→送信元0.0.0.0/0からのインバウンドTCPポート443と、
送信先0.0.0.0/0へのアウトバウンドTCPポート32768-65535を許可
・送信元0.0.0.0/0からのTCPポート443を許可するルールを持つセキュリティグループを作成します
・ネットワークACLを更新して、ソース0.0.0.0/0からのインバウンドTCPポート443と、宛先0.0.0.0/0へのアウトバウンドTCPポート32768-65535を許可します
この選択肢が正解の理由は以下の通りです。
まず、「送信元0.0.0.0/0からのTCPポート443を許可するルールを持つセキュリティグループを作成します」は正しい手順です。AWSのセキュリティグループは、サーバーにアクセスするための「許可ルール」を設定するためのもので、この場合、全ての送信元(0.0.0.0/0)からTCPポート443(HTTPS通信)を許可する必要があります。
また、「ネットワークACLを更新して、ソース0.0.0.0/0からのインバウンドTCPポート443と、宛先0.0.0.0/0へのアウトバウンドTCPポート32768-65535を許可します」は、セキュリティグループがインスタンスレベルのセキュリティを担当する一方で、ネットワークACLはサブネットレベルのセキュリティを担当します。既存の全てのトラフィックをブロックするネットワークACLを修正して、全てのソースからのインバウンドTCPポート443と、全ての宛先へのTCPポート32768-65535(OSが一時的なポートとして使用するポート範囲)へのアウトバウンドを許可しなければなりません。
選択肢:ネットワークACLを更新して、送信元0.0.0.0/0から送信先0.0.0.0/0へのインバウンド/アウトバウンドTCPポート443を許可します
この選択肢が正しくない理由は以下の通りです。
ネットワークACLで送信元0.0.0.0/0から送信先0.0.0.0/0へのインバウンド/アウトバウンドTCPポート443を許可しても、これでは送信元がポート443からの応答を受け取るために必要な、送信元のエフェメラルポート範囲(TCPポート32768-65535)へのアウトバウンド接続を許可していないため、アクセスはできません。
コメント