Question#42(ANS-C01)
ある企業は、us-east-1リージョンとus-west-1リージョンにそれぞれ1つのエッジロケーションを持つAWS Cloud WANを使用しています。両方のエッジロケーションに共有サービスセグメントが存在します。各共有サービスセグメントは、各リージョンの検査VPCにVPCアタッチメントを持っています。検査VPCは、AWS Network Firewallを使用してWANからのトラフィックを検査します。
企業は、us-east-1エッジロケーションに新しいビジネスユニット(BU)向けの新しいセグメントを作成しました。新しいBUには、BUセグメントにアタッチされた3つのVPCがあります。規制を遵守するため、BUのVPCは相互に通信してはいけません。すべてのインターネット宛てトラフィックは、検査VPCで検査する必要があります。
企業は、インターネット宛てのトラフィックがAWS Cloud WANコアネットワークに転送されるように、VPCルートテーブルを更新しました。企業は、将来、新しいBU向けにさらにVPCを追加する予定です。すべての将来のVPCも規制に準拠する必要があります。この要件を最も運用効率よく満たすソリューションはどれですか?(2つ選択)
(2つ選択)
正解:B, C
BU VPC からのインターネット通信を inspection VPC にルーティングするには、Cloud WAN のネットワークポリシーで inspection segment(shared services segment)との共有設定が必要。 isolate-attachments = True にすることで、BU セグメントに接続された VPC 同士の通信をブロックする。これにより、VPC間のアクセス制限を自動的に適用できる。 今後 VPC を追加してもこのルールが自動適用されるため、運用効率が高い。
コメント