Q28 — AWS SAP-C02 第3章

第 28/75 問 | ← 第3章

Q253. ある企業が、数百のAWSアカウントからログを受信・分析する中央集約型ロギングサービスをAmazon EC2上で構築しています。クライアントサービスとロギングサービス間の接続にはAWS PrivateLinkが使用されています。各クライアントを持つAWSアカウントでは、ロギングサービス向けのインターフェイスエンドポイントが作成され、利用可能になっています。ロギングサービスは、Network Load Balancer(NLB)とともに、異なるサブネットにデプロイされたEC2インスタンス上で実行されています。しかし、クライアントはVPCエンドポイントを使用してログを送信できていません。 この問題を解決するために、ソリューションアーキテクトが実施すべき手順の組み合わせはどれですか?(2つ選択してください。)

正解: A. ロギングサービスが配置されているサブネットにNACLがアタッチされており、NLBが配置されているサブネットとの双方向通信が許可されているか確認します。また、NLBが配置されているサブネットにNACLがアタッチされており、EC2インスタンス上で実行されるロギングサービスのサブネットとの双方向通信が許可されているか確認します。, C. EC2インスタンス上で実行されるロギングサービスのセキュリティグループを確認し、NLBが配置されているサブネットからのイングレス通信が許可されているか検証します。

解説

VPCエンドポイント経由でクライアントがログを送信できないという問題を解決するには、以下の2つの手順を実施する必要があります。 A:ロギングサービスが配置されているサブネットに適用されているNACLが、NLBが配置されているサブネットとの双方向通信(インバウンドおよびアウトバウンド)を許可しているか確認します。これにより、NLBとEC2上で動作するロギングサービス間の通信が保証されます。 C:EC2インスタンス上で実行されるロギングサービスのセキュリティグループに、NLBが配置されているサブネットからのトラフィックを許容するイングレスルールが設定されているか確認します。これにより、NLB経由でロギングサービスがログを受信できるようになります。 その他の選択肢は、本件の解決には関係ありません。 B:インターフェイスエンドポイントのサブネットとロギングサービスのサブネット間のNACL設定を確認するのは、本問題の原因とは無関係です。 D:クライアントからの直接的なアクセスではなく、PrivateLinkによるVPCエンドポイント経由でトラフィックがルーティングされるため、ロギングサービスのセキュリティグループがクライアントからのイングレスを許可する必要はありません。 E:NLBのセキュリティグループがインターフェイスエンドポイントのサブネットからのトラフィックを許可するかどうかを確認する必要はありません。VPCエンドポイントとNLBの設定が正しく行われていれば、NLBは既にインターフェイスエンドポイントからのトラフィックを受信可能です。