Question#18(ANS-C01)
ある企業は、オンプレミスおよびVPC内のAmazon EC2インスタンスでアプリケーションサーバーをホストしています。アプリケーションサーバーは、パブリックインターネットを介してAmazon S3バケットにホストされたデータにアクセスします。VPC内のEC2インスタンスは、AWS Site-to-Site VPNを使用してオンプレミスのアプリケーションサーバーと接続しています。
新たな企業規制により、アプリケーションサーバーとS3バケット間のすべてのトラフィックはプライベートでなければならず、パブリックIPアドレスを使用してはならないと定められています。この要件を最もコスト効率良く満たすソリューションはどれですか?
正解:C
EC2インスタンスに無料のS3ゲートウェイエンドポイントを使用し、オンプレミスサーバーにS3インターフェースエンドポイントを使用することで、両方の環境からS3バケットへのプライベート接続を確保します。ゲートウェイエンドポイントはVPC内のEC2インスタンスに最適でコスト無料、インターフェースエンドポイントはSite-to-Site VPNを介したオンプレミスからのプライベート接続をサポートします(AWSブログ:https://aws.amazon.com/blogs/architecture/choosing-your-vpc-endpoint-strategy-for-amazon-s3/)。トラフィックはパブリックIPアドレスを使用せず、規制要件を満たします。インターフェースエンドポイントにはコストが発生しますが、EC2でのゲートウェイエンドポイント使用によりコストが抑えられ、AWSの推奨アーキテクチャに準拠します。オンプレミスのDNS設定変更は必要ですが、要件を確実に満たすために許容されます。
コメント