A不正解
インターネットゲートウェイ
インターネットゲートウェイは、VPC(AWS 上に作る自分専用の仮想ネットワーク)とインターネットを接続するコンポーネントです。
個々のインスタンスの通信を許可制御するファイアウォールではないため不正解です。
個々の EC2 インスタンスに対して、許可する通信(インバウンド/アウトバウンド)をポートや送信元ごとに制御する、インスタンスレベルの仮想ファイアウォールはどれですか。
1 / 1
回答を選択してください
正解B
解説
インスタンスレベルの仮想ファイアウォールを選ぶ問題。
- 1「個々の EC2 インスタンス」インスタンス単位の制御=セキュリティグループ
- 2「インスタンスレベルの仮想ファイアウォール」セキュリティグループの定義そのもの
- 3「許可する通信」許可ルールベースで制御する
B正解
セキュリティグループ
正解。セキュリティグループは EC2 インスタンスなどに割り当てる仮想ファイアウォールで、ポートや送信元/宛先ごとに許可ルールを設定します。ステートフルで、許可した通信の戻りは自動的に許可されます。インスタンス単位の通信制御の基本です。
C不正解
ルートテーブル
ルートテーブルは、サブネット内のトラフィックの宛先と転送先を決める経路情報です。
通信の許可/拒否を判定するファイアウォールではないため不正解です。
D不正解
Amazon CloudFront
CloudFront は、コンテンツを CDN(コンテンツ配信ネットワーク。世界中のエッジ拠点にキャッシュし、利用者の近くから高速に配信する仕組み) で配信するサービスです。
インスタンスレベルの通信を制御するファイアウォールではないため不正解です。
ポイント
セキュリティグループ = インスタンス単位・ステートフル・許可ルールのみ。サブネット単位・ステートレス・許可/拒否両方は NACL。レイヤーと特性で区別する。