Q52 — AWS SCS-C02 第1章
第 52/100 問 | ← 第1章
ある企業は、VPC内のAmazon EC2インスタンス上でサーバーを展開しています。外部ベンダーはインターネット経由でこれらのサーバーにアクセスしています。最近、企業は新しいCIDR範囲でEC2インスタンス上に新しいアプリケーションを展開しました。このアプリケーションをベンダーに公開する必要があります。 セキュリティエンジニアは、関連するセキュリティグループおよびネットワークACLが、必要なポートへのインバウンドトラフィックを許可していることを確認しました。しかし、ベンダーはアプリケーションに接続できません。 ベンダーがアプリケーションにアクセスできるようにする解決策はどれですか?
- A. EC2インスタンスに関連付けられたセキュリティグループを変更し、アウトバウンドルールをインバウンドルールと同じ内容にします。
- B. CIDR範囲に関連付けられたネットワークACLを変更し、エフェメラルポートへのアウトバウンドトラフィックを許可します。 ✓
- C. インターネットゲートウェイのインバウンドルールを変更し、必要なポートを許可します。
- D. CIDR範囲に関連付けられたネットワークACLを変更し、アウトバウンドルールをインバウンドルールと同じ内容にします。
正解: B. CIDR範囲に関連付けられたネットワークACLを変更し、エフェメラルポートへのアウトバウンドトラフィックを許可します。
解説
ネットワークACLはステートレスであり、インバウンドおよびアウトバウンドのルールをそれぞれ明示的に設定する必要があります。AWSドキュメントによると、クライアントは応答を受け取るためにエフェメラルポートを使用するため、これらのポートへのアウトバウンドトラフィックを明示的に許可する必要があります。本問では、新しいCIDR範囲のネットワークACLがエフェメラルポートへのアウトバウンドルールを設定していない可能性があり、これが接続失敗の原因です。選択肢Bはこの問題を修正します。他の選択肢では、セキュリティグループはデフォルトですべてのアウトバウンドトラフィックを許可するため(Aは不要)、インターネットゲートウェイにはインバウンドルールの設定がない(Cは誤り)、インバウンド・アウトバウンドルールの対称性(D)はエフェメラルポートの扱いには適用されません。選択肢Bは、AWSネットワークACLのベストプラクティスに合致しています。