Q52 — AWS SAP-C02 第1章

第 52/75 問 | ← 第1章

Q127. ある会社は、NAT ゲートウェイに対して VPC フローログを有効化しています。同社は、パブリック IP アドレス 198.51.100.2 から送信され、プライベートな Amazon EC2 インスタンスを宛先とする着信トラフィックについて、Action = ACCEPT のログを確認しています。 ソリューションズアーキテクトは、このトラフィックがインターネットからの不要な(unsolicited)着信接続であるかどうかを特定する必要があります。VPC の CIDR ブロックの最初の 2 オクテットは「203.0」です。 これらの要件を満たすために、ソリューションズアーキテクトが実行すべき手順の組み合わせはどれですか?

正解: D. Amazon CloudWatch コンソールを開きます。NAT ゲートウェイの Elastic Network Interface およびプライベートインスタンスの Elastic Network Interface を含むロググループを選択します。宛先アドレスを "like 198.51.100.2"、送信元アドレスを "like 203.0" としてフィルタリングするクエリを実行します。その後、stats コマンドを実行し、送信元アドレスと宛先アドレスごとの転送バイト数の合計を抽出します。

解説

問題文ではすでに、インターネットからプライベート IP アドレスへの Action=Accept の着信トラフィックが記録されていると明記されています。目的は、このトラフィックが要求された(solicited)ものか、それとも不要な(unsolicited)ものかを判断することです。要求されたトラフィックの場合、通信は最初にプライベート IP アドレスから開始され、その後応答(戻り)トラフィックが受信されます。一方、不要なトラフィックの場合、プライベート IP アドレスからの初期の送出(outbound)トラフィックは一切存在しません。VPC フローログは Amazon CloudWatch Logs に保存されるため、CloudTrail ではなく CloudWatch コンソールを使用する必要があります。また、着信トラフィックの送信元は 198.51.100.2、宛先は VPC 内(203.0.x.x)のプライベート IP であるため、クエリのフィルタ条件は送信元=198.51.100.2、宛先=203.0 でなければなりません。したがって、正しい選択肢は D です。