CLF-C02#189(Security)
企業がVPC内で多数のAmazon EC2インスタンスを実行しています。企業は特定のEC2インスタンス間のネットワークトラフィックを制御するためにネイティブのAWSセキュリティリソースを使用したいと考えています。この要件を満たすAWSサービスまたは機能はどれですか?
正解:D
正解の根拠
セキュリティグループはENI単位の仮想ファイアウォールで、特定のEC2インスタンス間通信を制御するのに最適です。送信元としてIP範囲だけでなく別のセキュリティグループIDを指定できるため、SGメンバー同士の通信ポリシーを細かく定義できます。
VPC内トラフィック制御の比較
| 機能 | 適用粒度 |
|---|---|
| セキュリティグループ | ENI/インスタンス単位 |
| ネットワークACL | サブネット単位 |
| WAF | L7のWeb保護 |
| GuardDuty | 脅威検出(制御不可) |
不正解の理由
- A: NACLはサブネット単位で、特定インスタンス間制御の粒度に向きません。
- B: WAFはWebアプリのL7保護用でEC2間通信制御はしません。
- C: GuardDutyは検知のみで、トラフィックを直接制御しません。
コメント