A不正解
セキュリティグループ
セキュリティグループはインスタンス単位でステートフルに動作し、許可ルールのみを設定します。
サブネット単位で拒否ルールも設定できるステートレスな機能ではないため不正解です。
サブネット単位で通信を制御し、許可ルールだけでなく明示的な拒否ルールも設定できる、ステートレスなファイアウォール機能はどれですか。
1 / 1
回答を選択してください
正解C
解説
サブネット単位・ステートレス・拒否可能なファイアウォールを選ぶ問題。
- 1「サブネット単位」サブネット境界での制御=NACL
- 2「明示的な拒否ルールも設定できる」許可だけでなく拒否も書ける(NACL の特徴)
- 3「ステートレス」戻り通信も明示的にルールが必要
B不正解
ルートテーブル
ルートテーブルは経路(宛先と転送先)を決めるもので、通信の許可/拒否を判定しません。
ファイアウォール機能ではないため不正解です。
C正解
ネットワーク ACL(NACL)
正解。ネットワーク ACL(NACL)は、サブネット単位で通信を制御するステートレスなファイアウォールです。許可ルールに加えて明示的な拒否ルールも設定でき、サブネットの境界で不要な通信を遮断できます。ステートレスのため戻り通信のルールも明示が必要です。
D不正解
IAM ポリシー
IAM ポリシーはAWS API 操作の権限(誰が何をできるか)を定義するものです。
ネットワーク通信をサブネット単位で制御する機能ではないため不正解です。
ポイント
NACL = サブネット単位・ステートレス・許可/拒否の両方。セキュリティグループ = インスタンス単位・ステートフル・許可のみ。この対比が頻出。