CLF-C02#305(Security)
企業がVPC用のステートレスネットワークフィルタリングを必要としています。この要件を満たすAWSサービス、ツール、または機能はどれですか?
正解:C
正解の根拠
ネットワークACLはVPCサブネット境界で動作するステートレスなパケットフィルタです。インバウンドとアウトバウンドの両方向で許可/拒否ルールを個別に明示する必要があり、戻りトラフィックも別途許可ルールで通す設計です。サブネット全体に統一ルールを掛けたい場合に適します。
主要コンポーネント比較
| 機能 | 状態管理 | 適用層 |
|---|---|---|
| ネットワークACL | ステートレス | サブネット |
| セキュリティグループ | ステートフル | ENI |
| AWS WAF | L7ルール | ALB等 |
| PrivateLink | 接続性 | サービス |
不正解の理由
- A: PrivateLinkはVPC間/サービス間のプライベート接続で、フィルタリング機能ではありません。
- B: セキュリティグループはステートフルで、要件のステートレスに合致しません。
- D: WAFはL7のWebルール用途で、汎用VPCネットワークフィルタではありません。
コメント