SAP-C02#4(new-solutions)

あるメディア企業は、世界中の視聴者に動画ストリーミングを提供する新サービスを設計します。視聴者の地理的位置に応じてもっとも近いオリジンへ配信し、特定の国からのアクセスのみを許可する地理制限と、L7 攻撃に対する保護も必要です。配信元は複数リージョンの S3 バケットで、リージョン障害時には自動的に別リージョンへフェイルオーバーします。もっとも適切な設計はどれですか。

A. Application Load Balancer をリージョンごとに作成し、Route 53 の地理位置情報ルーティングで制御して、防御層は AWS Shield Advanced のみに依存して L7 攻撃を緩和します。
B. Amazon CloudFront ディストリビューションでオリジングループを構成し、地理制限機能と AWS WAF を関連付けます。
C. AWS Global Accelerator のエンドポイントグループに各リージョンの S3 バケットを直接登録し、トラフィックダイヤルで地理制限を実現してフェイルオーバーを構成します。
D. API Gateway リージョナルエンドポイントを介して S3 を公開し、リソースポリシーで国別制御を行い、API Gateway 標準のスロットリングだけで L7 攻撃を緩和します。

正解と解説ディスカッション 0

正解：B

正解の根拠

CloudFront のオリジングループはプライマリオリジンが特定のエラーを返した際に自動的にセカンダリオリジンへフェイルオーバーします。地理制限機能で国単位のアクセス制御が可能で、AWS WAF を関連付けて L7 攻撃に対応します。

機能	CloudFront	Global Accelerator
HTTP キャッシュ	可	不可
地理制限	標準機能	限定 (トラフィックダイヤル)
WAF 連携	可	不可
S3 オリジン	標準	非対応

不正解の理由

A: ALB は S3 を直接オリジンにできず、CDN 効果も得られず L7 防御も限定的です。
C: Global Accelerator は S3 バケットをエンドポイントに直接登録できず、要件に不適合です。
D: API Gateway は動画ストリーミング配信に最適化されておらず、ペイロード制限もあります。

参考：CloudFront Origin Failover

SAP-C02#4(new-solutions)

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル