Q31 — AWS SCS-C02 第1章
第 31/100 問 | ← 第1章
ある企業は、Amazon EC2インスタンス上でパブリックウェブサイトをホストしています。HTTPSトラフィックはウェブサイトにアクセスできる必要があります。企業は、ウェブサーバーの管理にSSHを使用しています。 ウェブサイトはサブネット10.0.1.0/24上にあり、管理用サブネットは192.168.100.0/24です。セキュリティエンジニアは、EC2インスタンス向けのセキュリティグループを作成しなければなりません。 これらの要件を最も安全な方法で満たすために、セキュリティエンジニアが実施すべき手順の組み合わせはどれですか?(2つ選択)
- A. ソース0.0.0.0/0からのポート22を許可します。
- B. ソース0.0.0.0/0からのポート443を許可します。 ✓
- C. ソース192.168.100.0/24からのポート22を許可します。 ✓
- D. ソース10.0.1.0/24からのポート22を許可します。
- E. ソース10.0.1.0/24からのポート443を許可します。
正解: B. ソース0.0.0.0/0からのポート443を許可します。, C. ソース192.168.100.0/24からのポート22を許可します。
解説
AWSセキュリティグループの設定には最小権限の原則が適用されます。ウェブサイトの公開アクセスを確保するため、HTTPS(ポート443)は任意のIPアドレス(0.0.0.0/0)から許可する必要があります。一方、SSH(ポート22)は管理サブネット(192.168.100.0/24)からのみ許可することでリスクを低減します。AWSセキュリティのベストプラクティスによると、必要なポートを開放しつつ、そのソース範囲を厳密に制限することが推奨されます。選択肢BはHTTPSアクセス要件を満たし、選択肢CはSSHアクセスを指定された管理サブネットに限定するため、これら2つが最適です。他の選択肢は権限を過剰に広げ(A、D、E)たり、必要なトラフィックを誤って制限したり(E)しています。