→Egress-Onlyインターネットゲートウェイ
・Egress-Onlyインターネットゲートウェイを作成し、サブネットのルートテーブルの宛先にします
この選択肢が正解の理由は以下の通りです。
Egress-Onlyインターネットゲートウェイは、IPv6を使用するAmazon VPC内のリソースがインターネットに接続できるように設計されています。しかし、その特性上、インターネット上からの流入トラフィックは許可されません。つまり、EC2インスタンスは他の外部アプリケーションとの通信を開始することができますが、逆に外部サービスがEC2インスタンスへの接続を開始することはブロックされます。こうした制限が求められるシナリオの場合、Egress-Onlyインターネットゲートウェイはセキュリティ上の要件を満たしつつも、インターネットへの通信を可能にする理想的な解決策となります。
したがって、このケースの課題を解決するために、ソリューションアーキテクトはEgress-Onlyインターネットゲートウェイの作成を推奨するべきです。
選択肢:インターネットゲートウェイを作成し、サブネットのルートテーブルの宛先にします
この選択肢が正しくない理由は以下の通りです。
インターネットゲートウェイは両方向のトラフィックを許可しますが、セキュリティポリシーにより外部サービスから接続を開始することは許可されていません。なので、外部からのアクセスを防ぎつつ出力のみを許可するEgress-Onlyインターネットゲートウェイを使用することが正しい選択です。
コメント