463-AWS SAP AWS 「理論・実践・一問道場」PrivateLink NLB

 

理論

AWS PrivateLinkを利用した安全なサービス公開に関する汎用的知識

1. AWS PrivateLinkとは

  • 定義: AWS PrivateLinkは、インターネットを経由せず、VPC内で安全にサービスを公開・利用できる仕組み。
  • 主な利用ケース:
    • 機密データを扱うサービスの安全な共有。
    • 他のAWSアカウントやVPCへのサービス提供。

2. PrivateLinkの構成要素

  • VPCエンドポイントサービス: サービスを提供するためのエンドポイント。
  • Network Load Balancer (NLB): TCP/UDPトラフィックを処理するロードバランサー。
  • エンドポイント: サービスを利用する側のVPC内で作成される接続ポイント。

3. PrivateLinkの利点

  • セキュリティ: トラフィックがインターネットを経由しないため、安全性が高い。
  • シンプルな接続: サービス提供者と利用者間で簡単に接続を確立できる。
  • 低レイテンシ: データ転送がAWSの内部ネットワークで行われるため、高速。

4. 構築の基本手順

  1. Network Load Balancer (NLB)の設定: サービスをホストするインスタンスをターゲットとして登録。
  1. VPCエンドポイントサービスの作成: NLBをバックエンドに設定。
  1. サービス利用者の設定: エンドポイントを作成し、サービスに接続。

5. PrivateLink利用時の注意点

  • プロトコルの制限: NLBはTCP/UDPに対応しており、HTTP/HTTPSは直接サポートしない(ALBは使用不可)。
  • コスト: VPCエンドポイントやNLBの利用料金が発生する。
  • 接続範囲: 同じリージョン内またはクロスアカウントで利用可能。

関連ユースケース

  • オンプレミスとAWS間の接続: Direct Connectを活用し、プライベートな通信を実現。
  • B2Bサービスの提供: 他社向けに安全なAWSサービスを公開。
これらを理解することで、AWS環境でのセキュリティとパフォーマンスを最適化できます。

実践

一問道場

Question #463

ある会社は、オンプレミスのデータセンターで多数のサービスを運用しています。データセンターは、AWS Direct Connect (DX) と IPSec VPN を使用して AWS に接続されています。このサービスのデータは機密性が高く、インターネットを経由する接続は許可されていません。
この会社は、新しい市場セグメントに進出し、AWS を使用している他の企業にサービスを提供し始めたいと考えています。
どのソリューションがこれらの要件を満たしますか?
A. TCP トラフィックを受け入れる VPC エンドポイントサービスを作成し、Network Load Balancer の背後にホストし、サービスを DX 経由で利用可能にする。
B. HTTP または HTTPS トラフィックを受け入れる VPC エンドポイントサービスを作成し、Application Load Balancer の背後にホストし、サービスを DX 経由で利用可能にする。
C. VPC にインターネットゲートウェイをアタッチし、関連するインバウンドおよびアウトバウンドトラフィックを許可するようにネットワークアクセス制御およびセキュリティグループルールを設定する。
D. VPC に NAT ゲートウェイをアタッチし、関連するインバウンドおよびアウトバウンドトラフィックを許可するようにネットワークアクセス制御およびセキュリティグループルールを設定する。

解説

この問題では、オンプレミスのデータセンターとAWS間の接続を安全に維持しながら、AWSを利用する他社にサービスを提供する方法が問われています。各選択肢について詳しく解説します。

A. TCP トラフィックを受け入れる VPC エンドポイントサービスを作成し、Network Load Balancer の背後にホストし、サービスを DX 経由で利用可能にする。

  • 説明:
    • VPCエンドポイントサービス(PrivateLink) を使用することで、他のAWSアカウントに安全にサービスを公開可能。
    • Network Load Balancer (NLB) はTCPトラフィックを処理し、Direct Connectを通じて通信できる。
    • インターネットを経由しないため、機密データの要件を満たす。
  • 結論: この選択肢は要件を完全に満たします。

B. HTTP または HTTPS トラフィックを受け入れる VPC エンドポイントサービスを作成し、Application Load Balancer の背後にホストし、サービスを DX 経由で利用可能にする。

  • 説明:
    • Application Load Balancer (ALB) はHTTP/HTTPSトラフィックを処理します。
    • しかし、ALBはVPCエンドポイントサービス(PrivateLink)には対応していません。
    • このため、ALBを使用するこの選択肢は要件を満たしません。
  • 結論: 不正解。

C. VPC にインターネットゲートウェイをアタッチし、関連するインバウンドおよびアウトバウンドトラフィックを許可するようにネットワークアクセス制御およびセキュリティグループルールを設定する。

  • 説明:
    • インターネットゲートウェイをアタッチすることで、インターネット経由でサービスを公開できます。
    • しかし、インターネットを経由しないという要件を満たさないため、適切ではありません。
  • 結論: 不正解。

D. VPC に NAT ゲートウェイをアタッチし、関連するインバウンドおよびアウトバウンドトラフィックを許可するようにネットワークアクセス制御およびセキュリティグループルールを設定する。

  • 説明:
    • NATゲートウェイは、プライベートサブネット内のインスタンスがインターネットに接続するために使用されます。
    • しかし、サービスを他社に提供する仕組みとしては不適切であり、Direct Connectを利用しない。
  • 結論: 不正解。

正解: A

理由:

  • VPCエンドポイントサービス(PrivateLink) は、サービスを他社に安全に公開する最適な方法です。
  • Direct Connect を介して通信し、インターネットを経由しないため、機密性の高いデータの要件を満たします。
  • Network Load Balancer (NLB) はTCPトラフィックを処理するため、要件に適合します。

補足

  • VPCエンドポイントサービス(PrivateLink): 他のAWSアカウントやVPC間で、インターネットを経由せずにプライベートネットワーク上でサービスを共有可能。
Relate Posts
00-AWS SAP「理論・実践・10問道場」
Lazy loaded image
01-AWS SAP「理論・実践・10問道場」
Lazy loaded image
02-AWS SAP「理論・実践・10問道場」
Lazy loaded image
03-AWS SAP「理論・実践・10問道場」
Lazy loaded image
04-AWS SAP 「理論・実践・10問道場」
Lazy loaded image
05-AWS SAP「理論・実践・10問道場」
Lazy loaded image
464-AWS SAP AWS 「理論・実践・一問道場」AWS Organizations SCP462-AWS SAP AWS 「理論・実践・一問道場」フロントエンド AMI
Loading...
Catalog
0%
minami
minami
みなみの成長 🐝
Announcement

🎉 ブログへようこそ 🎉

名前: みなみ一人会社
性別:
国籍: China 🇨🇳
政治スタンス: 民主主義支持者
完全独学で基本情報技術者をはじめ、32個の資格を仕事をしながら取得。
現在はIT会社で技術担当として働きながら、ブログ執筆や学習支援にも取り組んでいます。
独学で合格できる学習法や勉強法、試験対策を発信中!

📚 発信内容

  • 💻 IT・システム開発
  • 🏠 不動産 × 宅建士
  • 🎓 MBA 学習記録
 
Catalog
0%