Q32 — AWS SAP-C02 第2章
第 32/75 問 | ← 第2章
Q182. ある企業には、それぞれがAWS上で個別のアカウントを保有する複数の事業部門があります。各事業部門は、CIDR範囲が重複する複数のVPCで構成される独自のネットワークを管理しています。マーケティングチームは新しい内部アプリケーションを作成し、このアプリケーションを他のすべての事業部門からアクセス可能にしたいと考えています。このソリューションは、プライベートIPアドレスのみを使用しなければなりません。これらの要件を満たす中で、運用オーバーヘッドが最も少ないソリューションはどれですか?
- A. 各事業部門に対し、自社VPCに一意のセカンダリCIDR範囲を追加するよう指示します。その後、VPCピアリングを行い、セカンダリ範囲内にプライベートNATゲートウェイを配置してトラフィックをマーケティングチームへルーティングします。
- B. マーケティングチームのアカウント内のVPCに、仮想アプライアンスとして機能するAmazon EC2インスタンスを作成します。マーケティングチームと各事業部門のVPC間でAWS Site-to-Site VPN接続を作成します。必要に応じてNAT処理を行います。
- C. マーケティングアプリケーションを共有するためのAWS PrivateLinkエンドポイントサービスを作成します。特定のAWSアカウントがこのサービスに接続できるよう許可を付与します。他のアカウントでは、インターフェースVPCエンドポイントを作成し、プライベートIPアドレスを用いてアプリケーションにアクセスします。 ✓
- D. プライベートサブネット内にマーケティングアプリケーションの前にNetwork Load Balancer(NLB)を作成します。API Gateway APIを作成し、Amazon API Gatewayのプライベート統合機能を用いてNLBと接続します。APIに対してIAM認証を有効化し、他の事業部門のアカウントへのアクセスを許可します。
正解: C. マーケティングアプリケーションを共有するためのAWS PrivateLinkエンドポイントサービスを作成します。特定のAWSアカウントがこのサービスに接続できるよう許可を付与します。他のアカウントでは、インターフェースVPCエンドポイントを作成し、プライベートIPアドレスを用いてアプリケーションにアクセスします。
解説
正解はCです。これは要件を満たしつつ、運用オーバーヘッドが最も少ないソリューションです。 選択肢Aでは、各事業部門が自社VPCに一意のセカンダリCIDR範囲を追加し、VPCピアリングを行う必要があります。これは複数の事業部門間での調整を要し、既存のネットワーク構成変更を伴うため、運用オーバーヘッドが増大する可能性があります。 選択肢Bでは、EC2インスタンスによる仮想アプライアンスの構築および、マーケティングチームと各事業部門のVPC間におけるSite-to-Site VPN接続の設定・維持が必要です。各事業部門ごとにVPNを構成・管理する必要があり、これも運用負荷を高めます。 選択肢Cでは、PrivateLinkエンドポイントサービスを作成し、対象AWSアカウントへの接続許可を付与します。さらに、他のアカウント側でインターフェースVPCエンドポイントを作成することで、プライベートIPアドレスのみを用いた安全なアプリケーションアクセスが実現できます。この方法は既存VPC構成への大幅な変更を必要とせず、運用オーバーヘッドを最小限に抑えられます。 選択肢Dでは、NLBおよびAPI Gatewayを含む追加のインフラ構成が必要となり、それらの管理・監視・保守が発生するため、運用オーバーヘッドが増加します。 全体として、選択肢Cはコスト効率が良く、スケーラブルかつセキュアなソリューションであり、複数の事業部門のVPC間でマーケティングアプリケーションを共有するのに最適です。 AWS PrivateLinkを活用すれば、マーケティングチームは自社の内部アプリケーションを他アカウントと安全に共有でき、すべての通信がプライベートIPアドレスを介して行われます。特定のAWSアカウントへの接続許可を付与し、相手側アカウントでインターフェースVPCエンドポイントを作成するだけで済み、他事業部門のネットワーク構成変更やVPCピアリング、NAT設定などは一切不要です。このソリューションは、スケーラビリティとセキュリティの両面で優れています。