AWS認定資格 WEB問題集&徹底解説
CloudOpsエンジニア -アソシエイト
解説
正解はCです。AWS PrivateLinkを使用したインターフェース型VPCエンドポイントを作成することで、VPC内からプライベートIPアドレスを使ってSecrets Manager APIに直接アクセスできます。この方法では、トラフィックがインターネットを経由せず、すべてAWSネットワーク内で完結するため、セキュリティ要件を満たすことができます。VPCエンドポイントはAWSサービスへのプライベート接続を提供し、パブリックインターネットへの露出を避けることができます。
選択肢A:NAT Gatewayはプライベートサブネットからインターネットへのアウトバウンド通信を可能にするサービスです。トラフィックはインターネットを経由するため、「インターネット経由でのアクセスは許可されない」という要件に違反します。また、データ転送がAWSネットワーク外に出るため不適切です。
選択肢B:AWS Direct Connectはオンプレミス環境とAWSを専用線で接続するサービスです。本問題はVPC内のEC2インスタンスからAWSサービス(Secrets Manager)へのアクセスに関するものであり、オンプレミス接続は要件として言及されていません。また、コスト面でも過剰な構成となります。
選択肢D:Internet Gatewayを使用すると、トラフィックがインターネットを経由することになり、「インターネット経由でのアクセスは許可されない」という明確なセキュリティ要件に反します。セキュリティグループで制限をかけても、通信経路自体がインターネットを通過するため要件を満たしません。
Amazon VPC
AWS PrivateLink
AWS Secrets Manager
選択肢A:NAT Gatewayはプライベートサブネットからインターネットへのアウトバウンド通信を可能にするサービスです。トラフィックはインターネットを経由するため、「インターネット経由でのアクセスは許可されない」という要件に違反します。また、データ転送がAWSネットワーク外に出るため不適切です。
選択肢B:AWS Direct Connectはオンプレミス環境とAWSを専用線で接続するサービスです。本問題はVPC内のEC2インスタンスからAWSサービス(Secrets Manager)へのアクセスに関するものであり、オンプレミス接続は要件として言及されていません。また、コスト面でも過剰な構成となります。
選択肢D:Internet Gatewayを使用すると、トラフィックがインターネットを経由することになり、「インターネット経由でのアクセスは許可されない」という明確なセキュリティ要件に反します。セキュリティグループで制限をかけても、通信経路自体がインターネットを通過するため要件を満たしません。
関連サービスの解説
Amazon EC2Amazon VPC
AWS PrivateLink
AWS Secrets Manager
+ 質問 / コメント
解答・解説に疑問がある場合や、よりよい解説がある場合など、お気軽にコメントください。ただし、短文コメントは表示されません。また、中傷などコメントの内容によっては、会員機能を停止させて頂きます。教え学び合える場になれば嬉しいです。(コメント投稿にはログインが必要です)
正答率 78%
No.12 解説
ある金融機関では、複数のAWSリージョンにまたがるシステムを運用しており、プライベートサブネット内に配置されたEC2インスタンスからAWS Secrets Managerのシークレット情報にアクセスする必要があります。セキュリティ要件として、インターネット経由でのアクセスは許可されておらず、データ転送はすべてAWSネットワーク内で完結させる必要があります。この要件を満たすために、システム管理者として推奨すべき最適な構成はどれですか。
- VPC内にNAT Gatewayを構成し、プライベートサブネットのルートテーブルに0.0.0.0/0宛の経路を追加してSecrets Manager APIへアクセスする
- VPCとオンプレミス環境を接続するAWS Direct Connectを利用し、専用線経由でSecrets Manager APIにアクセスする
- VPC内でAWS PrivateLinkを使用したインターフェース型のVPCエンドポイントを作成し、プライベートIPアドレスを通じてSecrets Manager APIにアクセスする
- Internet Gatewayを作成してVPCにアタッチし、セキュリティグループでSecrets Manager APIのエンドポイントのみ通信を許可する