Question#8(ANS-C01)

ある企業が、複数の VPC を含む AWS 環境を保有しています。これらの VPC はトランジットゲートウェイで接続されています。同社は、オンプレミス環境と AWS 環境の間で接続を確立するために、証明書ベースの AWS Site-to-Site VPN 接続を使用したいと考えています。なお、同社のオンプレミス環境には固定のパブリック IP アドレスがありません。トランジットゲートウェイとオンプレミス環境間で VPN 接続を確立するために、どの手順の組み合わせを実行すべきですか？（2つ選択してください。）

（2つ選択）

A. AWS Certificate Manager (ACM) でパブリック証明書を作成する。
B. AWS Certificate Manager (ACM) でプライベート証明書を作成する。
C. Site-to-Site VPN トンネルをプリシェアードキー（PSK）を使用するように設定する。
D. カスタマーゲートウェイを作成し、カスタマーゲートウェイデバイスの外部インターフェイスの現在の動的 IP アドレスを指定する。
E. カスタマーゲートウェイを作成し、カスタマーゲートウェイデバイスの IP アドレスを指定しない。

正解と解説ディスカッション 0

正解：B, E

証明書ベース VPN の特徴・証明書ベースの Site-to-Site VPN は、IKEv2 + 証明書認証をサポートする仕組みです。・証明書はプライベート証明書を ACM で作成するか、外部 CA で発行する必要があり、パブリック証明書は不要。・動的 IP の場合、カスタマーゲートウェイの IP を指定しないよう設定するのが AWS の仕様。公式ドキュメントより： For certificate-based VPNs, if your on-premises device has a dynamic IP address, leave the IP address field blank when creating the customer gateway resource. ・プライベート証明書を作成する ✅ 正解証明書ベース VPN の必須要素。ACM Private CA などで作成するのが推奨。 IP アドレスを指定しない ✅ 正解証明書ベース VPN で dynamic IP の場合の正しい手順。

Question#8(ANS-C01)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル