type
status
date
slug
summary
tags
category
icon
password
理論
AWS PrivateLinkを利用した安全なサービス公開に関する汎用的知識
1. AWS PrivateLinkとは
- 定義: AWS PrivateLinkは、インターネットを経由せず、VPC内で安全にサービスを公開・利用できる仕組み。
- 主な利用ケース:
- 機密データを扱うサービスの安全な共有。
- 他のAWSアカウントやVPCへのサービス提供。
2. PrivateLinkの構成要素
- VPCエンドポイントサービス: サービスを提供するためのエンドポイント。
- Network Load Balancer (NLB): TCP/UDPトラフィックを処理するロードバランサー。
- エンドポイント: サービスを利用する側のVPC内で作成される接続ポイント。
3. PrivateLinkの利点
- セキュリティ: トラフィックがインターネットを経由しないため、安全性が高い。
- シンプルな接続: サービス提供者と利用者間で簡単に接続を確立できる。
- 低レイテンシ: データ転送がAWSの内部ネットワークで行われるため、高速。
4. 構築の基本手順
- Network Load Balancer (NLB)の設定: サービスをホストするインスタンスをターゲットとして登録。
- VPCエンドポイントサービスの作成: NLBをバックエンドに設定。
- サービス利用者の設定: エンドポイントを作成し、サービスに接続。
5. PrivateLink利用時の注意点
- プロトコルの制限: NLBはTCP/UDPに対応しており、HTTP/HTTPSは直接サポートしない(ALBは使用不可)。
- コスト: VPCエンドポイントやNLBの利用料金が発生する。
- 接続範囲: 同じリージョン内またはクロスアカウントで利用可能。
関連ユースケース
- オンプレミスとAWS間の接続: Direct Connectを活用し、プライベートな通信を実現。
- B2Bサービスの提供: 他社向けに安全なAWSサービスを公開。
これらを理解することで、AWS環境でのセキュリティとパフォーマンスを最適化できます。
実践
略
一問道場
Question #463
ある会社は、オンプレミスのデータセンターで多数のサービスを運用しています。データセンターは、AWS Direct Connect (DX) と IPSec VPN を使用して AWS に接続されています。このサービスのデータは機密性が高く、インターネットを経由する接続は許可されていません。
この会社は、新しい市場セグメントに進出し、AWS を使用している他の企業にサービスを提供し始めたいと考えています。
どのソリューションがこれらの要件を満たしますか?
A. TCP トラフィックを受け入れる VPC エンドポイントサービスを作成し、Network Load Balancer の背後にホストし、サービスを DX 経由で利用可能にする。
B. HTTP または HTTPS トラフィックを受け入れる VPC エンドポイントサービスを作成し、Application Load Balancer の背後にホストし、サービスを DX 経由で利用可能にする。
C. VPC にインターネットゲートウェイをアタッチし、関連するインバウンドおよびアウトバウンドトラフィックを許可するようにネットワークアクセス制御およびセキュリティグループルールを設定する。
D. VPC に NAT ゲートウェイをアタッチし、関連するインバウンドおよびアウトバウンドトラフィックを許可するようにネットワークアクセス制御およびセキュリティグループルールを設定する。
解説
この問題では、オンプレミスのデータセンターとAWS間の接続を安全に維持しながら、AWSを利用する他社にサービスを提供する方法が問われています。各選択肢について詳しく解説します。
A. TCP トラフィックを受け入れる VPC エンドポイントサービスを作成し、Network Load Balancer の背後にホストし、サービスを DX 経由で利用可能にする。
- 説明:
- VPCエンドポイントサービス(PrivateLink) を使用することで、他のAWSアカウントに安全にサービスを公開可能。
- Network Load Balancer (NLB) はTCPトラフィックを処理し、Direct Connectを通じて通信できる。
- インターネットを経由しないため、機密データの要件を満たす。
- 結論: この選択肢は要件を完全に満たします。
B. HTTP または HTTPS トラフィックを受け入れる VPC エンドポイントサービスを作成し、Application Load Balancer の背後にホストし、サービスを DX 経由で利用可能にする。
- 説明:
- Application Load Balancer (ALB) はHTTP/HTTPSトラフィックを処理します。
- しかし、ALBはVPCエンドポイントサービス(PrivateLink)には対応していません。
- このため、ALBを使用するこの選択肢は要件を満たしません。
- 結論: 不正解。
C. VPC にインターネットゲートウェイをアタッチし、関連するインバウンドおよびアウトバウンドトラフィックを許可するようにネットワークアクセス制御およびセキュリティグループルールを設定する。
- 説明:
- インターネットゲートウェイをアタッチすることで、インターネット経由でサービスを公開できます。
- しかし、インターネットを経由しないという要件を満たさないため、適切ではありません。
- 結論: 不正解。
D. VPC に NAT ゲートウェイをアタッチし、関連するインバウンドおよびアウトバウンドトラフィックを許可するようにネットワークアクセス制御およびセキュリティグループルールを設定する。
- 説明:
- NATゲートウェイは、プライベートサブネット内のインスタンスがインターネットに接続するために使用されます。
- しかし、サービスを他社に提供する仕組みとしては不適切であり、Direct Connectを利用しない。
- 結論: 不正解。
正解: A
理由:
- VPCエンドポイントサービス(PrivateLink) は、サービスを他社に安全に公開する最適な方法です。
- Direct Connect を介して通信し、インターネットを経由しないため、機密性の高いデータの要件を満たします。
- Network Load Balancer (NLB) はTCPトラフィックを処理するため、要件に適合します。
補足
- VPCエンドポイントサービス(PrivateLink): 他のAWSアカウントやVPC間で、インターネットを経由せずにプライベートネットワーク上でサービスを共有可能。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/17bd7ae8-88e2-8025-8eeb-fae90384aafd
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
