ある企業が AWS Organizations でマルチアカウント環境を構築し、中央の Networking アカウントから全アカウントにインターネットアクセスを提供する集中型インターネットゲートウェイアーキテクチャを実装したいと考えています。各スポークアカウントのプライベートサブネットにある EC2 インスタンスが、中央の NAT Gateway 経由でインターネットにアクセスする構成を最小限の管理負荷で実現するには、どのアーキテクチャが最も適切ですか?
- A. Networking アカウントの VPC をすべてのスポーク VPC と VPC ピアリングで接続し、各ピアリング接続を経由してインターネットにアクセスする
- B. AWS PrivateLink を使用して各スポーク VPC からインターネットへのアクセスを提供する
- C. 各スポークアカウントの VPC に NAT Gateway を個別に作成し、インターネットゲートウェイも各 VPC に設置する
- D. Networking アカウントに Transit Gateway と集中型 NAT Gateway を配置し、スポーク VPC を Transit Gateway にアタッチする。スポーク VPC のルートテーブルでデフォルトルートを Transit Gateway 経由に設定し、Networking アカウントの VPC で NAT Gateway を経由してインターネットに出る集中型 Egress 構成を実装する
解答と解説を見る
正解: D
Transit Gateway を使った集中型 Egress 構成(Centralized Egress)は AWS が推奨するマルチアカウントのインターネットアクセス管理パターンです。NAT Gateway を1か所(Networking アカウント)に集約することで、IP アドレス管理、コスト削減、トラフィック制御が一元化されます。 C: 各 VPC に NAT Gateway を個別作成すると、コストが増加し、管理が分散してセキュリティポリシーの適用も複雑になります。 B: PrivateLink は AWS サービスやプライベートサービスへの接続を提供するものであり、インターネットへのアクセスを提供する機能はありません。 A: VPC ピアリングは推移的ルーティングをサポートしないため、スポーク VPC から Networking VPC を経由してさらにインターネットへ出るルーティングは標準的な VPC ピアリングでは実現できません。
📚 関連サービスの解説: AWS Transit Gateway ・ Amazon VPC