AIF-C01#20(security-governance)
ある金融機関が、Amazon Bedrock を使用して AI アプリケーションを開発しています。このアプリケーションは VPC 内でホストされています。規制コンプライアンス標準を満たすために、VPC はインターネットトラフィックへのアクセスが許可されていません。 この要件を満たす AWS サービスまたは機能はどれですか?
正解:A
正解の根拠
AWS PrivateLink は VPC に Interface VPC エンドポイントを作成し、Bedrock の API へインターネットを経由せずプライベートに接続できる機能です。インターネットゲートウェイを持たない VPC でもバックボーン経由で Bedrock を呼出せ、規制要件によるインターネット接続禁止下でも安全に AI アプリケーションを運用できます。
選択肢の役割整理
| サービス | 役割 |
|---|---|
| PrivateLink | API へのプライベート接続 |
| Macie | S3 機密データ検出 |
| CloudFront | CDN 配信 |
| インターネットゲートウェイ | VPC のインターネット接続 |
不正解の理由
- B: Macie は S3 内の機密データ検出が目的で、ネットワーク経路をプライベート化する機能を提供しません。
- C: CloudFront はコンテンツ配信用 CDN で、VPC からの Bedrock API のプライベート接続を実現する設計ではありません。
- D: インターネットゲートウェイは逆にインターネットアクセスを可能にする機能で、本要件に正反対の構成となります。
コメント