tsumiki-media logo

tsumiki-media

AWS設定比較2025/8/24
約6分
上級
7/10
AWSSCSC02設定比較CloudFront

AWS SCS-C02 対策 地理的制限 Route53 vs WAF vs CloudFront

地理的制限の実装パターンを理解し、CloudFront、WAF、Route53の使い分けを把握する。実践的な問題を通じて、各サービスの特徴と適切な選択基準を解説します。

この記事のポイント

  • 1
    CloudFront、WAF、Route53による地理的制限の実装方法の違いを理解する
  • 2
    各サービスの地理的制限機能の特徴と制約を把握する
  • 3
    シナリオに応じた適切な地理的制限実装の選択基準を実践問題で確認する

目次

地理的制限の実装パターン

AWSで地理的制限を実装する際、CloudFront、WAF、Route533つの主要サービスがあり、それぞれ異なるレイヤーで動作します。資格試験では、これらのサービスの特徴と制約理解し、シナリオに応じた適切な選択求められます。

各サービスは制限を適用するレイヤー異なり、制限の粒度組み合わせ可能な機能異なります。これらの違いを理解することが、試験問題を迅速に解くための鍵となります。

資格試験での重要トピック

地理的制限に関連した資格試験で重要なトピックを解説します。

CloudFront vs WAF vs Route53 の地理的制限比較

3つのサービスの地理的制限機能を比較し、それぞれの動作レイヤー制限粒度追加機能違いを理解します。

AWS CloudFront

動作レイヤー
エッジレベル(CDN)
制限タイプ
完全ブロック
制限粒度
国レベルのみ
レート制限
非対応
設定の簡易性
非常に簡単
適用対象
静的・動的コンテンツ

AWS WAF

動作レイヤー
アプリケーションレベル
制限タイプ
条件付きブロック
制限粒度
国レベル + 他条件
レート制限
レートベースルール対応
設定の簡易性
複雑(ルール設定要)
適用対象
HTTP/HTTPS通信

Amazon Route 53

動作レイヤー
DNSレベル
制限タイプ
ルーティング変更
制限粒度
大陸/国/州レベル
レート制限
非対応
設定の簡易性
中程度
適用対象
DNS解決

CloudFront地理的制限最も簡単実装できます。ディストリビューション設定で国を選択するだけで、エッジロケーショントラフィックをブロックします。ただし、国レベルのみ制限で、レート制限は不可です。

AWS WAF地理的一致ルール最も柔軟です。地理的条件を他の条件と組み合わせて複雑なルールを作成できます。また、レートベースルールとの併用で、特定地域からの過剰なリクエストも制限できます。

Route53ジオロケーションDNSレベル動作し、地域に応じて異なるエンドポイントに誘導します。これは完全なブロックではなく、ルーティングの変更です。州レベルまでの細かい制御が可能ですが、直接的なアクセス制限ではないことに注意が必要です。

組み合わせパターンと実装レイヤー

実際のシナリオでは、これらのサービスを組み合わせて多層防御実装することが推奨されます。

地理的制限の実装レイヤーと組み合わせパターン

地理的制限の実装レイヤーと組み合わせパターン

図の最上層にあるRoute53(DNSレベル)は、最初の防御ラインとして機能します。特定地域からのDNSクエリに対して、エラーページや別のリソースに誘導できます。ただし、IPアドレス直接アクセスDNSキャッシュより迂回される可能性があります。

中間層のCloudFront(エッジレベル)は、CDNの各エッジロケーションで地理的制限を適用します。国単位でのシンプルな制限最適で、設定も簡単です。S3コンテンツの保護には、オリジンアクセス制御(OAC)との併用が必須です。

最下層のWAF(アプリケーションレベル)は、最も詳細な制御が可能です。地理的条件とレート制限の組み合わせより、「特定国からの1分間100リクエスト以上をブロック」といった複雑な要件にも対応できます。CloudFront、ALB、API Gatewayなど複数のサービスと統合可能です。

資格試験では、「地域制限+レート制限」の要件がある場合はWAF「シンプルな国別ブロック」ならCloudFront「地域別の異なるコンテンツ配信」ならRoute53いう判断基準を覚えておくことが重要です。

実践問題で確認

ここまで学んだ地理的制限の実装パターンを、実践的な問題で確認しましょう。各問題は実際の企業シナリオに基づいており、適切なサービスの選択能力を評価します。

AWS認定セキュリティ - 専門知識

練習問題

あるエンターテイメント企業は、グローバルな動画配信サービスを運営しています。このサービスでは、コンテンツは Amazon S3 に保存され、Amazon CloudFront を通じて配信されています。最近の監査で、特定のコンテンツが、企業が放映権を持っていない国や地域でアクセスされていることが判明しました。 セキュリティチームは、地域的な制限を確実に実施し、各国の法的要件を遵守するためのソリューションを実装する必要があります。また、特定の国からの異常に高いリクエスト数を検出し、レート制限を適用することも求められています。 地域制限とレート制限の両方の要件を満たすために、この企業が実装すべき組み合わせはどれですか?(2つ選択してください)

AWS認定セキュリティ - 専門知識

練習問題

ある教育機関では、オンライン学習プラットフォームを提供しており、教材の画像をAmazon S3バケットに保存しています。これらの画像はAmazon CloudFrontを通じてエンドユーザーに配信されています。最近、教育機関はライセンス契約上の理由から、一部の地域では教材へのアクセスを制限する必要があることがわかりました。 セキュリティエンジニアは、どのようにしてこれらの教材を保護し、指定された地域からのアクセスを制限すべきですか?(2つ選択してください)

AWS認定セキュリティ - 専門知識

練習問題

ある日本のメディア企業が、映画やテレビ番組のストリーミングプラットフォームを運営しています。このプラットフォームのコンテンツは日本国内での視聴権限しか持っていません。現在、コンテンツはAmazon S3バケットに保存され、ユーザーフロントエンドはReactベースのシングルページアプリケーション(SPA)として実装されています。アプリケーションはAmazon API Gatewayを介してAWS Lambdaファンクションにアクセスし、メディアファイルへのサインされたURLを生成しています。 最近、セキュリティチームは国外からのアクセスが増加していることを検出し、コンテンツの地域制限を強化する必要があると判断しました。また、一部のIPアドレスから異常に多数のリクエストが発生しており、レート制限も実装する必要があります。 これらの要件を満たすために、セキュリティチームはどのような対策を講じるべきですか?(2つ選択してください)

まとめ

地理的制限の実装では、要件に応じた適切なサービスの選択重要です。CloudFront、WAF、Route53はそれぞれ異なるレイヤーで動作し、特有の機能と制約があります。

エッジレベルで国単位のアクセス制限を簡単に実装。設定が最も簡単で、静的・動的コンテンツの両方に対応。ただしレート制限は非対応で、OACとの併用でS3直接アクセスを防ぐ必要があります。

地理的一致ルールとレートベースルールを組み合わせて複雑な要件に対応。「特定国から1分間100リクエスト以上をブロック」といった詳細な制御が可能。CloudFront、ALB、API Gatewayと統合できます。

DNSレベルで地域別に異なるエンドポイントへ誘導。完全なブロックではなくルーティング変更。州レベルまでの細かい制御が可能ですが、IPアドレス直接アクセスで迂回される可能性があります。

資格試験では、「地域制限+レート制限」はCloudFront+WAF「シンプルな国別制限」はCloudFront単体「地域別コンテンツ配信」はRoute53いう判断基準を覚えておくことで、問題を迅速に解けるようになります。

理解度チェック

CloudFront(国レベル・簡単)、WAF(条件組み合わせ・レート制限可)、Route53(DNS誘導・完全ブロックではない)の違いを説明できるか?

「地域制限+レート制限」の要件がある場合はCloudFront+WAFの組み合わせが必要であることを理解しているか?

他の問題も解いてみませんか?

tsumikiでは、AWS認定試験の合格に必要な知識を体系的に学習できます。実践的な問題を通じて、AWSスキルを身につけましょう。

tsumikiで学習する