A不正解
インターネットゲートウェイ経由で接続する
インターネットゲートウェイ (IGW) は、VPC をインターネットに接続するためのコンポーネントです。
インターネットを経由させたくない本問の要件とは逆のため不正解です。
ある金融企業が、VPC 内のアプリから Amazon Bedrock を呼び出す通信を、インターネットを経由させずにプライベートな経路で行いたいと考えています。最も適した方法はどれですか。
1 / 1
回答を選択してください
正解C
解説
Bedrock へインターネットを経由せず接続する方法を選ぶ問題。
- 1「インターネットを経由させずに」通信を 公衆インターネットに出さない 必要がある
- 2「プライベートな経路で」AWS ネットワーク内で完結=PrivateLink / VPC エンドポイント
B不正解
Amazon CloudFront で配信する
Amazon CloudFront は、コンテンツをエッジでキャッシュして低遅延配信する CDN サービスです。
VPC から Bedrock へのプライベート接続を実現するものではないため不正解です。
C正解
AWS PrivateLink の VPC エンドポイントを使う
正解。AWS PrivateLink(インターフェイス型 VPC エンドポイント)を使うと、VPC から AWS サービスへインターネットを経由せずプライベートな経路で接続できます。通信が AWS ネットワーク内に留まり、機密データを社外に出さずに済みます。
D不正解
NAT ゲートウェイ経由で接続する
NAT ゲートウェイを使うと、プライベートサブネットのリソースが自分からインターネットに出ることはできます。
ただし通信そのものはインターネットを経由して Bedrock のパブリックエンドポイントへ向かうため、『インターネットを経由させない』という要件を満たせず不正解です。
ポイント
正解の『PrivateLink(VPC エンドポイント)』が効く仕組みを押さえます。
・VPC から Bedrock 等の AWS サービスへ、インターネットを経由せずプライベートに接続する。
・通信が AWS ネットワーク内に留まり、機密データを公衆網に出さずに済む。
・ファインチューニングや推論時の機密データ保護で問われやすい。
IGW(インターネット接続)・CloudFront(配信)・全ポート開放(危険設定)は要件に合いません。