AWS Cloud Practitioner Essentialsのノート:モジュール4
モジュール4
ネットワーク,パブリックネットワークリソースとプライベートネットワークリソースの違い、仮想プライベートゲートウェイ、仮想プライベートネットワーク、AWS Direct Connect、ハイブリッドデプロイの利点
確認
AWS アカウントのデフォルトのネットワークアクセスコントロールリストについて、最も適切に説明しているものを選択してください。
- ステートレスで、すべてのインバウンドトラフィックとアウトバウンドトラフィックを拒否する。
- ステートフルで、すべてのインバウンドトラフィックとアウトバウンドトラフィックを許可する。
- ステートレスで、すべてのインバウンドトラフィックとアウトバウンドトラフィックを許可する。
- ステートフルで、すべてのインバウンドトラフィックとアウトバウンドトラフィックを拒否する。
答え
3
正解は「ステートレスで、すべてのインバウンドトラフィックとアウトバウンドトラフィックを許可する」です。
ネットワークアクセスコントロールリスト (ACL) では、ステートレスパケットフィルタリングが実行されます。処理情報が保存されないため、パケットはサブネットの境界 (インバウンドとアウトバウンドの双方向) を出入りするたびにチェックされます。
各 AWS アカウントには、デフォルトのネットワーク ACL が含まれています。VPC を設定する場合、アカウントのデフォルトのネットワーク ACL を使用するかカスタムネットワーク ACL を作成できます。
デフォルトでは、アカウントのデフォルトのネットワーク ACL は、すべてのインバウンドおよびアウトバウンドトラフィックを許可しますが、独自のルールを追加することによってこれを変更できます。カスタムネットワーク ACL では、許可するトラフィックを指定するルールを追加するまで、すべてのインバウンドおよびアウトバウンドトラフィックが拒否されます。さらに、すべてのネットワーク ACL には、明示的拒否ルールがあります。このルールは、パケットがリストの他のいずれのルールにも一致しない場合は、拒否するようにします。
DNS 解決について、最も適切に説明しているものを選択してください。
- 定義した仮想プライベート内でリソースを起動する
- 世界中のエッジロケーションでコンテンツのローカルコピーを保存する
- VPC をインターネットに接続する
- ドメイン名を IP アドレスに変換する
答え
4
正解は「ドメイン名を IP アドレスに変換する」です。
例えば、AnyCompany のウェブサイトにアクセスしたい場合、ドメイン名を PC に入力し、このリクエストが DNS サーバーに送信されます。次に、DNS サーバーは、ウェブサーバーに AnyCompany のウェブサイトに対応する IP アドレスを尋ねます。ウェブサーバーからの応答により、AnyCompany のウェブサイトの IP アドレス 192.0.2.0 が提供されます。
会社のアプリケーションでは、Amazon EC2 インスタンスを使用してお客様向けウェブサイトを実行し、Amazon RDS データベースインスタンスを使用してお客様の個人情報を保存しています。デベロッパーはベストプラクティスに従って VPC をどのように設定する必要がありますか。
- Amazon EC2 インスタンスをプライベートサブネットに配置し、Amazon RDS データベースインスタンスをパブリックサブネットに配置する。
- Amazon EC2 インスタンスをパブリックサブネットに配置し、Amazon RDS データベースインスタンスをプライベートサブネットに配置する。
- Amazon EC2 インスタンスと Amazon RDS データベースインスタンスをパブリックサブネットに配置する。
- Amazon EC2 インスタンスと Amazon RDS データベースインスタンスをプライベートサブネットに配置する。
答え
2
正解は「Amazon EC2 インスタンスをパブリックサブネットに配置し、Amazon RDS データベースインスタンスをプライベートサブネットに配置する」です。
サブネットは、セキュリティまたは運用のニーズに基づいてリソースをグループ化できる VPC の一部分です。サブネットは、パブリックまたはプライベートに設定できます。
パブリックサブネットには、オンラインストアのウェブサイトなど、一般公開する必要があるリソースが含まれています。
プライベートサブネットには、お客様の個人情報や注文履歴を含むデータベースなど、プライベートネットワークを介してのみアクセス可能なリソースが含まれています。
会社のデータセンターと AWS の間で専用のプライベート接続を確立できるコンポーネントはどれですか。
- プライベートサブネット
- DNS
- AWS Direct Connect
- 仮想プライベートゲートウェイ
答え
3
正解は「AWS Direct Connect」です。
その他の選択肢は、以下の理由で正しくありません。
プライベートサブネットは VPC の一部分です。このサブネットを使用すると、プライベートネットワークを介してのみアクセス可能なリソースをグループ化できます。このサブネットはプライベートですが、データセンターと AWS の間の接続の確立には使用されません。
DNS は Domain Name System の略で、ドメイン名に一致する IP アドレスを検索する際に使用するディレクトリです。
仮想プライベートゲートウェイを使用すると、VPC とプライベートネットワーク (会社のデータセンターなど) の間に VPN 接続を作成できます。この接続はプライベートで暗号化されていますが、専用接続ではなく、パブリックインターネットを経由します。
セキュリティグループについて、最も適切に説明しているものを選択してください。
- ステートフルで、デフォルトではすべてのインバウンドトラフィックを拒否する。
- ステートフルで、デフォルトではすべてのインバウンドトラフィックを許可する。
- ステートレスで、デフォルトではすべてのインバウンドトラフィックを拒否する。
- ステートレスで、デフォルトではすべてのインバウンドトラフィックを許可する。
答え
1
正解は「セキュリティグループはステートフルで、デフォルトではすべてのインバウンドトラフィックを拒否する」です。
セキュリティグループはステートフルです。つまり、インスタンスに対する新しいリクエストを評価する際に、過去のトラフィックパターンとフローが使用されます。
セキュリティグループはデフォルトで、すべてのインバウンドトラフィックを拒否しますが、運用およびセキュリティのニーズに合わせてカスタムルールを追加できます。
VPC をインターネットに接続するために使用されるコンポーネントは、次のうちどれですか。
- パブリックサブネット
- エッジロケーション
- セキュリティグループ
- インターネットゲートウェイ
答え
4
正解は「インターネットゲートウェイ」です。
その他の選択肢は、以下の理由で正しくありません。
パブリックサブネットは、公開されているリソースを含む VPC の一部分です。
エッジロケーションは、Amazon CloudFront で、コンテンツのキャッシュされたコピーを保存するために使用する場所です。これにより、お客様への迅速な配信が可能になります。
セキュリティグループは、Amazon EC2 インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御する仮想ファイアウォールです。
ドメイン名の DNS レコードの管理に使用されるサービスは、次のうちどれですか。
- Amazon 仮想プライベートクラウド
- AWS Direct Connect
- Amazon CloudFront
- Amazon Route 53
答え
4
正解は「Amazon Route 53」です。
Amazon Route 53 は DNS ウェブサービスです。これにより、デベロッパーと企業には、AWS でホストされるインターネットアプリケーションにエンドユーザーをルーティングする信頼性の高い方法が提供されます。
Route 53 のもう 1 つの機能は、ドメイン名の DNS レコードを管理する機能です。他のドメインレジストラが管理する既存のドメイン名の DNS レコードを転送できます。また、新しいドメイン名を Route 53 に直接登録することもできます。
その他の選択肢は、以下の理由で正しくありません。
Amazon Virtual Private Cloud (Amazon VPC) は、AWS クラウドの独立したセクションをプロビジョニングできるサービスです。この独立したセクションでは、定義した仮想ネットワークでリソースを起動できます。
AWS Direct Connect は、データセンターと VPC の間に専用のプライベート接続を確立できるサービスです。
Amazon CloudFront はコンテンツ配信サービスです。エッジロケーションのネットワークを使用してコンテンツをキャッシュし、世界中のお客様にコンテンツを配信します。
Discussion