助け合いフォーラム
AWS ソリューションアーキテクト - アソシエイト(SAA-C03)
問題ID : 38077
問題を開く
ある製造企業は、各地域の工場から集めた製造データをオンプレミスのシステムで処理している。製造データはSFTPを利用してシステムに不定期に転送され、転送直後にシステムで簡単な分析ジョブが実行されている。この企業は、製造データの集約と分析を強化するため、これらの処理をAWSに移行したいと考えている。すでに各工場からAWSまではVPN接続が可能となっており、新しいシステムは既存の製造管理システムとの統合をサポートし高いセキュリティと冗長性を持つ必要がある。
これらの要件を最も効果的に満たす手段はどれか。
これらの要件を最も効果的に満たす手段はどれか。
正解
Transfer FamilyのインターナルSFTPサーバーを設置し、2つのAZとエンドポイントを接続する。保存先はS3バケットとする。製造データを分析するためのLambda関数を作成し、Transfer Familyのマネージドワークフローを使用して、Lambda関数を呼び出す
解説
AWS Transfer Familyは、AWSストレージ上へのセキュアなファイル転送を実現するマネージドサービスです。SFTP、FTPS、FTPなどをサポートし、Amazon S3およびAmazon EFSへセキュアにファイルの転送が可能です。
Transfer Familyのマネージドワークフローは、ファイルのアップロードやダウンロードをトリガーとして、処理を自動実行できる機能です。実行可能な処理には、ファイルのコピーやタグ付けなど基本的な処理に加えて、Lambda関数の呼び出しがあります。Lambda関数でカスタマイズ可能なアクションを定義し、ファイルをダウンロードしたあとにデータの変換、分析、データベースへの転送などの処理を自動化できます。
Transfer FamilyでSFTPサーバーなどを作成すると、ユーザーがアクセスするための接続エンドポイントが設定されます。エンドポイントには、インターネットからアクセス可能な「パブリックエンドポイント」と、VPCでホストされる「VPCエンドポイント」があります。
VPCエンドポイントは指定したVPC内からアクセス可能なエンドポイントで、「インターネット向け」と「内部向け」があります。パブリックエンドポイントとは異なり、セキュリティグループを使用して接続元を制限することが可能です。また、複数のAZにENIを設定することで、可用性を高めることができます。
この製造企業はすでに各工場からAWSへのVPN接続を確立しています。工場からAWS VPCへのプライベート接続が可能となり、パブリックネットワークを経由せずにVPC内のリソースにアクセスできます。「内部向けVPCエンドポイント」を使用したTransfer FamilyのインターナルSFTPサーバーを利用することで、インターネットを経由せずデータを転送できるためセキュリティを確保できます。また、高い冗長性が求められているため、2つのAZにENIを設定する必要があります。
製造データの保存先としては、耐久性や可用性の点で優れておりコスト効率もよいAmazon S3ストレージが最適です。さらに、製造データの分析処理が必要とされているため、AWS Lambda関数を作成し、Transfer Familyのマネージドワークフローを使用してLambda関数を呼び出すことで、データ分析の自動化を実現できます。
よって正解は
・Transfer FamilyのインターナルSFTPサーバーを設置し、2つのAZとエンドポイントを接続する。保存先はS3バケットとする。製造データを分析するためのLambda関数を作成し、Transfer Familyのマネージドワークフローを使用して、Lambda関数を呼び出す
です。
その他の選択肢については、以下のとおりです。
・Transfer FamilyのインターナルSFTPサーバーを設置し、1つのAZとエンドポイントを接続する。保存先はS3バケットとする。製造データを分析するためのEC2インスタンスを設定し、スケジュールされたジョブでデータ処理を行う
Transfer FamilyのSFTPサーバーを1つのアベイラビリティゾーンにのみ設定しているため、冗長性が不足しています。また、EC2インスタンスを使用しスケジュールされたジョブでのデータ処理は、EC2インスタンスの運用管理の手間が多くなります。よって誤りです。
・Transfer Familyのインターネット向けSFTPサーバーを設置し、2つのAZとエンドポイントを接続する。保存先はS3バケットとする。製造データを分析するためのLambda関数を作成し、S3バケット内のイベントに応じてLambda関数を呼び出す
本設問では各工場とVPN接続が可能となっているため、VPC内にインターネットを経由せずに接続できます。そのため高いセキュリティを確保できる内部向けのVPCエンドポイントが利用できます。インターネット向けのSFTPサーバーは適切ではありません。よって誤りです。
・Transfer Familyのインターネット向けSFTPサーバーを設置し、1つのAZとエンドポイントを接続する。保存先はS3バケットとする。製造データを分析するためのLambda関数を作成し、Transfer Familyのマネージドワークフローを使用してLambda関数を呼び出す
本設問では各工場とVPN接続が可能となっているため、VPC内にインターネットを経由せずに接続できます。そのため高いセキュリティを確保できる内部向けのVPCエンドポイントが利用できます。インターネット向けのSFTPサーバーは適切ではありません。また、Transfer FamilyのSFTPサーバーを1つのアベイラビリティゾーンにのみ設定しているため、冗長性も不足しています。よって誤りです。
Transfer Familyのマネージドワークフローは、ファイルのアップロードやダウンロードをトリガーとして、処理を自動実行できる機能です。実行可能な処理には、ファイルのコピーやタグ付けなど基本的な処理に加えて、Lambda関数の呼び出しがあります。Lambda関数でカスタマイズ可能なアクションを定義し、ファイルをダウンロードしたあとにデータの変換、分析、データベースへの転送などの処理を自動化できます。
Transfer FamilyでSFTPサーバーなどを作成すると、ユーザーがアクセスするための接続エンドポイントが設定されます。エンドポイントには、インターネットからアクセス可能な「パブリックエンドポイント」と、VPCでホストされる「VPCエンドポイント」があります。
VPCエンドポイントは指定したVPC内からアクセス可能なエンドポイントで、「インターネット向け」と「内部向け」があります。パブリックエンドポイントとは異なり、セキュリティグループを使用して接続元を制限することが可能です。また、複数のAZにENIを設定することで、可用性を高めることができます。
この製造企業はすでに各工場からAWSへのVPN接続を確立しています。工場からAWS VPCへのプライベート接続が可能となり、パブリックネットワークを経由せずにVPC内のリソースにアクセスできます。「内部向けVPCエンドポイント」を使用したTransfer FamilyのインターナルSFTPサーバーを利用することで、インターネットを経由せずデータを転送できるためセキュリティを確保できます。また、高い冗長性が求められているため、2つのAZにENIを設定する必要があります。
製造データの保存先としては、耐久性や可用性の点で優れておりコスト効率もよいAmazon S3ストレージが最適です。さらに、製造データの分析処理が必要とされているため、AWS Lambda関数を作成し、Transfer Familyのマネージドワークフローを使用してLambda関数を呼び出すことで、データ分析の自動化を実現できます。
よって正解は
・Transfer FamilyのインターナルSFTPサーバーを設置し、2つのAZとエンドポイントを接続する。保存先はS3バケットとする。製造データを分析するためのLambda関数を作成し、Transfer Familyのマネージドワークフローを使用して、Lambda関数を呼び出す
です。
その他の選択肢については、以下のとおりです。
・Transfer FamilyのインターナルSFTPサーバーを設置し、1つのAZとエンドポイントを接続する。保存先はS3バケットとする。製造データを分析するためのEC2インスタンスを設定し、スケジュールされたジョブでデータ処理を行う
Transfer FamilyのSFTPサーバーを1つのアベイラビリティゾーンにのみ設定しているため、冗長性が不足しています。また、EC2インスタンスを使用しスケジュールされたジョブでのデータ処理は、EC2インスタンスの運用管理の手間が多くなります。よって誤りです。
・Transfer Familyのインターネット向けSFTPサーバーを設置し、2つのAZとエンドポイントを接続する。保存先はS3バケットとする。製造データを分析するためのLambda関数を作成し、S3バケット内のイベントに応じてLambda関数を呼び出す
本設問では各工場とVPN接続が可能となっているため、VPC内にインターネットを経由せずに接続できます。そのため高いセキュリティを確保できる内部向けのVPCエンドポイントが利用できます。インターネット向けのSFTPサーバーは適切ではありません。よって誤りです。
・Transfer Familyのインターネット向けSFTPサーバーを設置し、1つのAZとエンドポイントを接続する。保存先はS3バケットとする。製造データを分析するためのLambda関数を作成し、Transfer Familyのマネージドワークフローを使用してLambda関数を呼び出す
本設問では各工場とVPN接続が可能となっているため、VPC内にインターネットを経由せずに接続できます。そのため高いセキュリティを確保できる内部向けのVPCエンドポイントが利用できます。インターネット向けのSFTPサーバーは適切ではありません。また、Transfer FamilyのSFTPサーバーを1つのアベイラビリティゾーンにのみ設定しているため、冗長性も不足しています。よって誤りです。
参考
【AWS Transfer Family】
AWS Transfer Familyは、AWSストレージ上へのセキュアなファイル転送を実現するマネージドサービスです。SFTP、FTPS、FTPなどをサポートし、Amazon S3およびAmazon EFSへセキュアにファイルの転送が可能です。Transfer Familyには独自の認証機能があり、SFTPユーザーのアカウント作成・管理ができます。さらに、AWS Directory ServiceやOkta、Azure ADなどの外部のIDプロバイダー(IdP)との連携も可能です。
【Transfer Familyの主要な機能】
Transfer Familyにはファイル転送に関する様々な機能があります。下記では代表的な機能を紹介します。
■Transfer Familyのエンドポイント
Transfer FamilyでSFTPサーバーなどを作成すると、ユーザーがアクセスするための接続エンドポイントが設定されます。エンドポイントには、インターネットからアクセス可能な「パブリックエンドポイント」と、VPCでホストされる「VPCエンドポイント」があります。
◯パブリックエンドポイント
パブリックエンドポイントはインターネット経由でアクセスできるので、リモートのユーザーや他社からのファイル転送に適しています。また、複数のAZに自動で配置されるので高い可用性があります。
[パブリックエンドポイントを利用したSFTPサーバー]
◯VPCエンドポイント
VPCエンドポイントは指定したVPC内からアクセス可能なエンドポイントで、「インターネット向け」と「内部向け」があります。パブリックエンドポイントとは異なり、セキュリティグループを使用して接続元を制限することが可能です。また、複数のAZにENIを設定することで、可用性を高めることができます。
・インターネット向けVPCエンドポイント
Elastic IPアドレスをVPCエンドポイントに関連付け、インターネットからパブリックサブネットを経由してアクセスします。
[インターネット向けVPCエンドポイントを利用したSFTPサーバー]
・内部向けVPCエンドポイント
VPC内のリソースや、VPCピアリング接続、AWS Direct Connect、AWS VPNなどから、プライベートネットワーク経由でアクセスします。
[内部向けVPCエンドポイントを利用したSFTPサーバー]
■マネージドワークフロー
Transfer Familyのマネージドワークフローは、ファイルのアップロードやダウンロードをトリガーとして、処理を自動実行できる機能です。実行可能な処理には、ファイルのコピーやタグ付けなど基本的な処理に加えて、Lambda関数の呼び出しがあります。Lambda関数でカスタマイズ可能なアクションを定義し、ファイルをダウンロードしたあとにデータの変換、分析、データベースへの転送などの処理を自動化できます。
AWS Transfer Familyは、AWSストレージ上へのセキュアなファイル転送を実現するマネージドサービスです。SFTP、FTPS、FTPなどをサポートし、Amazon S3およびAmazon EFSへセキュアにファイルの転送が可能です。Transfer Familyには独自の認証機能があり、SFTPユーザーのアカウント作成・管理ができます。さらに、AWS Directory ServiceやOkta、Azure ADなどの外部のIDプロバイダー(IdP)との連携も可能です。
【Transfer Familyの主要な機能】
Transfer Familyにはファイル転送に関する様々な機能があります。下記では代表的な機能を紹介します。
■Transfer Familyのエンドポイント
Transfer FamilyでSFTPサーバーなどを作成すると、ユーザーがアクセスするための接続エンドポイントが設定されます。エンドポイントには、インターネットからアクセス可能な「パブリックエンドポイント」と、VPCでホストされる「VPCエンドポイント」があります。
◯パブリックエンドポイント
パブリックエンドポイントはインターネット経由でアクセスできるので、リモートのユーザーや他社からのファイル転送に適しています。また、複数のAZに自動で配置されるので高い可用性があります。
[パブリックエンドポイントを利用したSFTPサーバー]
◯VPCエンドポイント
VPCエンドポイントは指定したVPC内からアクセス可能なエンドポイントで、「インターネット向け」と「内部向け」があります。パブリックエンドポイントとは異なり、セキュリティグループを使用して接続元を制限することが可能です。また、複数のAZにENIを設定することで、可用性を高めることができます。
・インターネット向けVPCエンドポイント
Elastic IPアドレスをVPCエンドポイントに関連付け、インターネットからパブリックサブネットを経由してアクセスします。
[インターネット向けVPCエンドポイントを利用したSFTPサーバー]
・内部向けVPCエンドポイント
VPC内のリソースや、VPCピアリング接続、AWS Direct Connect、AWS VPNなどから、プライベートネットワーク経由でアクセスします。
[内部向けVPCエンドポイントを利用したSFTPサーバー]
■マネージドワークフロー
Transfer Familyのマネージドワークフローは、ファイルのアップロードやダウンロードをトリガーとして、処理を自動実行できる機能です。実行可能な処理には、ファイルのコピーやタグ付けなど基本的な処理に加えて、Lambda関数の呼び出しがあります。Lambda関数でカスタマイズ可能なアクションを定義し、ファイルをダウンロードしたあとにデータの変換、分析、データベースへの転送などの処理を自動化できます。
解説文について
投稿日 2024/07/04
「この製造企業はすでに各工場からAWSまではVPN接続が可能となっているため、インターネットを経由せずVPC内にアクセス可能です。」
この一文がどうしても理解できません。
VPNはインターネット回線を利用してAWSにつながってるのではないのでしょうか。
つまりインターネットを利用しないとVPC内にアクセスできず、「インターネット向けVPCエンドポイント」からインターネット向けSFTPサーバーにつなぐといった認識は間違いなのでしょうか。
無知で申し訳ないですが、ご教示いただけると嬉しいです。
2024/07/06 14:34
確かに、VPN接続は物理的にはインターネット回線を利用します。ただVPN接続はVPNトンネルを作って通信しており、「インターネットを経由せず」の表現は「パブリックインターネット上で直接通信を行わない」という意味ではないでしょうか。
コメント
スタッフからの返信
この投稿に対して返信しませんか?
s staff_kuroyanagi
2024/07/06 17:47
noriaki5027 様 ご指摘の点を修正いたしました。 ご報告いただきまして、誠にありがとうございます。