Q90 — AWS SOA-C02 第1章
第 90/100 問 | ← 第1章
ある会社は、複数のAWSアカウントにまたがって本番アプリケーションを管理しています。本番アプリケーションは、Amazon Linux 2を実行するAmazon EC2インスタンス上でホストされており、複数のVPCに分散しています。各VPCは、プライベートDNSのために独自のAmazon Route 53プライベートホストゾーンを使用しています。 アカウントAのVPCは、アカウントBのVPCに関連付けられたプライベートホストゾーンのプライベートDNSレコードを解決する必要があります。 これらの要件を満たすために、SysOps管理者は何を行うべきですか?
- A. アカウントAで、/etc/resolv.confファイルをすべてのEC2インスタンスに対して更新するAWS Systems Managerドキュメントを作成し、アカウントBのVPCのAWS提供デフォルトDNSリゾルバーを指すように設定します。
- B. アカウントAで、アカウントBのプライベートホストゾーンをアカウントAのプライベートホストゾーンに関連付けるAWS CloudFormationテンプレートを作成します。
- C. アカウントAで、AWS CLIを使用してVPC関連付け承認を作成します。関連付けが作成されたら、アカウントBでAWS CLIを使用して、アカウントAのVPCをアカウントBのプライベートホストゾーンに関連付けます。
- D. アカウントBで、AWS CLIを使用してVPC関連付け承認を作成します。関連付けが作成されたら、アカウントAでAWS CLIを使用して、アカウントBのVPCをアカウントAのプライベートホストゾーンに関連付けます。 ✓
正解: D. アカウントBで、AWS CLIを使用してVPC関連付け承認を作成します。関連付けが作成されたら、アカウントAでAWS CLIを使用して、アカウントBのVPCをアカウントAのプライベートホストゾーンに関連付けます。
解説
AWSは、Route 53のプライベートホストゾーンを跨アカウントで共有することを許可しています。AWSドキュメントによると、プライベートホストゾーンの所有者は、アカウントBでAWS CLIを用いてVPC関連付け承認を作成し、アカウントAのVPCがアクセスできるように承認する必要があります。その後、アカウントAの管理者がアカウントBのVPCをそのプライベートホストゾーンに関連付けます。選択肢Dはこのメカニズムに合致しており、他の選択肢はリソースの所有権または操作順序がAWSの跨アカウントプライベートホストゾーン共有手順に反しています。AWS公式ガイドラインでは、関連付け承認はホストゾーンが存在するアカウントから発行されることが明記されています。