Q48 — AWS SAP-C02 第3章
第 48/75 問 | ← 第3章
Q273. ある企業は、VPC内のAmazon EC2インスタンス上に新しいプライベートイントラネットサービスを展開する計画です。AWS Site-to-Site VPNにより、このVPCは企業のオンプレミスネットワークと接続されています。この新しいサービスは、既存のオンプレミスサービスと通信する必要があります。オンプレミスサービスには、企業が管理するcompany.example DNSゾーン内に存在するホスト名を介してアクセスできます。このDNSゾーンは完全にオンプレミスでホストされており、企業のプライベートネットワーク内でのみ利用可能です。 ソリューションアーキテクトは、新しいサービスがcompany.exampleドメイン内のホスト名を解決できるようにし、既存サービスとの統合を実現する必要があります。 これらの要件を満たすソリューションはどれですか?
- A. Amazon Route 53にcompany.example向けの空のプライベートホストゾーンを作成します。その後、オンプレミス側のcompany.exampleゾーンに、Route 53内の新しいプライベートゾーンの権威あるネームサーバーを指す追加のNSレコードを追加します。
- B. VPCに対してDNSホスト名を有効化します。Amazon Route 53 Resolverで新しいアウトバウンドエンドポイントを設定します。company.exampleに対するDNSクエリをオンプレミスのネームサーバーに転送するResolverルールを作成します。 ✓
- C. VPCに対してDNSホスト名を有効化します。Amazon Route 53 Resolverで新しいインバウンドリゾルバー・エンドポイントを設定します。オンプレミスのDNSサーバーを設定し、company.exampleに対するクエリをこの新しいリゾルバーに転送するようにします。
- D. AWS Systems Managerを使用して、必要なホスト名を含むhostsファイルをインストールするRun Documentを設定します。Amazon EventBridge(Amazon CloudWatch Events)ルールを活用し、EC2インスタンスのステータスが「running」に遷移した際にこのDocumentを実行します。
正解: B. VPCに対してDNSホスト名を有効化します。Amazon Route 53 Resolverで新しいアウトバウンドエンドポイントを設定します。company.exampleに対するDNSクエリをオンプレミスのネームサーバーに転送するResolverルールを作成します。
解説
正解はBです。VPCのDNSホスト名を有効化することで、VPC内のインスタンスがDNSホスト名を解決できるようになります。Amazon Route 53 Resolverで新しいアウトバウンドエンドポイントを設定すると、VPCとオンプレミスネットワーク間のVPN接続を経由したDNS解決が可能となり、VPCからオンプレミスサービスへの通信が実現します。さらに、company.exampleに対するクエリをオンプレミスのネームサーバーに転送するResolverルールを作成することで、VPC内の新しいサービスがcompany.exampleドメインのホスト名を正常に解決し、既存サービスと統合できます。 選択肢A、C、Dは不適切です。 A:Route 53に空のプライベートゾーンを作成しても、VPCとオンプレミス間のDNS解決を実現するための仕組み(例:Resolverや条件付き転送など)の設定が別途必要であり、単独では要件を満たしません。 C:インバウンドリゾルバー・エンドポイントを設定しても、これはオンプレミス側からVPC内のリソースへのDNS解決を支援するものであり、VPC内のEC2インスタンスがオンプレミスのcompany.exampleドメインを解決する機能を提供しません。また、オンプレミスDNSサーバーの再設定も必要で、本問の目的(VPC側の解決能力確保)とはズレています。 D:各EC2インスタンスにhostsファイルを手動または自動で配布・管理する方法は、スケーラビリティに乏しく、ホスト名の変更や追加に対応しづらく、運用負荷とエラー発生リスクが高くなります。また、DNSによる動的な名前解決機能を提供しないため、本問の要件を満たしません。