Question#14(SAP-C02)

ある会社は AWS Organizations の組織を使って複数の AWS アカウントを管理しています。いくつかのアプリケーションは、共有サービス用アカウントの VPC 内でホストされています。会社はこの共有サービス用アカウントの VPC に Transit Gateway（TGW）をアタッチ済みです。

会社は新機能の開発環境を新たに作成しており、この開発環境から共有サービス用アカウント内のアプリケーションへアクセスする必要があります。開発アカウントではリソースを頻繁に削除・再作成する予定で、開発チーム自身が必要に応じて共有サービスへの接続を再作成できるようにしたいと考えています。この要件を満たすソリューションはどれですか？

A. 開発アカウントに Transit Gateway を作成する。共有サービス用アカウントへ Transit Gateway ピアリングをリクエストする。共有サービス側の Transit Gateway でピアリングを自動承諾するように構成する。
B. 共有サービス用アカウントの Transit Gateway で自動承諾を有効化する。AWS Resource Access Manager（AWS RAM）を使って、共有サービス用アカウントの Transit Gateway リソースを開発アカウントと共有する。開発アカウントで共有リソースを受け入れる。開発アカウントで Transit Gateway アタッチメントを作成する。
C. 共有サービス用アカウントの Transit Gateway で自動承諾を有効化する。VPC エンドポイントを作成する。エンドポイントポリシーで開発アカウントへの許可を付与する。エンドポイントサービスで接続要求の自動承諾を構成する。エンドポイント情報を開発チームへ提供する。
D. 開発アカウントからアタッチメント要求が来たら受け入れる AWS Lambda を呼び出す Amazon EventBridge ルールを作成する。AWS Network Manager を使用して、共有サービス用アカウントの Transit Gateway を開発アカウントと共有する。開発アカウントで Transit Gateway を受け入れる。

正解と解説ディスカッション 0

正解：B

要件は、(1) 共有サービス側の既存 TGW を使って開発アカウントの VPC を接続できること、(2) 開発側で頻繁に再作成しても開発チーム自身で接続を再作成できること、(3) 運用オーバーヘッドを最小化すること、の3点です。

AWS RAM で Transit Gateway を共有すると、コンシューマ（開発）側アカウントは “自分のアカウント内のリソースのように” 共有 TGW を参照でき、自分で VPC アタッチメントを作成できます。さらに Transit Gateway の「共有アタッチメントの自動承諾（Auto accept shared attachments）」を有効にしておけば、開発側がアタッチメントを作るたびに運用側が手動承諾する必要がなく、頻繁な作り直しに最適です。よって B が最小運用で要件を満たします。

Question#14(SAP-C02)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル