Q79 — AWS SOA-C02 第1章

第 79/100 問 | ← 第1章

ある企業のパブリックウェブサイトは、us-east-1リージョンのAmazon S3バケットにホストされており、Amazon CloudFrontディストリビューションの背後で動作しています。企業は、このウェブサイトがDDoS攻撃から保護されることを保証したいと考えています。SysOps管理者は、DDoS対策が適用されるレート制限を企業が制御できるソリューションを展開する必要があります。 これらの要件を満たすソリューションはどれですか?

正解: A. グローバルスコープのAWS WAF Web ACLをデプロイし、デフォルトアクションを許可に設定します。AWS WAFのレートベースルールを設定して一致するトラフィックをブロックし、Web ACLをCloudFrontディストリビューションに関連付けます。

解説

AWS WAFとAmazon CloudFrontの統合は、DDoS攻撃に対する防御に使用されます。AWS公式ドキュメントによると、WAFのレート制限ルールはCloudFrontディストリビューションに関連付ける必要があり、グローバルスコープのWeb ACLはクロスリージョンリソースに適用されます。選択肢Aは、グローバルWeb ACLを正しく設定し、デフォルトでトラフィックを許可しつつ、レート制限を超えた要求のみをブロックするように構成されています。他の選択肢では、BはWeb ACLをS3ではなくCloudFrontに関連付けるべきところを誤ってS3に設定しており、CおよびDはデフォルトでブロックする設定により正当なトラフィックが遮断される可能性があり、レートルールの適用も正しくありません。