ある企業は AWS Organizations で複数のアカウントを管理しており、中央のネットワークアカウントから全アカウントに共有 VPC サブネットを提供したいと考えています。各ビジネスユニットは独自のアカウントを持ち、リソースをその共有サブネットにデプロイする必要があります。最小限のネットワーク管理負荷で実現するアーキテクチャはどれですか?
- A. Transit Gateway をネットワークアカウントに作成し、各ビジネスユニットのアカウントの VPC をアタッチする。それぞれの VPC に個別のサブネットを作成する
- B. AWS Resource Access Manager(RAM)を使用して、ネットワークアカウントの VPC サブネットを Organizations または特定 OU と共有し、各アカウントのリソースを共有サブネットにデプロイする
- C. AWS PrivateLink を使用して、ネットワークアカウントのサービスエンドポイントを全アカウントに公開する
- D. 各ビジネスユニットのアカウントに VPC を作成し、VPC ピアリングでネットワークアカウントの中央 VPC に接続する
解答と解説を見る
正解: B
AWS RAM を使った VPC 共有(Shared VPC)は、ネットワークアカウントが VPC サブネットを他アカウントと共有し、各アカウントがそのサブネットにリソースをデプロイできる仕組みです。VPC は1つで済むため管理が集中化でき、運用負荷を最小化できます。 D: VPC ピアリングは推移的ルーティングをサポートしないため、アカウント数が増えると管理が複雑になります。各アカウントに VPC を作成する必要があるため共有サブネットの要件を直接満たしません。 A: Transit Gateway はルーティングハブとして有用ですが、各アカウントに VPC とサブネットを別途作成する必要があり、「共有サブネット」への直接デプロイとはなりません。 C: AWS PrivateLink はサービスエンドポイントの共有に使うもので、サブネットリソースの共有には対応していません。
📚 関連サービスの解説: Amazon VPC ・ AWS Organizations