Amazon VPCとは
AWSクラウド内に論理的に隔離されたプライベートネットワークを作成するサービス。CIDRブロックを指定してサブネット(パブリック・プライベート)、ルートテーブル、インターネットゲートウェイを設計する。
セキュリティグループ(インスタンスレベル・ステートフル)とネットワークACL(サブネットレベル・ステートレス)の2層でトラフィックを制御する。VPCピアリングでVPC間のプライベート通信が可能。
試験での問われ方
SAAではパブリックサブネット(インターネットGW経由)とプライベートサブネット(NATゲートウェイ経由)の設計、踏み台(Bastion)ホストの配置が頻出。
セキュリティグループはステートフル(戻りトラフィック自動許可)、NACLはステートレス(戻り通信も明示的に許可)という違いが引っかけの核心。ルール評価順序(NACLは番号順)も問われる。
SAPではVPCピアリング(推移的ルーティング不可・オーバーラップCIDR不可)の制約と、Transit Gatewayで解決できる点が問われる。
このサービスが登場する演習問題(11問)
- 【CLF-C02】ある企業のネットワーク管理者が、VPC内のリソース間のネットワークトラフィックをキャプチャして分析したいと考えています。…
- 【CLF-C02】ある企業が、本番AWSアカウントでの不審な活動を調査しています。セキュリティインシデントの調査に役立つAWSサービスを2…
- 【AIF-C01】ある企業が本番稼働している SageMaker エンドポイントを対象に、AWS Config を活用してセキュリティ設定…
- 【SAA-C03】ある企業が、Amazon ECS タスクで動作するコンテナアプリケーションのネットワークセキュリティを強化したい。特定の…
- 【SAA-C03】ある企業が、Amazon VPC 内のリソースが意図しない外部との通信を行っていないかを監視したい。特に、VPC 内の …
- 【DVA-C02】あるチームがLambda関数でサードパーティAPIを呼び出すコードを運用している。本番環境で「Task timed ou…
- 【SAP-C02】ある企業は AWS Organizations で複数のアカウントを管理しており、中央のネットワークアカウントから全アカ…
- 【SAP-C02】ある企業が AWS Organizations でマルチアカウント環境を構築し、中央の Networking アカウント…
- 【SAP-C02】ある企業が AWS Direct Connect を使ってオンプレミスと AWS を接続しており、この接続を介して S3…
- 【SAP-C02】ある企業が AWS Organizations で管理するマルチアカウント環境で、ネットワークセキュリティを強化したいと…
- 【SAP-C02】ある企業が AWS 上で Amazon EKS(Kubernetes)を使ってマイクロサービスを運用しており、セキュリテ…