SAP-C02既存のソリューションの継続的な改善MEDIUM単一選択

ある企業が AWS Direct Connect を使ってオンプレミスと AWS を接続しており、この接続を介して S3 へのアクセスも行っています。しかし、現在の S3 アクセスはパブリックインターネットを経由しており、Direct Connect 回線の帯域幅を有効活用できていません。また、セキュリティチームは S3 トラフィックがインターネットを経由することを懸念しています。最もシンプルな解決策はどれですか?

  1. A. VPC に S3 のゲートウェイ型 VPC エンドポイントを作成し、VPC のルートテーブルに S3 のプレフィックスリストへのルートを追加する。Direct Connect 経由のオンプレミストラフィックが VPC を通過してエンドポイント経由で S3 にプライベートアクセスするよう設定する
  2. B. オンプレミスに HTTP プロキシサーバーを設置し、S3 へのリクエストを Direct Connect 経由にルーティングする
  3. C. S3 バケットポリシーで Direct Connect の IP アドレスからのアクセスのみを許可し、インターネット経由のアクセスを拒否する
  4. D. CloudFront を S3 の前段に配置し、Direct Connect 経由のオリジンアクセスを設定する
解答と解説を見る

正解: A

S3 のゲートウェイ型 VPC エンドポイントを VPC に作成し、ルートテーブルにエンドポイントルートを追加することで、VPC を経由するすべてのトラフィック(Direct Connect 経由のオンプレミスを含む)がプライベートに S3 にアクセスできます。Direct Connect からのトラフィックは仮想プライベートゲートウェイ経由で VPC に入り、VPC エンドポイント経由でインターネットを経由せずに S3 に到達します。 B: HTTP プロキシサーバーの設置は追加インフラと運用負荷が必要で、設定と管理が複雑になります。 C: バケットポリシーで IP を制限することは追加のセキュリティ層として有効ですが、それだけではトラフィック経路はインターネット経由のままで、帯域幅の有効活用とセキュリティ要件を満たしません。 D: CloudFront を経由することはインターネット経由のアクセスであり、Direct Connect 経由のプライベートアクセスの要件を満たしません。

📚 関連サービスの解説: Amazon VPCAmazon S3
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題