Q67 — AWS SAP-C02 第1章
第 67/75 問 | ← 第1章
Q142. ある会社が、インターネットに公開されたApplication Load Balancer(ALB)の背後に配置されたプライベートサブネット内のAmazon EC2インスタンス群でアプリケーションを実行しています。このALBは、Amazon CloudFrontディストリビューションのオリジンです。また、AWS WAFのWeb ACL(各種AWSマネージドルールを含む)が、このCloudFrontディストリビューションに関連付けられています。同社は、インターネットからのトラフィックがALBに直接アクセスすることを防ぐソリューションを必要としています。これらの要件を満たす中で、**最も運用オーバーヘッドが少ない**ソリューションはどれですか?
- A. 既存のWeb ACLと同じルールを含む新しいWeb ACLを作成し、その新しいWeb ACLをALBに関連付ける
- B. 既存のWeb ACLをALBに関連付ける
- C. ALBのセキュリティグループに、CloudFront専用のAWSマネージドプレフィックスリスト(aws:cloudfront)からのトラフィックのみを許可するルールを追加する ✓
- D. ALBのセキュリティグループに、さまざまなCloudFrontのIPアドレス範囲からのトラフィックのみを許可するルールを追加する
正解: C. ALBのセキュリティグループに、CloudFront専用のAWSマネージドプレフィックスリスト(aws:cloudfront)からのトラフィックのみを許可するルールを追加する
解説
要件を満たし、かつ運用オーバーヘッドが最も少ないソリューションは、選択肢Cです:ALBのセキュリティグループに、CloudFront専用のAWSマネージドプレフィックスリスト(aws:cloudfront)からのトラフィックのみを許可するルールを追加します。また、インターネットやその他のソースからの受信トラフィックを許可する既存のセキュリティグループルールはすべて削除します。このソリューションでは、AWSが自動的に更新するAWSマネージドプレフィックスリストという組み込み機能を活用しており、CloudFrontに関連付けられたIPアドレスからのみALBへのアクセスを許可することで、インターネットからの直接アクセスを防止しつつ、CloudFront経由のトラフィックは引き続き正常に処理できます。選択肢Aは既存のWeb ACLの複製を伴うため、追加の管理コストが発生します。選択肢Bは、既にCloudFrontに適用済みのWeb ACLをALBに再適用するだけであり、ALBに対する追加のセキュリティ強化にはなりません。選択肢Dは、CloudFrontのIPアドレス範囲のリストを手動で管理・更新する必要があり、規模が大きくなると維持が困難になります。したがって、選択肢Cは、ALBへのインターネットからの直接アクセスを確実に防止しつつ、最小限の運用負荷で実現できる、シンプルかつ効果的なソリューションです。