218-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント+プライベートGateway

 

理論

1. API Gatewayのエンドポイントタイプ

API Gatewayには異なるエンドポイントタイプがありますが、セキュリティ要件に応じて選択できます。
  • インターネットエクスポーズ型 (Regional & Edge-Optimized): パブリックインターネットからアクセス可能。
  • プライベートエンドポイント: API GatewayをVPC内に制限し、インターネットからのアクセスを防ぎます。VPCエンドポイントを使うことで、セキュアな通信が可能となります。

2. VPCエンドポイント

VPCエンドポイントは、AWSサービスとVPC内のリソース間でトラフィックをインターネットを通さずに転送するためのものです。
  • インターフェースVPCエンドポイントを使用することで、プライベートIPアドレスでAPI Gatewayに接続できます。これにより、インターネットからのアクセスを遮断し、セキュリティを確保できます。

3. リソースポリシー

API Gatewayにはリソースポリシーが設定可能で、特定のIPアドレスやVPCエンドポイントからのみアクセスを許可できます。これにより、アクセス元を厳密に制御できます。

4. セキュアなデータ通信

VPCエンドポイントを利用すると、インターネットを経由せずにAWSのリソースと安全に通信ができます。API Gatewayへのアクセスもプライベートに保たれ、企業の機密データがインターネットに流れることを防げます。

まとめ

  • プライベートAPI Gateway: VPCエンドポイントを使ってインターネットからのアクセスを防ぎ、セキュリティを強化。
  • リソースポリシー: アクセス元をVPCや特定のエンドポイントに制限することで、APIのセキュリティを向上させる。
API GatewayとVPCの組み合わせにより、セキュアでスケーラブルなプライベートAPIが実現可能です。

実践

一問道場

会社はAWSクラウドでアプリケーションを実行しています。このアプリケーションは、複数のアベイラビリティゾーンにまたがるAmazon EC2インスタンスのフリートの背後にあるアプリケーションロードバランサーで実行されるマイクロサービスで構成されています。会社は最近、Amazon API Gatewayで実装された新しいREST APIを追加しました。古いマイクロサービスのいくつかは、この新しいAPIを呼び出す必要があります。会社は、APIがインターネットからアクセスされないこと、また専有データがインターネットを通過しないことを望んでいます。
解決策アーキテクトは、これらの要件を満たすために何をすべきですか?
A. VPCとAPI Gatewayの間にAWS Site-to-Site VPN接続を作成します。API Gatewayを使用して各マイクロサービス用に一意のAPIキーを生成します。APIメソッドを構成して、キーを必要とします。
B. API Gateway用にインターフェースVPCエンドポイントを作成し、エンドポイントポリシーを設定して特定のAPIへのアクセスのみを許可します。API Gatewayにリソースポリシーを追加して、VPCエンドポイントからのアクセスのみを許可します。API Gatewayのエンドポイントタイプを「プライベート」に変更します。
C. API GatewayをIAM認証を使用するように変更します。EC2インスタンスに割り当てられたIAMロールのIAMポリシーを更新して、API Gatewayへのアクセスを許可します。API Gatewayを新しいVPCに移動し、トランジットゲートウェイを展開してVPCを接続します。
D. AWS Global Acceleratorでアクセラレーターを作成し、アクセラレーターをAPI Gatewayに接続します。すべてのVPCサブネットのルートテーブルを更新して、作成したGlobal AcceleratorエンドポイントIPアドレスへのルートを追加します。各サービスが認証に使用するAPIキーを追加します。

解説

この問題では、API Gatewayをインターネットから非公開にし、EC2インスタンスからのみアクセスできるようにする方法を問うています。要件は、専有データがインターネットを通過せず、APIがパブリックインターネットからアクセスされないことです。

正解:B

Bの解答が最適です。
  • インターフェースVPCエンドポイントを作成し、API Gatewayへのアクセスをプライベートにします。
  • エンドポイントポリシーで特定のAPIへのアクセスのみを許可。
  • リソースポリシーでAPI GatewayがVPCエンドポイントからのアクセスのみを許可します。
  • API Gatewayのエンドポイントタイプを「プライベート」に変更し、インターネット経由でのアクセスを防ぎます。
これにより、APIはVPC内からのみアクセス可能となり、専有データはインターネットを経由せず、セキュアな通信が確保されます。

他の選択肢の問題点

  • A: Site-to-Site VPNはインターネットトラフィックを避ける解決策にはなりません。
  • C: IAM認証を使用しても、APIがインターネットからアクセスできる設定には変わりません。
  • D: Global Acceleratorはパフォーマンス向上のためのサービスで、セキュリティ要件には適しません。
結論: VPC内でプライベートアクセスを実現するには、インターフェースVPCエンドポイントを使用するのが最適です。
Relate Posts
00-AWS SAP「理論・実践・10問道場」
Lazy loaded image
01-AWS SAP「理論・実践・10問道場」
Lazy loaded image
02-AWS SAP「理論・実践・10問道場」
Lazy loaded image
03-AWS SAP「理論・実践・10問道場」
Lazy loaded image
04-AWS SAP 「理論・実践・10問道場」
Lazy loaded image
05-AWS SAP「理論・実践・10問道場」
Lazy loaded image
219-AWS SAP AWS 「理論・実践・一問道場」AWS Config217-AWS SAP AWS 「理論・実践・一問道場」Amazon Kinesis Data Firehose
Loading...
minami
minami
みなみの成長 🐝
Announcement

🎉 ブログへようこそ 🎉

名前: みなみ一人会社
性別:
国籍: China 🇨🇳
政治スタンス: 民主主義支持者
完全独学で基本情報技術者をはじめ、32個の資格を仕事をしながら取得。
現在はIT会社で技術担当として働きながら、ブログ執筆や学習支援にも取り組んでいます。
独学で合格できる学習法や勉強法、試験対策を発信中!

📚 発信内容

  • 💻 IT・システム開発
  • 🏠 不動産 × 宅建士
  • 🎓 MBA 学習記録
 
Catalog
0%