type
status
date
slug
summary
tags
category
icon
password
理論
1. VPCエンドポイント
- VPCエンドポイントは、Amazon VPC内からAWSサービス(例:Amazon S3、AWS Systems Manager)にプライベートにアクセスするためのリソースです。
- VPCエンドポイントを使用することで、インターネットを経由せずに、AWSリソースへのアクセスができます。これによりセキュリティが向上し、データ転送が高速化します。
2. VPCピアリング
- VPCピアリングは、異なるVPC間でプライベートIPアドレスを使って通信を行うための接続方法です。
- 一方のVPCから別のVPCに直接アクセスすることができ、セキュアな接続を確立できます。ただし、VPCピアリングは設定が複雑になることがあり、特に複数のVPCを接続する場合には注意が必要です。
3. AWS Systems Manager (SSM)
- AWS Systems Managerは、AWSのインフラを管理するためのサービスです。パッチ管理や設定管理、リモートコマンドの実行、インスタンス管理などが行えます。
- パッチマネジメントでは、EC2インスタンスに対して自動的にパッチを適用することができます。これにより、手動でのパッチ管理の手間を減らし、セキュリティを向上させます。
4. Amazon S3
- *Amazon S3 (Simple Storage Service)**は、オブジェクトストレージサービスで、データを安全に保存するための場所を提供します。
- S3には、VPCエンドポイントを使用してプライベートにアクセスすることができます。これにより、インターネット経由でアクセスすることなく、安全にデータをやり取りできます。
5. トランジットゲートウェイ
- トランジットゲートウェイは、複数のVPCやオンプレミスネットワークを接続するためのサービスです。大規模なネットワークを統合管理でき、VPC間やVPCとオンプレミスの接続を一元化できます。
これらのサービスを適切に組み合わせることで、セキュアで効率的なAWSインフラ管理が可能になります。
実践
略
一問道場
問題 #521
ある企業が、アプリケーションアカウント内のAmazon EC2インスタンスのパッチ管理方法を変更しています。現在、企業はインターネット経由で、アプリケーションアカウント内のVPCのNATゲートウェイを使用してインスタンスにパッチを適用しています。企業は、コアアカウント内の専用のプライベートVPCに設定されたEC2インスタンスをパッチソースリポジトリとして使用しています。企業は、AWS Systems Manager Patch Managerを使用し、コアアカウント内のパッチソースリポジトリを使用してアプリケーションアカウント内のEC2インスタンスにパッチを適用したいと考えています。
企業は、アプリケーションアカウント内のすべてのEC2インスタンスがインターネットにアクセスするのを防ぐ必要があります。また、アプリケーションデータが保存されているAmazon S3へのアクセスが必要です。さらに、アプリケーションアカウント内のEC2インスタンスは、Systems Managerおよびコアアカウント内のプライベートVPCにあるパッチソースリポジトリへの接続が必要です。
どの解決策がこれらの要件を満たすでしょうか?
選択肢:
A.
- アウトバウンドトラフィックをポート80でブロックするネットワークACLを作成します。
- アプリケーションアカウント内のすべてのサブネットにネットワークACLを関連付けます。
- アプリケーションアカウントおよびコアアカウント内にカスタムVPNサーバーを実行するEC2インスタンスを1台ずつデプロイします。
- VPNトンネルを作成してプライベートVPCにアクセスします。
- アプリケーションアカウントのルートテーブルを更新します。
B.
- Systems ManagerおよびAmazon S3用のプライベートVIFを作成します。
- アプリケーションアカウント内のVPCからNATゲートウェイを削除します。
- トランジットゲートウェイを作成してコアアカウント内のパッチソースリポジトリEC2インスタンスにアクセスします。
- コアアカウントのルートテーブルを更新します。
C.
- Systems ManagerおよびAmazon S3用のVPCエンドポイントを作成します。
- アプリケーションアカウント内のVPCからNATゲートウェイを削除します。
- パッチソースリポジトリEC2インスタンスにアクセスするためにVPCピアリング接続を作成します。
- 両方のアカウントのルートテーブルを更新します。
D.
- インバウンドトラフィックをポート80でブロックするネットワークACLを作成します。
- アプリケーションアカウント内のすべてのサブネットにネットワークACLを関連付けます。
- トランジットゲートウェイを作成してコアアカウント内のパッチソースリポジトリEC2インスタンスにアクセスします。
- 両方のアカウントのルートテーブルを更新します。
解説
Cの解説:
- VPCエンドポイントを使用して、Systems ManagerとAmazon S3へのプライベート接続を確保します。これにより、アプリケーションアカウント内のEC2インスタンスはインターネットにアクセスせず、S3やSystems Managerにアクセスできます。
- VPCピアリング接続を使用して、コアアカウントのパッチソースリポジトリにアクセスするための接続を作成します。この方法は、インターネット接続を避けつつ、プライベートネットワークを通じてアクセスできるため、要件に適しています。
他の選択肢との比較:
- BではプライベートVIF(Virtual Interface)を使用する提案があり、これも可能ですが、VPCエンドポイントを使用する方がシンプルで効率的です。
- AとDは、構成が複雑であり、要件に合わない部分があるため不適切です。
Cの選択肢は、セキュアでシンプルな接続方式を提供し、要求された要件(インターネットアクセスなし、必要なサービスへのアクセス)を満たす最適な方法です。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/180d7ae8-88e2-80be-9c67-eaae2e61331f
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
