Q10 — AWS SAP-C02 第1章
第 10/75 問 | ← 第1章
Q85. ある企業が、サードパーティ製のソフトウェア・アズ・ア・サービス(SaaS)アプリケーションを活用したいと考えています。このサードパーティ製SaaSアプリケーションは、複数のAPI呼び出しを通じて利用されます。また、このSaaSアプリケーションはAWS上でVPC内にホストされています。 当該企業は、自社のVPC内からこのサードパーティ製SaaSアプリケーションを利用する予定です。ただし、企業の内部セキュリティポリシーにより、インターネットを経由しないプライベートな接続のみが許可されています。また、企業のVPC内で実行されるリソースは、そのVPC外部からのアクセスを一切許可してはなりません。さらに、すべての権限設定は「最小権限の原則」に従う必要があります。 これらの要件を満たす解決策はどれですか?
- A. AWS PrivateLink のインターフェイス型 VPC エンドポイントを作成します。このエンドポイントを、サードパーティ製SaaSアプリケーションが提供するエンドポイントサービスに接続します。エンドポイントへのアクセスを制限するためのセキュリティグループを作成し、そのセキュリティグループをエンドポイントに関連付けます。 ✓
- B. サードパーティ製SaaSアプリケーションと企業のVPCの間で、AWS Site-to-Site VPN 接続を作成します。VPNトンネル間のアクセスを制限するためにネットワークACLを設定します。
- C. サードパーティ製SaaSアプリケーションのVPCと企業のVPCの間にVPCピアリング接続を作成します。ピアリング接続に必要なルートを追加するため、ルートテーブルを更新します。
- D. AWS PrivateLink のエンドポイントサービスを作成します。サードパーティ製SaaSプロバイダーに対し、このエンドポイントサービス向けにインターフェイス型VPCエンドポイントを作成するよう依頼します。このエンドポイントサービスに対するアクセス許可を、サードパーティ製SaaSプロバイダーの特定のAWSアカウントに付与します。
正解: A. AWS PrivateLink のインターフェイス型 VPC エンドポイントを作成します。このエンドポイントを、サードパーティ製SaaSアプリケーションが提供するエンドポイントサービスに接続します。エンドポイントへのアクセスを制限するためのセキュリティグループを作成し、そのセキュリティグループをエンドポイントに関連付けます。
解説
インターネットを経由せずプライベートな接続を実現し、かつ最小権限の原則に準拠する要件を満たす解決策は、選択肢Aです。 選択肢A:AWS PrivateLinkのインターフェイス型VPCエンドポイントを作成します。AWS PrivateLinkは、インターネットを経由せずにAWS上でホストされるサービスに安全にアクセスできる機能です。インターフェイス型VPCエンドポイントを作成することで、自社VPC内から直接サードパーティ製SaaSアプリケーションが提供するエンドポイントサービスに接続できます。これにより、トラフィックはAWSネットワーク内に留まり、インターネットを経由しません。さらに、エンドポイントへのアクセスを制限するセキュリティグループを作成し、それをエンドポイントに関連付けることで、自社VPC内の必要なリソースのみがSaaSアプリケーションと通信できるようになります。 選択肢Bは不適切です。Site-to-Site VPN接続は、通常、インターネットを経由して確立されるため、インターネット非経由という要件に反します。また、ネットワークACLはサブネット単位の粗い制御であり、最小権限の原則に則った細かいアクセス制御には不十分です。 選択肢Cは不適切です。VPCピアリングは2つの独立したVPCを接続する仕組みですが、本シナリオではサードパーティ製SaaSアプリケーションはすでにVPC内に存在しており、VPCピアリングを用いてもインターネット非経由のプライベート接続を保証できません(特に、両VPCが異なるAWSアカウントやリージョンに存在する場合など)。また、ピアリングは双方向のトラフィックを許容するため、自社VPC内のリソースが外部からアクセス可能になるリスクがあり、要件に反します。 選択肢Dは不適切です。AWS PrivateLinkのエンドポイントサービスは、自社VPC内でホストするサービスを他アカウントに公開する際に使用するものです。本問では、当該企業はSaaSアプリケーションの「利用者」であり、エンドポイントサービスの提供者ではありません。したがって、エンドポイントサービスの作成はサードパーティ製SaaSプロバイダーが行うべきであり、企業側が作成するのは誤りです。 よって、正しい解決策はAです:AWS PrivateLinkのインターフェイス型VPCエンドポイントを作成し、サードパーティ製SaaSアプリケーションのエンドポイントサービスに接続したうえで、アクセス制御のためのセキュリティグループを設定し、エンドポイントに関連付けます。これにより、VPC内でのみ完結するプライベートな接続が実現され、最小権限の原則にも完全に準拠します。なお、インターフェイス型エンドポイントのネットワークインターフェイスに関連付けるセキュリティグループは変更可能です。そのルールによって、VPC内のリソースからエンドポイントのネットワークインターフェイスへ許可されるトラフィックが制御されます。