AWS CLF　問題225-228：セキュリティグループ・ネットワークACL

【正解】
B) セキュリティグループは、インスタンスごとに設定される個別のファイアウォールルールです。

【解説】
セキュリティグループは、インスタンスごとに設定される個別のファイアウォールルールであり、インバウンドおよびアウトバウンドトラフィックの制御を行います。セキュリティグループは、アプリケーション層のセキュリティ管理やプライベートサブネット内のトラフィック制御にも使用されますが、それらは他のAWSリソース（たとえば、ネットワークACLやプライベートサブネット内のルートテーブルなど）との組み合わせで実現されます。AWS Direct Connectのセキュリティ管理には、別の機能やサービスが使用されます。

【正解】
A) ネットワークACLはサブネットレベルでトラフィックを制御するためのセキュリティ機能です。

【解説】
ネットワークACLはAmazon Virtual Private Cloud（VPC）内の個々のサブネットに適用され、インバウンドおよびアウトバウンドのトラフィックを制御するために使用されます。インスタンスレベルの制御はセキュリティグループによって行われます。VPC全体またはAWSリージョン全体のトラフィックを制御するためには、別の手段が必要です。

よって、正解は「A) ネットワークACLはサブネットレベルでトラフィックを制御するためのセキュリティ機能です。」です。

【正解】
A) ルールはルール番号の昇順に評価され、最初に一致したルールが適用される。

【解説】
ネットワークACL（Access Control List）とセキュリティグループは、ネットワーク上でトラフィックを制御するためのセキュリティ機能ですが、それぞれの挙動には違いがあります。

ネットワークACLは、サブネット内のインスタンスに対して送信または受信できるトラフィックを制御します。ルールは適用される順序によって動作が異なります。ルール番号は、最も低い番号のルールから評価されます。ルールがトラフィックに一致すると、高い数値のルールの有無にかかわらず、すぐに適用されます。

セキュリティグループは、EC2インスタンスに対して送信または受信できるトラフィックを制御します。セキュリティグループはルールの優先順位を持ちません。ルールはセキュリティグループ内で定義された順序に関係なく評価され、トラフィックを許可するかどうかを決める前に、すべてのルールを評価します。

以上のように、ネットワークACLとセキュリティグループのルール評価の仕組みに違いがあるため、注意して設定する必要があります。

【正解】
A) セキュリティグループの変更は、即座にすべてのインスタンスに反映されます。

【解説】
セキュリティグループの変更は、即座にすべてのインスタンスに反映されます。セキュリティグループの変更は、インスタンスの再起動や停止は必要ありません。変更はリアルタイムで適用され、セキュリティグループに関連するトラフィックは新しいルールに基づいて制御されます。また、セキュリティグループの変更はAWS CLIだけでなく、AWS Management ConsoleやAWS SDKを使用して行うこともできます。

したがって、正しい選択肢はA)です。