087-AWS SAP AWS 「理論・実践・一問道場」SG セキュリティグループ間の参照

type

status

date

slug

summary

理論

この問題に関連する本質的な知識は、セキュリティグループの基本的な概念と、最小権限アクセスの原則に基づいたネットワークの設計方法です。

1. セキュリティグループの役割

セキュリティグループは、AWSの仮想ファイアウォールとして、インスタンスやリソースへのアクセスを制御します。セキュリティグループは、インバウンド（受信）とアウトバウンド（送信）トラフィックをフィルタリングするルールを設定します。

インバウンドルール: 外部からインスタンスへのアクセスを許可します。DBクラスタにアクセスする場合、DBクラスタ側のインバウンドルールにEC2インスタンスをソースとして指定します。

アウトバウンドルール: インスタンスから外部へのアクセスを許可します。EC2インスタンスがDBクラスタにアクセスするためには、アウトバウンドルールでDBクラスタを宛先として指定します。

2. 最小権限アクセス

最小権限アクセスの原則は、リソースへのアクセスを最小限に制限することで、セキュリティリスクを減らすことを目的としています。この問題では、EC2インスタンスとAurora DBクラスタ間で、必要最低限の通信だけを許可する設定が求められています。

3. セキュリティグループ間の参照

セキュリティグループ同士をソースや宛先として指定することができ、これによりインスタンス同士の通信を制御します。EC2インスタンスからAurora DBクラスタにアクセスする場合、EC2インスタンスのセキュリティグループをソースに、DBクラスタのセキュリティグループを宛先に指定することで、適切なアクセス権を設定できます。

まとめ

AWSのセキュリティグループを使って最小権限アクセスを実現するためには、インバウンドおよびアウトバウンドのルールを適切に設定し、リソース間のアクセスを明確に制御することが重要です。

実践

略

一問道場

問題 #87

ある会社には、Amazon EC2インスタンスで実行されるアプリケーションがあります。ソリューションアーキテクトは、アプリケーションがAmazon Aurora DBクラスタにアクセスする必要があるAWSリージョンでVPCインフラストラクチャを設計しています。EC2インスタンスはすべて同じセキュリティグループに関連付けられています。DBクラスタは独自のセキュリティグループに関連付けられています。

ソリューションアーキテクトは、最小権限アクセスをDBクラスタに提供するためにセキュリティグループにルールを追加する必要があります。

この要件を満たすために必要な手順の組み合わせはどれですか？（2つ選んでください。）

A. EC2インスタンスのセキュリティグループにインバウンドルールを追加します。DBクラスタのセキュリティグループをソースとして、デフォルトのAuroraポートを指定します。

B. EC2インスタンスのセキュリティグループにアウトバウンドルールを追加します。DBクラスタのセキュリティグループを宛先として、デフォルトのAuroraポートを指定します。

C. DBクラスタのセキュリティグループにインバウンドルールを追加します。EC2インスタンスのセキュリティグループをソースとして、デフォルトのAuroraポートを指定します。

D. DBクラスタのセキュリティグループにアウトバウンドルールを追加します。EC2インスタンスのセキュリティグループを宛先として、デフォルトのAuroraポートを指定します。

E. DBクラスタのセキュリティグループにアウトバウンドルールを追加します。EC2インスタンスのセキュリティグループを宛先として、エフェメラルポートを指定します。

解説

正解は B と C です。

B: EC2インスタンスのセキュリティグループにアウトバウンドルールを追加し、DBクラスタのセキュリティグループを宛先として指定します。

C: DBクラスタのセキュリティグループにインバウンドルールを追加し、EC2インスタンスのセキュリティグループをソースとして指定します。

A は誤りで、EC2インスタンスのインバウンドルールは不要です。D と E はアウトバウンドルールの設定に関して誤りです。