Question#15(ANS-C01)
ある企業は、単一の AWS アカウントにトランジットゲートウェイを保有しています。
同社は、トランジットゲートウェイのフローログを Amazon CloudWatch Logs のロググループに送信しています。 同社は、ログを解析する AWS Lambda 関数を作成しました。
この Lambda 関数は、トランジットゲートウェイによってドロップされたトラフィックを生成する VPC が存在する場合、Amazon SNS トピックに通知を送信 します。
各通知には、以下が含まれています: ・アカウント ID
・VPC ID
・ドロップされたパケット数の合計 同社は、新しい Lambda 関数を SNS トピックにサブスクライブさせたいと考えています。
この新しい Lambda 関数は、通知で特定されたトラフィックが VPC から出ていかないように、自動的にトランジットゲートウェイアタッチメントのサブネットに Network ACL を適用する 必要があります。 この要件を満たすソリューションはどれですか?
正解:A
正解の理由 Network ACL の動作 ・VPC の Network ACL は以下の 2 種類を管理: Inbound rules → VPC の外から来るトラフィックに適用 Outbound rules → VPC から外に出るトラフィックに適用 問題のポイント 今回の要件は: >新しい Lambda 関数は、通知で特定されたトラフィックが VPC から出ていかないようにする。 つまり: ・VPC 内から外へのトラフィックをブロックしたい → Outbound rules を制御すべき どのアドレスを使うべきか? トラフィックを外へ出さないためにブロックすべきのは、宛先 IP アドレス。 例: VPC 内のインスタンス → 外部サービス(宛先 IP: 203.0.113.10) この場合、宛先 IP を Outbound の deny rule に登録する ことで VPC から出ていく通信を遮断できる。 ✅ 正解 宛先 IP → Outbound deny トラフィックの行き先をブロックするには Outbound deny が正解。
コメント