AWSコアサービスの詳細(VPC・IAM・EC2・S3・RDSなど)比較問題
Amazon VPCの「セキュリティグループ(Security Group)」と「ネットワークACL(Network Access Control List)」の違いとして、最も正確に説明しているものはどれですか?
A.セキュリティグループはサブネットレベルで適用され、ステートレスに動作する。ネットワークACLはインスタンスレベルで適用され、ステートフルに動作する。
✗ 説明が逆です。セキュリティグループはインスタンスレベルでステートフル、ネットワークACLはサブネットレベルでステートレスに動作します。
B.セキュリティグループはインスタンスレベルで適用され、ステートフルに動作する。ネットワークACLはサブネットレベルで適用され、ステートレスに動作する。← 正解
✓ 正解です。セキュリティグループはEC2インスタンスに紐付くステートフルなファイアウォールで、ネットワークACLはサブネット境界に適用されるステートレスなフィルタリング機能です。
C.セキュリティグループとネットワークACLはどちらもステートフルに動作するが、セキュリティグループはサブネット、ネットワークACLはインスタンスに適用される。
✗ どちらもステートフルというのは誤りです。ネットワークACLはステートレスであり、インバウンドとアウトバウンドを個別に設定する必要があります。
D.セキュリティグループはインバウンドトラフィックのみ制御でき、ネットワークACLはアウトバウンドトラフィックのみ制御できる。
✗ セキュリティグループもネットワークACLも、インバウンドとアウトバウンドの両方向のトラフィックを制御できます。