Q37 — AWS SAP-C02 第1章
第 37/75 問 | ← 第1章
Q112. ある企業は、AWS Organizations を使用して複数の AWS アカウントを含む組織を構成しています。各アカウントには単一の VPC が存在します。'Shared Services' という名前のアカウントには、オンプレミスネットワークへのアクセスを提供する Direct Connect ゲートウェイに接続されたトランジットゲートウェイがあります。企業は、AWS Resource Access Manager(AWS RAM)を用いて、このトランジットゲートウェイを組織内のすべてのアカウントと共有するように設定しました。また、すべての VPC をトランジットゲートウェイにアタッチし、VPC 間のルーティングを可能にしています。オンプレミスサーバー向けの DNS サーバーとして、オンプレミス環境および 'Shared Services' アカウントの VPC 内にそれぞれ 1 台ずつ DNS サーバーが配置されています。しかし、企業が各 VPC 内で起動した Amazon EC2 インスタンスが、プライベートなオンプレミスドメインのアドレスを解決できないことが判明しました。すべての VPC 内の EC2 インスタンスがオンプレミスのアドレスを解決できるようにするための解決策はどれですか?
- A. Shared Services アカウントの VPC に、オンプレミスドメイン向けの Amazon Route 53 Resolver のアウトバウンドエンドポイントを作成します。このアウトバウンドエンドポイントを、オンプレミスドメインの DNS サーバーの IP アドレスを使用するように設定します。さらに、DNS サーバー側でフォワーダーを設定し、VPC の内部 DNS リゾルバー(169.254.169.253)を指すようにします。
- B. Shared Services アカウントの VPC に、オンプレミスドメイン向けの Amazon Route 53 プライベートホストゾーンを作成します。AWS Resource Access Manager(AWS RAM)を用いて、このホストゾーンを組織内のすべてのアカウントと共有するように設定します。その後、Route 53 プライベートホストゾーンを各 VPC に関連付けます。
- C. Shared Services アカウントの VPC に、オンプレミスドメイン向けの Amazon Route 53 Resolver のアウトバウンドエンドポイントを作成します。このアウトバウンドエンドポイントを、オンプレミスドメインの DNS サーバーの IP アドレスを使用するように設定します。さらに、AWS Resource Access Manager(AWS RAM)を用いて、この Route 53 Resolver のルールを組織内のすべてのアカウントと共有するように設定します。その後、Route 53 Resolver のルールを各 VPC に関連付けます。 ✓
- D. Shared Services アカウントの VPC に、オンプレミスドメイン向けの Amazon Route 53 Resolver のインバウンドエンドポイントを作成します。このインバウンドエンドポイントを、オンプレミスドメインの DNS サーバーの IP アドレスを使用するように設定します。さらに、AWS Resource Access Manager(AWS RAM)を用いて、この Route 53 Resolver のルールを組織内のすべてのアカウントと共有するように設定します。その後、Route 53 Resolver のルールを各 VPC に関連付けます。
正解: C. Shared Services アカウントの VPC に、オンプレミスドメイン向けの Amazon Route 53 Resolver のアウトバウンドエンドポイントを作成します。このアウトバウンドエンドポイントを、オンプレミスドメインの DNS サーバーの IP アドレスを使用するように設定します。さらに、AWS Resource Access Manager(AWS RAM)を用いて、この Route 53 Resolver のルールを組織内のすべてのアカウントと共有するように設定します。その後、Route 53 Resolver のルールを各 VPC に関連付けます。
解説
正解は C です。オンプレミスのプライベートドメイン名を解決するには、VPC 内のトラフィックをオンプレミス DNS サーバーに転送する必要があります。そのために Route 53 Resolver のアウトバウンドエンドポイント(オンプレミス DNS へクエリを転送するエンドポイント)と、対応するリゾルバールール(アウトバウンドルール)が必要です。このルールは、VPC ごとに適用される必要があり、AWS RAM を使って組織全体のアカウントと共有・関連付け可能です。オプション A は、ルールの共有と VPC への関連付けが不足しており、他のアカウントの VPC では機能しません。オプション B は、Route 53 プライベートホストゾーンはオンプレミスのレコードを自動的に管理・解決しない(手動登録や統合が必要)ため、オンプレミス DNS との連携には不適切です。オプション D のインバウンドエンドポイントは、オンプレミスから VPC 内のリソースを解決する場合に使用するものであり、逆方向(VPC → オンプレミス)の名前解決には使えません。