Q65 — AWS SAP-C02 第3章
第 65/75 問 | ← 第3章
Q290. ある企業が、オンプレミスシステムから Amazon S3 バケットへデータを送信したいと考えています。この企業は、3つの異なるAWSアカウントにS3バケットを作成しました。データはインターネットを経由せずにプライベートに送信する必要があります。また、企業には現在、AWSへの専用接続(dedicated connectivity)は存在しません。これらの要件を満たすために、ソリューションアーキテクトが実施すべき手順の組み合わせはどれですか?(2つ選択してください。)
- A. AWSクラウド内にネットワーキング専用アカウントを確立し、そのアカウント内でプライベートVPCを作成します。 オンプレミス環境とそのプライベートVPCの間で、AWS Direct Connect 接続およびプライベートVIF(Virtual Interface)を設定します。 ✓
- B. AWSクラウド内にネットワーキング専用アカウントを確立し、そのアカウント内でプライベートVPCを作成します。 オンプレミス環境とそのプライベートVPCの間で、AWS Direct Connect 接続およびパブリックVIF(Virtual Interface)を設定します。
- C. ネットワーキングアカウント内に Amazon S3 インターフェースエンドポイントを作成します。 ✓
- D. ネットワーキングアカウント内に Amazon S3 ゲートウェイエンドポイントを作成します。
- E. AWSクラウド内にネットワーキング専用アカウントを確立し、そのアカウント内でプライベートVPCを作成します。 S3バケットをホストする各アカウントのVPCを、ネットワーキングアカウント内のVPCとピアリングします。
正解: A. AWSクラウド内にネットワーキング専用アカウントを確立し、そのアカウント内でプライベートVPCを作成します。 オンプレミス環境とそのプライベートVPCの間で、AWS Direct Connect 接続およびプライベートVIF(Virtual Interface)を設定します。, C. ネットワーキングアカウント内に Amazon S3 インターフェースエンドポイントを作成します。
解説
オンプレミスシステムからAmazon S3バケットへ、インターネットを経由しないプライベートなデータ送信を実現するには、AWS Direct ConnectとVPCを活用したソリューションが必要です。S3バケットが複数のAWSアカウントに分散しているため、各S3バケットをホストするアカウントにAmazon S3インターフェースエンドポイントを個別に作成する必要があります(ただし、問題文の選択肢Cは「ネットワーキングアカウント内」と指定しており、これは誤りですが、正解として提示されている選択肢の文言を忠実に翻訳しています)。したがって、これらの要件を満たす正しい手順の組み合わせは以下のとおりです: A. AWSクラウド内にネットワーキング専用アカウントを確立し、そのアカウント内でプライベートVPCを作成します。オンプレミス環境とそのプライベートVPCの間で、AWS Direct Connect 接続およびプライベートVIFを設定します。 C. ネットワーキングアカウント内に Amazon S3 インターフェースエンドポイントを作成します。 選択肢Aは、安全な通信のための専用ネットワーキングアカウントとプライベートVPCを構築し、さらにオンプレミス環境とVPC間をプライベートVIFで接続するAWS Direct Connectを設定します。選択肢Cは、S3への安全かつプライベートなアクセスを可能にするインターフェースエンドポイントの作成を表します(※実際には各S3バケットをホストするアカウントごとにインターフェースエンドポイントを作成する必要がありますが、本問では選択肢Cが正解として与えられています)。選択肢Bは不適切です。パブリックVIFを用いたAWS Direct Connect接続では、S3バケットへのプライベートなアクセスが保証されません。選択肢Dは不適切です。S3ゲートウェイエンドポイントは、VPC内からS3へのトラフィックをVPCエンドポイント経由でルーティングするために使用されますが、オンプレミス環境から直接S3へデータを送信する用途には適用できません。選択肢Eは不適切です。異なるAWSアカウント間でのVPCピアリングは可能ですが、オンプレミス環境からS3バケットへ直接データを送信するための手段ではなく、また、S3へのアクセスにはS3エンドポイント(インターフェースまたはゲートウェイ)が必要です。