CLF-C02#115(Security)
企業がAmazon EC2インスタンスレベルで仮想ファイアウォールをセットアップするために使用できるVPCコンポーネントはどれですか?
正解:B
正解の根拠
セキュリティグループはVPC内のEC2インスタンス(ENI)に適用される仮想ファイアウォールで、インバウンドおよびアウトバウンドのトラフィックを許可ルールで制御します。ステートフルなため戻りトラフィックは自動許可され、インスタンスレベルでの細かいアクセス制御に最適です。
主要コンポーネント比較
| コンポーネント | 適用層 | 動作 |
|---|---|---|
| セキュリティグループ | ENI / インスタンス | ステートフル |
| ネットワークACL | サブネット | ステートレス |
| ルートテーブル | サブネット | 経路制御 |
| NATゲートウェイ | サブネット | アウトバウンドNAT |
不正解の理由
- A: ネットワークACLはサブネット単位で、インスタンス単位の制御には粒度が合いません。
- C: ルートテーブルは通信経路の決定で、フィルタリング機能はありません。
- D: NATゲートウェイはプライベートからのアウトバウンドNATで、ファイアウォールではありません。
コメント