Question#65(SAP-C02)
ある会社は、アプリケーションアカウント内の Amazon EC2 インスタンスのパッチ適用方法を変更しようとしています。現在は、アプリケーションアカウントの VPC にある NAT ゲートウェイ経由でインターネットを使ってパッチ適用を行っています。
同社は、コアアカウントの専用プライベート VPC に、パッチソースリポジトリとして構成した EC2 インスタンス群を用意しています。これを使い、AWS Systems Manager Patch Manager とコアアカウントのパッチソースリポジトリを用いて、アプリケーションアカウントの EC2 インスタンスにパッチを適用したいと考えています。また、アプリケーションアカウント内のすべての EC2 インスタンスはインターネットへアクセスできないようにしなければなりません。 アプリケーションアカウントの EC2 インスタンスは、アプリケーションデータが保存されている Amazon S3 にアクセスする必要があります。さらに、これらの EC2 インスタンスは Systems Manager およびコアアカウントのプライベート VPC 内にあるパッチソースリポジトリにも接続する必要があります。 この要件を満たすソリューションはどれですか?正解:C
要件は「インターネット遮断」「S3 へのアクセス」「Systems Manager への接続」「コアアカウントのプライベート VPC 内パッチソースへ接続」の4点です。 C は以下をすべて満たします。
- インターネット不要での SSM 利用:HTTP/HTTPS を外部へ出さず、VPC エンドポイント(インターフェイスエンドポイント)を作成します。必要なエンドポイントは一般に
com.amazonaws.<region>.ssm、ssmmessages、ec2messagesです。 - S3 へのプライベートアクセス:S3 ゲートウェイエンドポイント(
com.amazonaws.<region>.s3)を作成し、ルートテーブルにプレフィックスリスト(S3)を向けることで、NAT や IGW なしでアクセス可能。 - コアアカウントのパッチソースへプライベート接続:VPC ピアリング(クロスアカウント可)を張り、双方のルートテーブルで相互 CIDR 宛をピアへ向けます(重複 CIDR でないことが前提)。これでプライベート IP でリポジトリ EC2 へ到達できます。
- インターネット遮断:NAT ゲートウェイを削除し、外向き経路を排しつつ、上記エンドポイントとピアリングで必要な通信だけを許可。
コメント