AWS認定資格 WEB問題集&徹底解説

SysOpsアドミニストレーター -アソシエイト

正解 D問題
(お気に入りチェック) 1 2 3 4
解説
正解はD: マウントターゲットに対するセキュリティグループにおいて、EC2 インスタンスによって使用されているセキュリティグループからの受信 NFS 接続が許可されていない。

Amazon EFSファイルシステムをEC2インスタンスにマウントするためには、マウントターゲットのセキュリティグループで、EC2インスタンスのセキュリティグループからのNFS(ポート2049)トラフィックを許可する必要があります。これが設定されていないと、EC2インスタンスはEFSファイルシステムにアクセスできません。

他の選択肢が不適切な理由:
A: EFSマウントターゲットがプライベートサブネットにあることは問題ではありません。むしろ、セキュリティ上の観点からプライベートサブネットに配置することが推奨されます。

B: efs:MountFileSystemアクションはIAMポリシーには必要ありません。EFSマウントに必要な権限は、ネットワークレベル(セキュリティグループ)で制御されます。

C: Amazon EFSはVPCエンドポイントを必要としません。EFSマウントターゲットは直接VPC内に作成され、EC2インスタンスから直接アクセスできます。


関連サービスの解説
Amazon EC2
Amazon Elastic File System (Amazon EFS)
Amazon VPC
AWS Identity and Access Management (AWS IAM)

+ 質問 / コメント
解答・解説に疑問がある場合や、よりよい解説がある場合など、お気軽にコメントください。ただし、短文コメントは表示されません。また、中傷などコメントの内容によっては、会員機能を停止させて頂きます。教え学び合える場になれば嬉しいです。(コメント投稿にはログインが必要です)
正答率 58%
No.6 解説
ある企業が、Amazon EC2 インスタンスの大規模フリート上で、財務トランザクションを処理するアプリケーションを実行しています。また、Amazon Elastic File System (Amazon EFS) を使用して、EC2 インスタンス間でデータを共有しています。 この企業は、アプリケーションを別のアベイラビリティーゾーンに展開したいと考えています。この別のアベイラビリティーゾーン内には既に、新規サブネットおよびマウントターゲットを作成しています。ところが、SysOps アドミニストレーターがこの新規サブネット内で新しい EC2 インスタンスを起動したとき、EC2 インスタンスによってファイルシステムがマウントされません。
この問題の原因は何ですか。
  • EFS マウントターゲットがプライベートサブネット内に作成されている。
  • EC2 インスタンスに関連付けられている IAM ロールにおいて、efs:MountFileSystem アクションが許可されていない。
  • この別のアベイラビリティーゾーン内の Amazon EFS 用 VPC エンドポイントにトラフィックをルーティングするよう、ルーティングテーブルが構成されていない。
  • マウントターゲットに対するセキュリティグループにおいて、EC2 インスタンスによって使用されているセキュリティグループからの受信 NFS 接続が許可されていない。

(会員限定)当問題の評価をお願いします。改善に活用します。