A不正解
パブリックサブネットに配置し、インターネットゲートウェイへの経路を設定する
パブリックサブネットはインターネットゲートウェイへの経路を持ち、外部から直接到達できる配置です。
データベースを直接アクセスから守りたい要件と正反対のため不正解です。
データベースサーバをインターネットから直接アクセスできないように保護したい場合、VPC 内でどのように配置するのが最も適切ですか。
1 / 1
回答を選択してください
正解D
解説
DB をインターネットから隔離する VPC 内の配置方法を選ぶ問題。
- 1「インターネットから直接アクセスできないように」外部からの直接到達を遮断する=プライベートサブネット
- 2「VPC 内でどのように配置」サブネットの種類による隔離
- 3「データベースサーバ」外部公開が不要なバックエンドリソース
B不正解
VPC の外(インターネット上)に直接配置する
VPC の外に配置するという構成はAWS のネットワーク設計として適切でなく、保護にもなりません。
インターネットから守る要件を満たさないため不正解です。
C不正解
ルートユーザーでログインできるサブネットに配置する
ルートユーザーは AWS アカウントの管理者で、サブネットの配置とは無関係の概念です。
ネットワーク的な隔離の方法ではないため不正解です。
D正解
プライベートサブネットに配置し、インターネットへの直接の経路を持たせない
正解。プライベートサブネットはインターネットゲートウェイへの直接の経路を持たないため、外部から直接アクセスされません。データベースなど外部公開不要なリソースをここに配置し、必要な場合のみ NAT ゲートウェイ経由で外向き通信を行うことで安全に保護できます。
ポイント
外部公開不要なリソース(DB など)は プライベートサブネット(IGW への直接経路なし)に配置して隔離する。外向き通信が必要なら NAT ゲートウェイ経由。公開が必要な Web サーバはパブリックサブネット。