Q60 — AWS SAP-C02 第3章

第 60/75 問 | ← 第3章

Q285. ある企業では、AWS CloudFormation を使用して、すべてトランジットゲートウェイにアタッチされた複数の VPC 内にアプリケーションを展開しています。インターネットへのトラフィックを送信する必要がある各 VPC は、共有サービス VPC を経由してそのトラフィックを送信しなければなりません。各 VPC 内のサブネットはデフォルトの VPC ルートテーブルを使用しており、トラフィックはトランジットゲートウェイへルーティングされます。また、トランジットゲートウェイは、VPC アタッチメントに対してデフォルトのルートテーブルを使用しています。セキュリティ監査の結果、ある VPC 内に展開された Amazon EC2 インスタンスが、同社の他の任意の VPC 内に展開された EC2 インスタンスと通信できてしまうことが明らかになりました。ソリューションズアーキテクトは、VPC 間のトラフィックを制限する必要があります。各 VPC は、事前に定義された限定的な承認済み VPC のみと通信できるようにしなければなりません。

正解: C. 各 VPC アタッチメントごとに専用のトランジットゲートウェイルートテーブルを作成します。トラフィックを承認済み VPC のみへルーティングします。

解説

各 VPC アタッチメントごとに個別のルートテーブルを作成することで、各 VPC を承認済み VPC とのみ通信するよう設定できます。これにより、トランジットゲートウェイのデフォルトルートテーブルは変更せずに維持でき、特定のルーティング要件に応じて追加のルートテーブルを必要に応じて作成できます。選択肢 A は、各 VPC 内の各サブネットのネットワーク ACL を更新して承認済み VPC への送信トラフィックのみを許可する方法ですが、これは各サブネットのルールを個別に変更する必要があり、実装が煩雑です。また、VPC 間のトラフィック制御には十分な精度や柔軟性が得られない可能性があります。選択肢 B は、各 VPC 内のセキュリティグループを更新して、承認されていない VPC のセキュリティグループへの送信トラフィックを拒否する方法ですが、セキュリティグループは同一 VPC 内のインスタンス間のトラフィック制御を主目的としており、VPC 間のトラフィック制限には適していません。選択肢 D は、各 VPC のメインルートテーブルを更新してトランジットゲートウェイ経由で承認済み VPC へのみルーティングする方法ですが、これは複数の VPC が関与するような複雑なネットワーク環境では、必要な細かい制御が得られず、運用上不適切となる可能性があります。