Q60 — AWS SCS-C02 第1章
第 60/100 問 | ← 第1章
ある企業が、新しいAWSアカウントに新しいアプリケーションを実装しています。アプリケーション用にVPCおよびサブネットが作成されています。アプリケーションは、同じAWSリージョン内の別のアカウントにある既存のVPCとVPCピアリング接続され、データベースへのアクセスを可能にしています。Amazon EC2インスタンスはアプリケーションVPC内で定期的に作成および終了されますが、そのうち一部のみがTCPポート1521経由でピアリングされたVPC内のデータベースにアクセスする必要があります。 セキュリティエンジニアは、データベースへのアクセスを必要とするEC2インスタンスのみがネットワーク経由でデータベースにアクセスできるようにする必要があります。 セキュリティエンジニアは、このソリューションをどのように実装できますか?
- A. データベースVPCに新しいセキュリティグループを作成し、アプリケーションVPCのIPアドレス範囲からのすべてのトラフィックを許可する受信ルールを作成します。データベースサブネットに新しいネットワークACLルールを追加します。このルールを、アプリケーションVPCのIPアドレス範囲からTCPポート1521へのトラフィックを許可するように設定します。データベースインスタンスに新しいセキュリティグループをアタッチします。
- B. アプリケーションVPCに新しいセキュリティグループを作成し、データベースVPCのIPアドレス範囲からのTCPポート1521を許可する受信ルールを作成します。データベースVPCに新しいセキュリティグループを作成し、アプリケーションVPCのIPアドレス範囲からのポート1521を許可する受信ルールを作成します。データベースインスタンスおよびデータベースアクセスを必要とするアプリケーションインスタンスに新しいセキュリティグループをアタッチします。
- C. アプリケーションVPCに受信ルールのない新しいセキュリティグループを作成します。データベースVPCに新しいセキュリティグループを作成し、アプリケーションVPC内の新しいアプリケーションセキュリティグループからのTCPポート1521を許可する受信ルールを作成します。データベースアクセスを必要とするアプリケーションインスタンスにアプリケーションセキュリティグループをアタッチし、データベースインスタンスにデータベースセキュリティグループをアタッチします。 ✓
- D. アプリケーションVPCに新しいセキュリティグループを作成し、データベースVPCのIPアドレス範囲からのTCPポート1521を許可する受信ルールを作成します。データベースサブネットに新しいネットワークACLルールを追加します。このルールを、アプリケーションVPCのIPアドレス範囲からのすべてのトラフィックを許可するように設定します。データベースアクセスを必要とするアプリケーションインスタンスに新しいセキュリティグループをアタッチします。
正解: C. アプリケーションVPCに受信ルールのない新しいセキュリティグループを作成します。データベースVPCに新しいセキュリティグループを作成し、アプリケーションVPC内の新しいアプリケーションセキュリティグループからのTCPポート1521を許可する受信ルールを作成します。データベースアクセスを必要とするアプリケーションインスタンスにアプリケーションセキュリティグループをアタッチし、データベースインスタンスにデータベースセキュリティグループをアタッチします。
解説
AWS VPCピアリング接続におけるトラフィック制御の核心はセキュリティグループの設定にあります。本問のシナリオでは、特定のEC2インスタンスのみがデータベースにアクセスできるようにし、かつインスタンスが動的に変化する必要があります。AWSセキュリティグループは、静的IPアドレスではなく、ソースセキュリティグループIDをルール条件として参照することをサポートしており、これは動的環境に最適です。選択肢Cでは、データベースVPCのセキュリティグループに、アプリケーションVPC内の特定のセキュリティグループからのトラフィック(TCP 1521)を許可するルールが設定されており、そのセキュリティグループはデータベースアクセスを必要とするインスタンスにのみアタッチされるため、最小権限原則が確保されます。他の選択肢は、IPアドレス範囲に依存(インスタンスレベルの制御が不可能)またはネットワークACL(サブネットレベルのルールであり、細かい粒度の制御ができない)を誤って使用しています。『AWSセキュリティベストプラクティス』では、特にインスタンスが頻繁に変化するシナリオにおいて、IPアドレスよりもセキュリティグループIDの参照が推奨されています。