Q34 — AWS SAP-C02 第1章

第 34/75 問 | ← 第1章

Q109. ある企業が、リージョンエンドポイントを用いたAmazon API GatewayでAPIを開発しました。これらのAPIは、API Gatewayの認証メカニズムを活用するAWS Lambda関数を呼び出します。設計レビューの結果、ソリューションアーキテクトは、パブリックアクセスを必要としない一連のAPIを特定しました。ソリューションアーキテクトは、これらのAPIをVPC内からのみアクセス可能にするソリューションを設計する必要があります。また、すべてのAPIは、認証済みユーザーによって呼び出される必要があります。これらの要件を満たす、最も少ない工数で実現できるソリューションはどれですか?

正解: C. API Gateway内のAPIエンドポイントを「リージョン」から「プライベート」に更新します。VPC内にインターフェイスVPCエンドポイントを作成します。リソースポリシーを作成し、APIにアタッチします。VPCエンドポイントを使用して、VPC内からAPIを呼び出します。

解説

VPC内からのみアクセス可能かつ認証が必要なAPIを実現するには、以下の選択肢Cが最適です:API GatewayのAPIエンドポイントを「リージョン」から「プライベート」に更新し、VPC内にインターフェイスVPCエンドポイントを作成、APIにアタッチするリソースポリシーを作成し、VPCエンドポイント経由でAPIを呼び出します。 理由: ・APIエンドポイントを「プライベート」に更新することで、指定されたVPC内からのみAPIへのアクセスを許可できます。 ・インターフェイスVPCエンドポイントをVPC内に作成すると、インターネットゲートウェイ、NATデバイス、VPN接続、AWS Direct Connect接続を経由せずに、VPC内からAPI Gatewayに安全にアクセスできます。 ・リソースポリシーをAPIにアタッチすることで、細かいアクセス制御を定義でき、特定のVPCからのみアクセスを許可するポリシーを適用できます。 ・プライベートAPIエンドポイントとVPCエンドポイントを組み合わせることで、API Gatewayへの呼び出しはVPC内でのみ安全にルーティングされ、VPC外からのアクセスを確実に防止できます。 選択肢Aは不適切です。内部ALBを経由する方法では、API自体のVPC内限定アクセスや認証機構の統合が実現できず、要件を満たしません。 選択肢Bは不適切です。Route 53のCNAMEレコードによるDNS操作は、VPC内限定アクセスや認証を保証せず、セキュリティ上の制御が不足しています。 選択肢Dは不適切です。Lambda関数をVPC内にデプロイし、EC2経由で呼び出す方法は、API Gatewayの機能を無視しており、不要な複雑さと運用負荷を追加します。 したがって、最小限の工数で要件を満たすソリューションはCです。