ある企業が、Lambda 関数を使って VPC 内のプライベートサブネットに配置した RDS データベースにアクセスしたい。Lambda 関数は VPC 外(パブリック)に配置されており、インターネットを経由せずに RDS へ接続する必要がある。最も適切な構成はどれか。
- A. Lambda 関数に Elastic IP を割り当て、RDS のセキュリティグループでその IP アドレスからのアクセスを許可する。
- B. VPC ピアリングを使って Lambda 専用の VPC と RDS の VPC を接続する。
- C. Lambda 関数を RDS と同じ VPC のプライベートサブネットに配置(VPC 設定)し、Lambda のセキュリティグループから RDS のセキュリティグループへのインバウンドを許可する。
- D. RDS エンドポイントをパブリックに設定し、Lambda 関数からインターネット経由で接続する。
解答と解説を見る
正解: C
Lambda 関数を VPC に接続する(VPC 設定)と、Lambda は指定したサブネットと ENI を使って VPC 内のリソースにアクセスできるようになる。RDS のセキュリティグループで Lambda のセキュリティグループからのインバウンドを許可することで、プライベートなネットワーク通信が実現できる。この構成はインターネットを経由しないため、セキュリティ要件も満たす。選択肢AはLambdaに Elastic IP を割り当てることはできない(Lambda はサーバーレスであり直接 EIP をアタッチできない)。選択肢DはRDS をパブリックエンドポイントで公開することになり、インターネット経由での接続となってプライベート通信要件に反する。選択肢BはLambda は VPC ピアリングを単体で使う構成ではなく、Lambda 自体を VPC に配置するのが標準的な方法である。
📚 関連サービスの解説: AWS Lambda ・ Amazon RDS