Q33 — AWS SAP-C02 第1章
第 33/75 問 | ← 第1章
Q108. ある企業が、WebアプリケーションをオンプレミスのデータセンターからAWSクラウドへ最近移行しました。このWebアプリケーションのインフラストラクチャは、Amazon CloudFrontディストリビューション(ALBにルーティング)と、リクエスト処理にAmazon Elastic Container Service(Amazon ECS)を使用するApplication Load Balancer(ALB)で構成されています。最近実施されたセキュリティ監査では、WebアプリケーションがCloudFrontエンドポイントおよびALBエンドポイントの両方からアクセス可能であることが明らかになりました。しかし、同社は、WebアプリケーションをCloudFrontエンドポイントからのみアクセス可能にするよう要請しています。この要件を、最も少ない労力で満たす解決策はどれですか?
- A. 新しいセキュリティグループを作成し、それをCloudFrontディストリビューションにアタッチします。その後、ALBのセキュリティグループのイングレスルールを更新して、CloudFrontのセキュリティグループからのアクセスのみを許可します。
- B. ALBのセキュリティグループのイングレスルールを更新し、CloudFrontがオリジン(ALB)にアクセスするために使用するマネージドプレフィックスリスト「com.amazonaws.global.cloudfront.origin-facing」からのアクセスのみを許可します。 ✓
- C. Elastic Load Balancing用のVPCインターフェイスエンドポイント(com.amazonaws.region.elasticloadbalancing)を作成します。その後、ALBのスキームを「internet-facing」から「internal」に変更します。
- D. AWSが提供するip-ranges.jsonドキュメントからCloudFrontのIPアドレスを抽出し、ALBのセキュリティグループのイングレスルールを更新して、抽出したCloudFrontのIPアドレスからのアクセスのみを許可します。
正解: B. ALBのセキュリティグループのイングレスルールを更新し、CloudFrontがオリジン(ALB)にアクセスするために使用するマネージドプレフィックスリスト「com.amazonaws.global.cloudfront.origin-facing」からのアクセスのみを許可します。
解説
CloudFrontエンドポイント経由でのみWebアプリケーションへのアクセスを許可するという要件を、最も少ない労力で満たすには、以下の選択肢Bが最適です。 B. ALBのセキュリティグループのイングレスルールを更新し、CloudFrontがオリジン(ALB)にアクセスするために使用するマネージドプレフィックスリスト「com.amazonaws.global.cloudfront.origin-facing」からのアクセスのみを許可する。 解説: 「com.amazonaws.global.cloudfront.origin-facing」プレフィックスリストには、CloudFrontがオリジン(この場合ALB)に接続する際に使用するIPアドレス範囲が含まれています。ALBのセキュリティグループでこのプレフィックスリストからのアクセスのみを許可することで、WebアプリケーションはCloudFront経由でのみアクセス可能になります。 選択肢Aは不正解です。CloudFrontディストリビューションにセキュリティグループをアタッチすることはできません(CloudFrontはグローバルサービスであり、セキュリティグループはVPC内リソースに適用されるため)。また、追加の設定手順が必要になるため、最も少ない労力という要件に反します。 選択肢Cは不正解です。VPCインターフェイスエンドポイントの作成やALBのスキーム変更は、CloudFront経由でのみアクセス可能にするという目的に対して過剰な対応であり、必要ありません。 選択肢Dは不正解です。AWSのip-ranges.jsonからCloudFrontのIPを手動で抽出・管理するのは、頻繁な更新に対応できず、スケーラビリティと保守性に劣り、マネージドプレフィックスリストを利用する方法よりも労力が大きくなります。 したがって、最も少ない労力で要件を満たす解決策は、選択肢Bです。