Q62 — AWS SAP-C02 第1章

第 62/75 問 | ← 第1章

Q137. ある企業がAWSクラウド上でのネットワーク構成を設計しています。この企業は、マルチアカウント構成の管理にAWS Organizationsを使用しています。企業には3つのOU(Organizational Unit)があり、それぞれのOUには100を超えるAWSアカウントが含まれています。各アカウントには1つのVPCが存在し、各OU内のすべてのVPCは同じAWSリージョンに配置されています。また、すべてのAWSアカウントで使用されるCIDR範囲は重複していません。企業は、同一OU内のVPC同士は相互に通信可能である一方、異なるOU間のVPC同士は通信できないようにするソリューションを実装する必要があります。これらの要件を満たす中で、運用上のオーバーヘッドが最も少ないソリューションはどれですか?

正解: C. 各OU内の1つのアカウントにTransit Gatewayをプロビジョニングします。AWS Resource Access Manager(AWS RAM)を使用して、このTransit Gatewayを組織全体で共有します。その後、各VPCに対してTransit Gateway VPCアタッチメントを作成します。

解説

正解は選択肢Cです。これは、要件を満たしつつ運用上のオーバーヘッドを最小限に抑えるソリューションです。選択肢Aでは、各OU内のすべてのVPCペア間にVPCピアリングを構築する必要があり、アカウント数の増加に伴い、設定・管理が非常に煩雑かつ非効率になります。選択肢Bでは、各OUごとに専用ネットワーキングアカウントを設ける必要があり、構成の複雑さと保守コストが増加します。選択肢Dでは、VPN接続の手動設定および管理が必要であり、スケーラビリティが低く、運用負荷が高くなります。一方、選択肢Cでは、各OU内の1つのアカウントにTransit Gatewayをプロビジョニングし、AWS RAMを活用して組織全体で共有します。これにより、同一OU内のすべてのVPC間の接続を一元管理でき、VPCピアリングやVPN接続の手動設定・管理を不要とし、運用上のオーバーヘッドを大幅に削減できます。