AWS CLF　問題1025-1028：ネットワークACL

【正解】
A) ネットワーク ACL はセキュリティグループと同様のルールを使って設定できる。

【解説】
ネットワーク ACL はセキュリティグループと同様のルールを使って設定することができます。セキュリティグループと異なり、ネットワーク ACL はサブネットレベルで動作します。ネットワーク ACL はインバウンドとアウトバウンドのルールを個別に設定し、トラフィックの許可または拒否が可能です。

したがって、選択肢 A)が正しい答えとなります。

【正解】
B) ネットワーク ACL はAmazon VPC のセキュリティレイヤーとして機能する。

【解説】
ネットワーク ACL は、Amazon VPC のセキュリティレイヤーとして機能します。ネットワーク ACL を使用することで、1つ以上のサブネットのインバウンドとアウトバウンドのトラフィックを制御することができます。

したがって、選択肢 B)が正しい答えとなります。

【正解】
B) デフォルトのネットワーク ACL では、IPv4 トラフィックとIPv6 トラフィックの両方が許可される。
C) ネットワーク ACL はサブネットレベルで動作し、セキュリティグループはインスタンスレベルで動作する。

【解説】
B) デフォルトのネットワーク ACL では、IPv4 トラフィックとIPv6 トラフィックの両方が許可される。
これは正しいです。デフォルトのネットワーク ACL は、すべてのIPv4 およびIPv6 トラフィックを許可するルールを持っています。

C) ネットワーク ACL はサブネットレベルで動作し、セキュリティグループはインスタンスレベルで動作する。
これは正しいです。ネットワーク ACL はサブネット全体に対して適用され、サブネット内のすべてのインスタンスに影響を与えます。一方、セキュリティグループはインスタンスごとに設定され、インスタンスのレベルでトラフィック制御を行います。

A) ネットワーク ACL はステートレスであり、リクエストに関する情報を保持する。
これは誤りです。ネットワーク ACL はステートレスで、送信と受信のトラフィックに対する独自の設定が必要です。リクエストに関する情報を保持するわけではありません。

D) ネットワーク ACL は拒否ルールのみをサポートする。
これは誤りです。ネットワーク ACL は許可ルールと拒否ルールの両方をサポートします。

【正解】
B) デフォルトのネットワーク ACL では、IPv4 トラフィックとIPv6 トラフィックの両方が許可される。
C) ネットワーク ACL はサブネットレベルで動作し、セキュリティグループはインスタンスレベルで動作する。

【解説】
A) セキュリティグループのルールは番号順に評価されるが、ネットワーク ACL のルールは評価されない。
→ この選択肢は誤りです。ネットワーク ACL のルールは番号順に評価されます。セキュリティグループではトラフィックの許可を決定する前に、すべてのルールが評価されます。セキュリティグループとネットワーク ACL の評価は異なるため、混同しやすいです。

B) ネットワーク ACL はステートフルであり、セキュリティグループはステートレスである。
→ この選択肢は正しいです。ネットワーク ACL はステートフルで、リクエストとそれに対する応答の両方を考慮してルールを評価します。一方、セキュリティグループはステートレスで、送信されるトラフィックに対して単純なルールを適用します。

C) ネットワーク ACL のデフォルトでは、すべてのトラフィックが許可される。
→ この選択肢は正しいです。ネットワーク ACL のデフォルトの設定では、すべてのトラフィックは許可されます。

D) セキュリティグループは許可ルールと拒否ルールの両方をサポートする。
→ この選択肢は誤りです。セキュリティグループは許可ルールのみをサポートし、拒否ルールを作成することはできません。セキュリティグループのルールは「許可されたもののみを通す」方針に基づいています。