SAP-C02新しいソリューションのための設計HARD単一選択

ある企業が複数の AWS アカウントにまたがるセキュアなネットワークアーキテクチャを設計しています。各アカウントのワークロードは、プライベートなサービスとして他のアカウントのワークロードから利用されますが、VPC ピアリングを使いたくないと考えています。また、各サービスのコンシューマーはサービスのプロバイダーのネットワーク構成を知らなくてもアクセスできる設計にしたいと考えています。最も適切なアーキテクチャはどれですか?

  1. A. AWS PrivateLink(VPC エンドポイントサービス)を使用して、プロバイダー側のサービス(NLB ベース)をエンドポイントサービスとして登録し、コンシューマー側のアカウントからインターフェース型 VPC エンドポイントを作成してプライベートにアクセスする
  2. B. Transit Gateway でアカウント間の VPC を接続し、ルートテーブルで通信を制御する
  3. C. 各アカウント間で VPC ピアリングを設定し、セキュリティグループでトラフィックを制御する
  4. D. インターネット経由で HTTPS で通信し、IAM 認証と TLS で保護する
解答と解説を見る

正解: A

AWS PrivateLink によるエンドポイントサービスは、プロバイダーの VPC ネットワーク情報をコンシューマーに公開せずにサービスを提供できます。コンシューマーは VPC エンドポイントの DNS 名でサービスにアクセスするだけで、VPC のアドレス重複の問題も発生しません。アカウント単位でのアクセス制御も可能です。 C: VPC ピアリングを使いたくないという要件に反します。また、ピアリングは推移的ルーティングをサポートせず、多数のアカウント間では管理が複雑です。 B: Transit Gateway はルーティングハブとして有効ですが、ネットワーク構成の公開(CIDR 範囲の共有)が必要で「ネットワーク構成を知らなくてもアクセスできる」要件と合いません。 D: インターネット経由の通信はプライベートネットワーク要件を満たさず、セキュリティリスクが高くなります。

📚 関連サービスの解説: AWS PrivateLink/VPCエンドポイントElastic Load Balancing(ELB)
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題