CLF-C02#346(Security)
ユーザーがサブネットレベルでネットワークアクセスを制限するために設定できるAWSサービスまたは機能はどれですか?
正解:C
正解の根拠
ネットワークACLはサブネットレベルで動作するステートレスなパケットフィルタです。サブネット内の全リソースに統一的に適用され、IPアドレス/ポート/プロトコルに対して許可と拒否の両方を明示的に設定できるため、サブネットレベルでのアクセス制限に適しています。
関連機能の比較
| 機能 | 適用単位 |
|---|---|
| ネットワークACL | サブネット |
| セキュリティグループ | ENI/インスタンス |
| WAF | L7(CloudFront等) |
| Shield | DDoS防御 |
不正解の理由
- A: DDoS対策でサブネット単位のフィルタは行いません。
- B: L7のWebアプリ防御で、サブネット境界のフィルタは別レイヤです。
- D: SGはENI単位で、サブネット境界のフィルタには使えません。
参考:ネットワークACL
コメント