定は「最小権限の原則」に従う必要があります。 これらの要件を満たす解決策はどれですか?

正解: A. AWS PrivateLink のインターフェイス型 VPC エンドポイントを作成します。このエンドポイントを、サードパーティ製SaaSアプリケーションが提供するエンドポイントサービスに接続します。エンドポイントへのアクセスを制限するためのセキュリティグループを作成し、そのセキュリティグループをエンドポイントに関連付けます。

解説

インターネットを経由せずプライベートな接続を実現し、かつ最小権限の原則に準拠する要件を満たす解決策は、選択肢Aです。 選択肢A:AWS PrivateLinkのインターフェイス型VPCエンドポイントを作成します。AWS PrivateLinkは、インターネットを経由せずにAWS上でホストされるサービスに安全にアクセスできる機能です。インターフェイス型VPCエンドポイントを作成することで、自社VPC内から直接サードパーティ製SaaSアプリケーションが提供するエンドポイントサービスに接続できます。これにより、トラフィックはAWSネットワーク内に留まり、インターネットを経由しません。さらに、エンドポイントへのアクセスを制限するセキュリティグループを作成し、それをエンドポイントに関連付けることで、自社VPC内の必要なリソースのみがSaaSアプリケーションと通信できるようになります。 選択肢Bは不適切です。Site-to-Site VPN接続は、通常、インターネットを経由して確立されるため、インターネット非経由という要件に反します。また、ネットワークACLはサブネット単位の粗い制御であり、最小権限の原則に則った細かいアクセス制御には不十分です。 選択肢Cは不適切です。VPCピアリングは2つの独立したVPCを接続する仕組みですが、本シナリオではサードパーティ製SaaSアプリケーションはすでにVPC内に存在しており、VPCピアリングを用いてもインターネット非経由のプライベート接続を保証できません(特に、両VPCが異なるAWSアカウントやリージョンに存在する場合など)。また、ピアリングは双方向のトラフィックを許容するため、自社VPC内のリソースが外部からアクセス可能になるリスクがあり、要件に反します。 選択肢Dは不適切です。AWS PrivateLinkのエンドポイントサービスは、自社VPC内でホストするサービスを他アカウントに公開する際に使用するものです。本問では、当該企業はSaaSアプリケーションの「利用者」であり、エンドポイントサービスの提供者ではありません。したがって、エンドポイントサービスの作成はサードパーティ製SaaSプロバイダーが行うべきであり、企業側が作成するのは誤りです。 よって、正しい解決策はAです:AWS PrivateLinkのインターフェイス型VPCエンドポイントを作成し、サードパーティ製SaaSアプリケーションのエンドポイントサービスに接続したうえで、アクセス制御のためのセキュリティグループを設定し、エンドポイントに関連付けます。これにより、VPC内でのみ完結するプライベートな接続が実現され、最小権限の原則にも完全に準拠します。なお、インターフェイス型エンドポイントのネットワークインターフェイスに関連付けるセキュリティグループは変更可能です。そのルールによって、VPC内のリソースからエンドポイントのネットワークインターフェイスへ許可されるトラフィックが制御されます。