CLF-C02#12(Security)
企業が特定のAmazon EC2インスタンスにセキュリティルールを適用するために使用できるAWSサービスまたは機能はどれですか?
正解:B
正解の根拠
セキュリティグループはENI(インスタンス)単位で動作するステートフルなファイアウォールで、許可ルールのみを記述してインバウンド・アウトバウンドを制御します。特定のEC2インスタンスやインスタンス群にだけセキュリティルールを適用したい場合の標準手段です。
ネットワーク制御の比較
| 機能 | 適用範囲 | 状態 |
|---|---|---|
| セキュリティグループ | ENI(インスタンス) | ステートフル |
| ネットワーク ACL | サブネット | ステートレス |
| WAF | CloudFront/ALB/API GW | L7 検査 |
不正解の理由
- A: NACLはサブネット単位のため、特定インスタンスのみへの適用には粒度が合いません。
- C: Trusted Advisorは助言ツールで、ファイアウォール機能は持ちません。
- D: WAFはWebアプリ層保護で、EC2インスタンス直接の通信制御には使えません。
コメント