Question#12(SAP-C02)

ある会社は、オンプレミスのデータセンターで多数のサービスを稼働させています。データセンターは AWS と AWS Direct Connect（DX） と IPSec VPN で接続されています。サービスのデータは機密性が高く、インターネットを経由する通信は不可です。会社は新たな市場セグメントに参入し、AWS を利用している他社にも自社サービスを提供したいと考えています。

この要件を満たすソリューションはどれですか？

A. VPC エンドポイントサービス（AWS PrivateLink）を作成し、Network Load Balancer（NLB）の背後で TCP トラフィックを受け付けるようにホストする。サービスを Direct Connect 経由で提供する。
B. VPC エンドポイントサービスを作成し、Application Load Balancer（ALB）の背後で HTTP/HTTPS トラフィックを受け付けるようにホストする。サービスを Direct Connect 経由で提供する。
C. VPC にインターネットゲートウェイをアタッチし、必要なインバウンド／アウトバウンドトラフィックが許可されるようにネットワーク ACL とセキュリティグループを設定する。
D. VPC に NAT ゲートウェイをアタッチし、必要なインバウンド／アウトバウンドトラフィックが許可されるようにネットワーク ACL とセキュリティグループを設定する。

正解と解説ディスカッション 0

正解：A

要件は「インターネット非通過」「AWS を使う他社（消費者）にサービス提供」「機密データの安全な接続」です。

AWS PrivateLink（VPC エンドポイントサービス）は、提供側（サービスプロバイダ VPC）に NLB を置き、利用側（コンシューマ VPC）がインターフェイス VPC エンドポイントを作成してプライベート IP（AWS のプライベートネットワーク内）で接続する仕組みです。通信は AWS のバックボーン内で完結し、インターネットを経由しません。さらに、Direct Connect 経由で PrivateLink のエンドポイントへ到達する構成もサポートされており、オンプレミスや他社 VPC からDX 上のプライベート接続を介してサービスへアクセス可能です。したがって、NLB 背後で TCP を受ける PrivateLink（VPC エンドポイントサービス）を用いる A が最適です。

Question#12(SAP-C02)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル