AIF-C01#10(security-governance)
ある企業が、自社のAWSアカウントから Amazon Bedrock API へのプライベートなアクセスを設定したいと考えています。また、同社はデータをインターネットにさらさない(Internet exposure)ように保護したいと考えています。 これらの要件を満たすソリューションはどれですか?
正解:D
正解の根拠
AWS PrivateLink は VPC 内に Interface VPC エンドポイントを作成し、AWS サービスへのアクセスを AWS バックボーン経由のプライベート接続に閉じ込められます。Bedrock 用 PrivateLink を構成すれば、InvokeModel 等の API 呼出はインターネットを経由せず、データの公開リスクを避けられます。VPC 内アプリケーションが Bedrock を安全に利用する標準的な方法です。
選択肢の役割整理
| サービス | 役割 |
|---|---|
| PrivateLink | VPC 内のプライベート API 接続 |
| CloudFront | CDN とコンテンツ配信 |
| AWS Glue | ETL とデータカタログ |
| Lake Formation | 集中データガバナンス |
不正解の理由
- A: CloudFront はコンテンツ配信用 CDN であり、VPC からの API プライベート接続を提供する設計目的ではありません。
- B: Glue は ETL とデータカタログ管理サービスで、Bedrock API 呼出のネットワーク隔離機能を備えていません。
- C: Lake Formation はデータレイクのアクセス統制が目的で、Bedrock の API へのプライベート接続には対応しません。
コメント