type
status
date
slug
summary
tags
category
icon
password
理論
1. VPN(Virtual Private Network)とその利用目的
- VPNとは: VPNは、インターネット越しに安全な接続を提供するための技術です。通常、インターネットは公開されているネットワークであり、そこに送受信されるデータは暗号化されていないため、盗聴や改ざんのリスクがあります。VPNは、その通信を暗号化し、セキュリティを保ちつつ、プライベートネットワークへのアクセスを可能にします。
- VPNの利用目的: 主に、リモートワークや外部のネットワークから企業の内部ネットワークに安全に接続するために使用されます。企業の内部リソース(ファイルサーバー、データベース、アプリケーションなど)に対して、インターネット経由で安全にアクセスするための手段として広く使われています。
2. データの保存とアーカイブ
- データアーカイブ: 長期保存が求められるデータ(例えば、バックアップデータやアーカイブ文書など)は、アクセス頻度が低いため、コスト効率を重視したストレージクラスを利用することが一般的です。例えば、Amazon S3 GlacierやDeep Archiveは、データの保管には非常に安価ですが、アクセスの遅延が大きく、頻繁にアクセスされないデータに適しています。
3. セキュアなアクセス方法
- インターフェースエンドポイント: AWSでは、VPC内からS3バケットや他のAWSサービスにアクセスする際にインターフェースエンドポイントを設定することができます。これにより、インターネット越しにデータが流れることなく、AWS内のプライベートネットワーク経由でアクセスできます。これにより、セキュリティが向上し、外部からの攻撃リスクを低減できます。
- スプリットトンネルとは、VPNを使うときに、一部の通信(例えば、会社のシステムへのアクセス)はVPNを通して、その他の通信(インターネットのウェブサイトへのアクセスなど)はVPNを通さず直接インターネットに繋がるようにする設定です。これにより、VPNの負担を軽減できますが、安全性には注意が必要です。
これらの前提知識は、この問題のように企業が内部データを安全に保管し、限られたユーザーにのみアクセスを許可するための最適な技術選定に重要です。問題の本質は、低コストでセキュアなデータ保存とアクセス制御を実現する方法を選択することにあります。
実践
参照元:
上記の記事を参照して下記の構成を完成してください
- S3バケット作成
s3-for-vpn-clientという名前のS3バケットを作成します。
- Interface Endpoint と Gateway Endpoint の作成
- 必要なインターフェイスエンドポイント(Interface Endpoint)とゲートウェイエンドポイント(Gateway Endpoint)を作成します。
- 理由は下記の記事を参照して
- 証明書発行環境のセットアップ
- 下記の記事を参考にして、AWS CloudShellで証明書発行環境を高速セットアップします。
- 相互認証を有効にする
- AWS Client VPNの相互認証を有効にする手順を確認します。
- DNSサーバの設定
- クライアントVPNエンドポイントにDNSサーバを設定し、名前解決ができるようにします。特に、最後のオクテットが2のIPを指定します。
- ターゲットネットワークの指定
- 必要なターゲットネットワークを指定します。
- 認証ルールの追加
- 認証ルールを追加して、セキュリティを強化します。
- S3バケットポリシーの設定
- 以下のように、特定のVPCエンドポイントからアクセスを許可するS3バケットポリシーを設定します。
- 接続テスト
- 接続が正常に動作するか確認するため、以下のコマンドを実行してテストを行います。
一問道場
質問
ある企業が、大量のアーカイブ文書を保存し、従業員が企業のイントラネットを通じてアクセスできるようにすることを計画しています。従業員は、クライアントVPNサービスを通じてVPCに接続し、システムにアクセスします。
データは公開されるべきではありません。保存される文書は、他の物理メディアにも保管されているデータのコピーです。リクエスト数は少なく、可用性や取得速度は重要ではありません。
この要件を満たすために、最も低コストで実現できるソリューションはどれですか?
選択肢
- A
Amazon S3バケットを作成し、S3 One Zone-Infrequent Access (S3 One Zone-IA)ストレージクラスをデフォルトに設定。
S3バケットをウェブサイトホスティング用に設定し、S3インターフェースエンドポイントを作成して、バケットへのアクセスをそのエンドポイントからのみ許可する。
- B
Amazon EC2インスタンスを起動し、ウェブサーバーを実行。
Amazon Elastic File System (EFS)を接続し、EFS One Zone-Infrequent Access (EFS One Zone-IA)ストレージクラスを使用。
インスタンスのセキュリティグループを設定して、アクセスをプライベートネットワークからのみ許可する。
- C
Amazon EC2インスタンスを起動し、ウェブサーバーを実行。
Amazon Elastic Block Store (EBS)ボリュームを接続し、Cold HDD (sc1)ボリュームタイプを使用。
インスタンスのセキュリティグループを設定して、アクセスをプライベートネットワークからのみ許可する。
- D
Amazon S3バケットを作成し、S3 Glacier Deep Archiveストレージクラスをデフォルトに設定。
S3バケットをウェブサイトホスティング用に設定し、S3インターフェースエンドポイントを作成して、バケットへのアクセスをそのエンドポイントからのみ許可する。
解説
このケースでは、以下の要件があります:
- データは公開されるべきではない → アクセス制御が必要。
- 保存される文書は他の物理メディアにあるデータのコピー → 可用性や耐久性が低くても許容可能。
- リクエスト数は少なく、可用性や取得速度は重要ではない → コストを最優先。
これらの要件に基づき、最適な選択肢は以下です:
正解:D
理由:
- Amazon S3 Glacier Deep Archiveは、非常に低頻度のアクセス向けに最適化された最安価なストレージオプションです。
- データが公開されないように、S3インターフェースエンドポイントを使用し、イントラネット経由のアクセスを制御できます。
- 可用性や取得速度が重要ではないため、取得に数時間かかるGlacier Deep Archiveが適切です。
他の選択肢の考察:
- A:
- S3 One Zone-IAは低頻度アクセス向けですが、Glacier Deep Archiveほど低コストではありません。
- バケットホスティングが不要な要件である点も不適合。
- B:
- EFS One Zone-IAはコストが高く、スケールや性能が不要なこのシナリオにはオーバースペック。
- C:
- *EBS Cold HDD (sc1)**はコスト効率が良いものの、EC2を常時起動する必要があり、ストレージコスト以上に運用コストが発生します。
補足:
S3 Glacier Deep Archiveは非常に低コストですが、取得には最低12時間以上の遅延があるため、取得速度が重要な要件ではないことを再確認してから選択するのが重要です。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/160d7ae8-88e2-80f9-b7ab-c95b971c0ab9
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
