Developer Blog

2026324

【AWS SAA対策】NACLの通信設定を正しく理解する!HTTPとFTPの見抜き方

Written by

■ 問題

CloudFormationテンプレートにおいて、VPCとサブネットを構成した上で、ネットワークACLを利用した通信設定を行っています。このネットワークでは、パブリックサブネット内に対して制限なくHTTPによるアウトバウンドの通信許可設定が必要です。加えて、IPアドレス172.28.10.1のクライアントPCからFTPによるデータ転送のためのインバウンド接続を実施する必要があります。

正しいCloudFormationテンプレートの記述内容はどれでしょうか。ただし、その際はステートレスとなる対の通信許可の設定は考慮する必要はありません。(2つ選択してください。)

◾️選択肢

  1. NetworkAcl
    RuleNumber: 100
    RuleAction: allow
    Egress: true
    CidrBlock: 0.0.0.0/0
    PortRange:
    From: 22
    To: 22
  2. NetworkAcl
    RuleNumber: 110
    RuleAction: allow
    Egress: true
    CidrBlock: 0.0.0.0/0
    PortRange:
    From: 80
    To: 80
  3. NetworkAcl
    RuleNumber: 120
    RuleAction: allow
    Egress: false
    CidrBlock:172.28.10.1
    PortRange:
    From: 20
    To: 20
  4. NetworkAcl
    RuleNumber: 120
    RuleAction: allow
    Egress: false
    CidrBlock:172.28.10.1
    PortRange:
    From: 22
    To: 22
  5. NetworkAcl
    RuleNumber: 110
    RuleAction: allow
    Egress: true
    CidrBlock: 172.28.10.1
    PortRange:
    From: 80
    To: 80
  6. NetworkAcl
    RuleNumber: 110
    RuleAction: allow
    Egress: false
    CidrBlock: 0.0.0.0/0
    PortRange:
    From: 80
    To: 80

これより先は正解と解説です。

■ 正解

2. HTTPアウトバウンド(80 / Egress: true / 0.0.0.0/0)
3. FTPインバウンド(20 / Egress: false / 172.28.10.1)

■ 構成イメージ

クライアントPC
(172.28.10.1)
        │ FTP(20)
        ▼
パブリックサブネット
┌──────────────────────┐
│ NACL(インバウンド)    │
│ allow: 172.28.10.1    │
│ port: 20 (FTP DATA)   │
└──────────┬───────────┘
           │
           ▼
EC2(アプリ)

           ▲
           │ HTTP(80)
           │
┌──────────┴───────────┐
│ NACL(アウトバウンド) │
│ allow: 0.0.0.0/0      │
│ port: 80 (HTTP)       │
└──────────────────────┘

■ 全体的な説明

✔ オプション2(正解)

HTTPアウトバウンド通信の許可

Egress: true
Port: 80
Cidr: 0.0.0.0/0

👉 すべての宛先へHTTP通信可能

✔ オプション3(正解)

FTPインバウンド通信の許可

Egress: false
Port: 20
Cidr: 172.28.10.1

👉 特定IPからのFTPデータ通信を許可

■ NACLの重要ポイント(超頻出)

Egress: true  → アウトバウンド
Egress: false → インバウンド

■ ポート番号の基本

HTTP → 80
FTP(データ)→ 20
FTP(制御)→ 21
SSH → 22

👉 ここは丸暗記レベル

■ 不正解の理由

❌ ポート22(SSH)

👉 今回はFTP要件 → 不要

❌ HTTPを特定IPに制限

👉 問題は「制限なく」

0.0.0.0/0 が正解

❌ HTTPインバウンド

👉 要件は「アウトバウンド」

■ 試験ポイントまとめ

NACL問題

通信方向 → Egress
プロトコル → ポート番号
範囲 → CIDR

■ まとめ

HTTPアウトバウンドは「Egress: true / 80 / 0.0.0.0/0」、FTPインバウンドは「Egress: false / 20 / 特定IP」で設定する。

この問題は
👉 「通信方向 × ポート × CIDR」
の3点を正しく読めるかを問う典型問題です。

ここまで読んでいただき、ありがとうございます。もしこの記事の技術や考え方に少しでも興味を持っていただけたら、ネクストのエンジニアと気軽に話してみませんか。

  • 選考ではありません
  • 履歴書不要
  • 技術の話が中心
  • 所要時間30分程度
  • オンラインOK

エンジニアと話してみる

関連リンク

AI・クラウド・データ分析のご相談はネクスト株式会社までお問い合わせください。
アバター画像

お会いできるのを楽しみにしています

カジュアル面談に申し込むエントリーする