概要
今回は会社の後輩向けにAWS ソリューションアーキテクトアソシエイト向けの問題を作成したのでそちらの公開を。
元ネタは公式の問題、BlackBeltなどからとっております
今回はVPCをみようと思います。
VPC関係
- ネットワークACL,セキュリティグループについて説明している文で以下の中から正しいものを1つ選択してください。
- ネットワークACLはサーバレベルで効果を発揮する。
- ネットワークACLはAllow/DenyをIN・OUTで指定可能。
- ネットワークACLはすべてのルールを適用する。
- セキュリティグループはステートレスなので戻りのトラフィックも明示的に許可する必要がある。
- ネットワークACLはステートフルなので戻りのトラフィックを考慮する必要はない。
回答
2. ネットワークACLはAllow/DenyをIN・OUTで指定可能。
* ネットワークACLを使うことで接続を禁止することもできます。
* セキュリティグループはAllowのみを指定できるので接続先を追加したいときに設定します。
1. ネットワークACLはサブネットレベルで効果を発揮します。サーバによって接続先を制御したいときはセキュリティグループを使います。
3. ネットワークACLは番号の順序通りに適用します。上位に優先したい条件を指定することで絞り込めます。
4. セキュリティグループはステートフルです
5. ネットワークACLはステートレスです
- あるアプリケーションをプライベートサブネットに配置したEC2インスタンス(t3.nano)で実行しそこからS3にアクセスすることを予定しています。しかしS3へアクセスできないようです。IAMロールの設定やバケットポリシーについては問題ないとします。この場合の対処法を以下から選びなさい。(2つ)
- EC2インスタンスのインスタンスタイプをt3.micro以上にする。
- EC2インスタンスをプライベートサブネットではなくパブリックサブネットに配置する。
- AWS Transit Gatewayの設定を行う。
- VPC Endopointをプライベートサブネットに対して作成する。
- インスタンスに対してEIPのみを設定する。
回答
2. EC2インスタンスをプライベートサブネットではなくパブリックサブネットに配置する。
4. VPC Endpointをプライベートサブネットに対して作成する。
* パブリックサブネットに配置することでインターネットに接続できるためS3へアクセスできるようになります。
* VPC Endpointを設定することでインターネットに接続しなくてもアクセスが可能です。DynamoDBなどほかのAWSサービスへの接続を行いたいときもVPC Endpointの設定を行います。
1. インスタンスタイプは関係ありません。
3. AWS Transit Gateway は1000以上のVPCとオンプレミス環境を接続するときに使用します。
5. EIPのみでなくNAT ゲートウェイまたはNATインスタンスの設定が必要ですこの2つを設定することでS3へアクセスは可能です。