ハイブリッド(オンプレ+AWS)で Direct Connect(DX) を使っているときに、東京リージョンのLambdaからオンプレDBへ安全にアクセスさせたい――SAAで頻出の王道問題です。
この手の問題は、単に「正解を選ぶ」だけでなく、
- DX接続済み=何が前提として成立している?
- LambdaはVPC外だと何ができない?
- ルートテーブルとSGの役割の違いは?
- DXならVGW/TGWは確定なの?
まで理解すると、類題を落としません
問題の要点
新規に AWS Direct Connect を構成
オンプレネットワーク ↔ 東京リージョンのVPC が接続されている
東京リージョンに作成した Lambda関数 から
データセンターの オンプレDBへプライベートネットワーク経由で安全にアクセスしたい
それではまず問題を解いてみましょう。
【問題】
ある会社は、オンプレミス環境とAWSを利用したハイブリッドクラウド環境を利用することになり、新規にAWS Direct Connect接続を構成しました。これにより、オンプレミスネットワークと東京リージョンのVPCとが接続されています。あなたはソリューションアーキテクトとして、東京リージョン内に新規にAWS Lambda関数を作成しました。この関数はデータセンターにあるデータベースにプライベートネットワーク経由で安全にアクセスする必要があります。
この要件を満たすための最適なLambda関数の構成はどれでしょうか。
選択肢
- Lambda関数をVPC外に起動する。VPCエンドポイントを利用してVPC内にアクセスして、Direct Connect経由でデータベースへのアクセスルートを設定する。
- Lambda関数をVPC内のプライベートサブネットに起動する。適切なセキュリティグループを使用して、データベースのIPアドレスを指定してアクセスを設定する。
- Lambda関数をVPC外に起動する。プライベートリンク接続を利用してVPC内にアクセスして、Direct Connect経由でデータベースへのアクセスルートを設定する。
- Lambda関数をVPC内のプライベートサブネットに起動する。適切なルートテーブルを使用して、データベースへのアクセスを許可する。
この問題のポイントは「新規にAWS Direct Connect接続を構成した」ということ
ここから先は正解と解説が載っているのでまずは何が正解か考えて見ましょう。
✅【正解】
2. Lambda関数をVPC内のプライベートサブネットに起動する。
適切なセキュリティグループを使用して、データベースのIPアドレスを指定してアクセスを設定する。
まず結論:この問題が問うているのは「DX構築」ではなく「Lambdaの配置」
問題文の時点で、
「DXによりオンプレとVPCが接続されています」
と書かれているため、オンプレ⇄VPCの到達性(ルート)はすでにある前提です。
つまり試験は以下を問うている
・DXをどう作るか?(VGW/TGWをどうするか?)ではなく
・その“既存の接続”を Lambdaから利用できる状態にするにはどうするか?
✅ 正解構成図(最小構成で理解する)
オンプレDC(DB: 10.10.10.10)
▲
│ (プライベート通信)
│
Direct Connect
│
VGW または TGW(※すでに存在する前提)
│
┌─────────────── AWS 東京リージョン ───────────────┐
│ VPC │
│ ┌───────────────────────────────┐ │
│ │ Private Subnet │ │
│ │ Lambda(VPCに関連付け) │ │
│ │ └ ENIが作られVPC内IPで送信 │ │
│ │ SG: DB IP/Portへ egress許可 │ │
│ └───────────────────────────────┘ │
│ ルートテーブル: オンプレ宛CIDR → VGW/TGW │
└─────────────────────────────────────────────────┘
なぜ「LambdaをVPC内」に置く必要があるのか?
Lambdaはデフォルトだと VPC外(AWS管理ネットワーク) で動きます。
❌ VPC外Lambdaのイメージ
・あなたのVPCのルートテーブル(DX向けルート)に乗れない
・結果、DX経由でオンプレへプライベート到達させる前提が崩れる
✅ VPC内Lambdaのイメージ
・起動時に ENI(ネットワークインターフェース) がサブネットに作成される
・通信が VPCのルーティング に従って流れる
・その結果、DX経由でオンプレへ到達できる
「SGでDBのIPアドレスを指定」が正解になる理由
ここは試験でよく問われる 役割分担です。
・ルートテーブル:どこに流すか(到達性)
・セキュリティグループ:通信を許可するか(許可制御)
オンプレDBに安全に接続するにはいかが必要
・到達できる(DX・ルートがある)
・許可されている(SG/FW/DB側許可がある)
よって、選択肢としては SGを明示している方が“安全に”を満たすため正解になります。
「DX使ってる=VGW/TGW確定なの?」
Direct Connectを使っているだけではVGW/TGWは確定しません。
ただし今回の問題は、
「オンプレとVPCが接続されている」
と明言されています。
VPCへ到達させるには、一般に VGW または TGW のどちらかを経由する必要があります。
つまりこの問題では以下の生理ができます。
・VGW or TGW が存在している前提(どちらかは不問)
・設問が聞いているのは Lambdaがそれを利用できるか だけ
❌ 不正解の選択肢がダメなポイント
❌ 1) VPC外Lambda + VPCエンドポイントでVPCへアクセス
VPCエンドポイント(Gateway/Interface Endpoint)は
VPC内からAWSサービスへプライベートに出るための仕組み
です。
- VPC外のLambdaが「VPCへ入る入口」にはならない
→ 発想が成立しません。
❌ 3) VPC外Lambda + PrivateLinkでVPCへアクセス
PrivateLinkは
VPC内のサービスを他VPC/他アカウントから安全に利用する仕組み
で、DX経由でオンプレDBへ行くための“入口”ではありません。
今回の主題(DX経由オンプレDB)と合わないため不正解。
❌ 4) VPC内Lambda + ルートテーブルでアクセスを許可
ここが典型的なひっかけ。
- ルートテーブルは 許可/拒否 をしない
- あくまで 経路 の決定
「許可」は SG / NACL / オンプレFW です。
また、選択肢の言い回しとしても
「ルートテーブルで許可」は試験的に誤り扱いになりやすいです。
実務で外しやすい補足(試験+現場で効く)
1) オンプレ側の許可も必要
AWS側SGだけで終わりではなく、オンプレ側のFW/DBでも
- 送信元(VPC CIDR など)
- ポート(例:3306/5432)
を許可する必要があります。
2) NATは必須ではない
VPC内Lambdaは外部へ出る場合NATが必要ですが、今回は
- オンプレDBへプライベート接続
なので NATが必須とは限りません。
試験での見抜き方(暗記テンプレ)
- DXでオンプレ↔VPC接続済み
→ 接続自体は前提(VGW/TGWの話は省略されがち) - Lambdaからオンプレへプライベート接続
→ ✅ LambdaをVPC内に関連付ける(Private Subnet) - 安全にアクセス
→ ✅ SGでDBのIP/Portを許可(+オンプレFW)
まとめ
この問題の正解は「構成の全てを書く」ではなく、問われている箇所だけを正しく選ぶこと。
- DXでオンプレ↔VPCは すでに繋がっている前提
- Lambdaがその経路を使うには VPC内に置く必要がある
- “安全に”を満たすには SG(許可) が必要
- ルートテーブルは許可ではなく 経路
ここまで読んでいただき、ありがとうございます。もしこの記事の技術や考え方に少しでも興味を持っていただけたら、ネクストのエンジニアと気軽に話してみませんか。
- 選考ではありません
- 履歴書不要
- 技術の話が中心
- 所要時間30分程度
- オンラインOK
