A不正解
インターネットゲートウェイ(IGW)
IGW は双方向のインターネット通信を可能にし、インターネット側からの受信も許してしまいます。
外向き通信だけを許可して直接アクセスを防ぎたい要件には合わないため不正解です。
プライベートサブネットにあるサーバから、ソフトウェア更新のためにインターネットへ外向きの通信だけを許可し、インターネットからの直接アクセスは受けたくありません。最も適したコンポーネントはどれですか。
1 / 1
回答を選択してください
正解B
解説
プライベートサブネットの外向き通信を可能にするコンポーネントを選ぶ問題。
- 1「プライベートサブネット」インターネットから隔離されたサブネット
- 2「外向きの通信だけを許可」アウトバウンドのみ=NAT ゲートウェイ
- 3「直接アクセスは受けたくありません」インバウンドは遮断したい
B正解
NAT ゲートウェイ
正解。NAT ゲートウェイは、プライベートサブネットのインスタンスが外向き通信できるようにしつつ、インターネット側からの直接の受信は許可しないコンポーネントです。ソフトウェア更新などの外向き通信に適しています。
C不正解
Egress-Only インターネットゲートウェイ
Egress-Only インターネットゲートウェイは、外向きのみの通信を許可する点は同じですが、IPv6 トラフィック専用 のコンポーネントです。
一般的なソフトウェア更新で使う IPv4 の外向き通信 には NAT ゲートウェイを使うため不正解です。
D不正解
VPC エンドポイント
VPC エンドポイントは、S3 などの AWS サービスへインターネットを経由せずアクセスする ための私設経路です。
接続先は AWS サービスに限られ、外部のリポジトリなど インターネット上の更新サーバへ出ていく 本問の要件は満たせないため不正解です。
ポイント
『プライベートサブネット』『外向き通信のみ』は NAT ゲートウェイ。双方向のインターネット接続(パブリック)は IGW、IPv6 の外向き専用は Egress-Only IGW、AWS サービスへの私設経路は VPC エンドポイント。向きと対象で使い分ける。