kz5835さんの投稿一覧

この問題の誤りの選択肢
「EC2インスタンスのあるVPCに、PrivateLinkを作成する。エンドポイントへのルーティングをルートテーブルに設定し、S3バケットへアクセスする」に対して、解説では、「PrivateLink（インターフェース型VPCエンドポイント）でも、EC2インスタンスからプライベートネットワーク経由でS3バケットへアクセスできますが、利用料金が発生します。」とされています。

一方、AI Assistantで確認したところでは、S3への接続にPrivateLinkは使用できないので
ゲートウェイ型のVPCエンドポイントの利用が必須であるとの情報が返ってきました。

AI Assistantの情報が誤りの可能性は十分にあると思うのですが、上記の解説の方が正しいか否かに
ついて、ご存じの方は、おられますでしょうか。
もしおられたら、教えて下さい。

また、もし、解説が誤っている場合には、記載内容を修正して頂けますと、有難いです。

宜しくお願いします。

ご質問の「デフォルトだとアウトバンドは許可」は
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/security-group-rules.html
によると、セキュリティグループを作成するときに、その様な設定が最初から入っているだけで、インバウンド、アウトバウンドともに、許可のみ設定でき、設定していない通信は拒否になる様です。

（上記urlから引用）
セキュリティグループを最初に作成するとき、リソースからのすべてのアウトバウンドトラフィックを許可するアウトバウンドルールが設定されます。ルールを削除し、任意の発信トラフィックのみを許可するアウトバウンドルールを追加できます。セキュリティグループにアウトバウンドルールがない場合、アウトバウンドトラフィックは許可されません。

上記から、ご質問にある
「インスタンスから意図しない通信が開始してしまった場合、デフォルトだとアウトバンドは許可されているので、それがインターネット宛に出ていってしまいます。」
への対処はセキュリティグループの機能で可能で、「アウトバウンドルールを全て削除」もしくは「ルールを削除し、任意の発信トラフィックのみを許可するアウトバウンドルールを追加」で対処できるかと思います。

この問題の解説にある図はマスク長は記載されておりませんが、仮に
以下として、質問させてください。
パブリックサブネット 172.16.0.0/24
ファイアウォールサブネット 172.16.1.0/24
プライベートサブネット 172.16.2.0/24
VPCのアドレス　172.16.0.0/16

図では下から上への通信が矢印で描かれていますが、その逆の
上から下への通信について、質問させてください。

他の問題のVPCの解説などの例では、パブリックサブネットのルートテーブルの例として
以下とされるていることが多いと思います。
送信先 ターゲット
0.0.0.0/0 インターネットGWのid
172.16.0.0/16 local

しかし、この問題の構成で、パブリックサブネットのルートテーブルが
上記の場合、インターネットからパブリックサブネットからプライベートサブネットのEC2に
通信が流れ、戻りの通信がNetWork Firewallを経由しない様に思われました。

このため、この問題の例でのパブリックサブネットのルートテーブルは
以下の様に、★の行が追加された状態（利用者が★を設定しておかないといけない状態）
と推測したのですが、正しいでしょうか。
送信先 ターゲット
0.0.0.0/0 インターネットGWのid
★172.16.2.0/24 ファイアウォールエンドポイントのid
172.16.0.0/16 local

AI Assistantで確認したところでは、★がなくとも、VPCが自動的に制御するので
★の設定はいらないと言っている様な、言っていない様な微妙な情報までしか得られなかった
ため、ここで、質問させて頂いております。

ご存じの方がおられましたら、教えて下さい。
宜しくお願いします。