Q2 — AWS SOA-C02 第1章
第 2/100 問 | ← 第1章
SysOps管理者は、パブリックサブネット内でWebサーバーとして新しいAmazon EC2インスタンスをセットアップしました。このインスタンスはHTTPポート80およびHTTPSポート443を使用します。 SysOps管理者は、オペレーティングシステムの更新およびパブリックリポジトリからのソフトウェアのダウンロードによりインターネット接続を確認済みです。しかし、SysOps管理者はインターネット上のWebブラウザからこのインスタンスにアクセスできません。 この問題をトラブルシューティングするために、SysOps管理者が実行すべき手順の組み合わせはどれですか?(3つ選択してください。)
- A. インスタンスのセキュリティグループのインバウンドルールが、ポート80および443のトラフィックを許可していることを確認します。 ✓
- B. インスタンスのセキュリティグループのアウトバウンドルールが、ポート80および443のトラフィックを許可していることを確認します。
- C. インスタンスのサブネットに関連付けられたネットワークACLのインバウンドルールで、一時ポート(1024-65535)が許可されていることを確認します。
- D. インスタンスのサブネットに関連付けられたネットワークACLのアウトバウンドルールで、一時ポート(1024-65535)が許可されていることを確認します。 ✓
- E. インスタンス上で実行中のファイアウォールのフィルタリングルールが、ポート80および443のインバウンドトラフィックを許可していることを確認します。 ✓
- F. AWS WAFがインスタンスに対して有効化されており、Webトラフィックをブロックしていることを確認します。
正解: A. インスタンスのセキュリティグループのインバウンドルールが、ポート80および443のトラフィックを許可していることを確認します。, D. インスタンスのサブネットに関連付けられたネットワークACLのアウトバウンドルールで、一時ポート(1024-65535)が許可されていることを確認します。, E. インスタンス上で実行中のファイアウォールのフィルタリングルールが、ポート80および443のインバウンドトラフィックを許可していることを確認します。
解説
Amazon EC2インスタンスがWebサーバーとして構成されているが、Webブラウザからアクセスできない場合、セキュリティグループ、ネットワークACL、およびホスト側ファイアウォールの設定が関係しています。 **A**:セキュリティグループのインバウンドルールは、外部からのHTTP/HTTPSポート(80/443)へのアクセスを許可する必要があります。 **D**:ネットワークACLのアウトバウンドルールは、応答トラフィックをクライアントに返すために一時ポート(1024-65535)を許可する必要があります。 **E**:インスタンスOS内部のファイアウォール(例:iptables)がインバウンドトラフィックをブロックしている可能性があり、そのルールを検証する必要があります。 **出典**:AWSドキュメントにおけるセキュリティグループおよびネットワークACLのトラフィック制御メカニズム、およびインスタンスレベルのファイアウォール設定の影響。