AWS CLF 問題225-228:セキュリティグループ・ネットワークACL

AWS クラウドプラクティショナー 問題集Ⅰ|完全無料&徹底解説

AWS クラウドプラクティショナー 問題集Ⅰ|完全無料&徹底解説  「AWS認定クラウドプラクティショナー問題集Ⅰ」は、AWS専門知識認定を目指す方々に向けた試験対策のた…

AWS CLF 問題225-228:セキュリティグループ・ネットワークACL

問題225:セキュリティグループに関する次の記述のうち、正しいものはどれですか?

A) セキュリティグループは、アプリケーション層のセキュリティを管理するためのものです。
B) セキュリティグループは、インスタンスごとに設定される個別のファイアウォールルールです。
C) セキュリティグループは、プライベートサブネット内のトラフィックを制御するために使用されます。
D) セキュリティグループは、AWS Direct Connectのセキュリティを管理するために使用されます。

解答解説を開く
【正解】
B) セキュリティグループは、インスタンスごとに設定される個別のファイアウォールルールです。

【解説】
セキュリティグループは、インスタンスごとに設定される個別のファイアウォールルールであり、インバウンドおよびアウトバウンドトラフィックの制御を行います。セキュリティグループは、アプリケーション層のセキュリティ管理やプライベートサブネット内のトラフィック制御にも使用されますが、それらは他のAWSリソース(たとえば、ネットワークACLやプライベートサブネット内のルートテーブルなど)との組み合わせで実現されます。AWS Direct Connectのセキュリティ管理には、別の機能やサービスが使用されます。

問題226:ネットワークACLに関する以下の記述のうち、正しいものはどれですか?

A) ネットワークACLはサブネットレベルでトラフィックを制御するためのセキュリティ機能です。
B) ネットワークACLはインスタンスレベルでトラフィックを制御するためのセキュリティ機能です。
C) ネットワークACLはVPC全体のトラフィックを制御するためのセキュリティ機能です。
D) ネットワークACLはAWSリージョン全体のトラフィックを制御するためのセキュリティ機能です。

解答解説を開く
【正解】
A) ネットワークACLはサブネットレベルでトラフィックを制御するためのセキュリティ機能です。

【解説】
ネットワークACLはAmazon Virtual Private Cloud(VPC)内の個々のサブネットに適用され、インバウンドおよびアウトバウンドのトラフィックを制御するために使用されます。インスタンスレベルの制御はセキュリティグループによって行われます。VPC全体またはAWSリージョン全体のトラフィックを制御するためには、別の手段が必要です。

よって、正解は「A) ネットワークACLはサブネットレベルでトラフィックを制御するためのセキュリティ機能です。」です。

問題227:ネットワークACLのルールはどのような順序で評価されますか?

A) ルールはルール番号の昇順に評価され、最初に一致したルールが適用される。
B) ルールはルール番号の降順に評価され、最後に一致したルールが適用される。
C) ルールはセキュリティグループ内の定義順に評価され、最初に一致したルールが適用される。
D) ルールはセキュリティグループ内の定義順に評価され、最後に一致したルールが適用される。

解答解説を開く
【正解】
A) ルールはルール番号の昇順に評価され、最初に一致したルールが適用される。

【解説】
ネットワークACL(Access Control List)とセキュリティグループは、ネットワーク上でトラフィックを制御するためのセキュリティ機能ですが、それぞれの挙動には違いがあります。

ネットワークACLは、サブネット内のインスタンスに対して送信または受信できるトラフィックを制御します。ルールは適用される順序によって動作が異なります。ルール番号は、最も低い番号のルールから評価されます。ルールがトラフィックに一致すると、高い数値のルールの有無にかかわらず、すぐに適用されます。

セキュリティグループは、EC2インスタンスに対して送信または受信できるトラフィックを制御します。セキュリティグループはルールの優先順位を持ちません。ルールはセキュリティグループ内で定義された順序に関係なく評価され、トラフィックを許可するかどうかを決める前に、すべてのルールを評価します。

以上のように、ネットワークACLとセキュリティグループのルール評価の仕組みに違いがあるため、注意して設定する必要があります。

問題228:セキュリティグループの変更に関連する次の記述のうち、正しいものはどれですか?

A) セキュリティグループの変更は、即座にすべてのインスタンスに反映されます。
B) セキュリティグループの変更は、インスタンスの再起動後にのみ反映されます。
C) セキュリティグループの変更は、関連するEC2インスタンスを停止してから適用する必要があります。
D) セキュリティグループの変更は、AWS CLIを使用してのみ行うことができます。

解答解説を開く
【正解】
A) セキュリティグループの変更は、即座にすべてのインスタンスに反映されます。

【解説】
セキュリティグループの変更は、即座にすべてのインスタンスに反映されます。セキュリティグループの変更は、インスタンスの再起動や停止は必要ありません。変更はリアルタイムで適用され、セキュリティグループに関連するトラフィックは新しいルールに基づいて制御されます。また、セキュリティグループの変更はAWS CLIだけでなく、AWS Management ConsoleやAWS SDKを使用して行うこともできます。

したがって、正しい選択肢はA)です。