まずここだけ押さえる
SAA-C03のVPC問題は、細かい用語暗記よりも 「どこからどこへ通信したいのか」 を分解できるかが勝負です。出題者が見ているのは、ほぼ次の3点に集約されます。
- 到達性(Reachability):通信したい相手に届く構成か
- 経路(Routing):ルートテーブルで“どこに流すか”が正しいか
- 名前解決(DNS):Route 53やVPC内DNSで名前が引けるか
ここを最短で理解するために、まずは全体の見取り図を1枚で持ってください。
VPCの超基本:パブリック/プライベートは「ルート」で決まる
よく「パブリック=外に出られる」「プライベート=外に出られない」と覚えがちですが、試験では “なぜ外に出られるか” を問われます。
- パブリックサブネット:サブネットのルートテーブルに 0.0.0.0/0 → IGW がある
- プライベートサブネット:0.0.0.0/0 が IGWに向いていない(NATやなし)
つまり、サブネット自体がパブリック/プライベートなのではなく、紐づくルートテーブルの設定でそう見える、というのがポイントです。
ルートテーブル / SG / NACL の役割分担
ここを混ぜると一気に沼ります。試験対策は、役割を割り切って覚えるのが最短です。
- ルートテーブル:どこへ流すか(道路)
- Security Group(SG):インスタンス単位の許可(建物の受付)※ステートフル
- NACL:サブネット単位の許可(敷地の門)※ステートレス(戻りも許可が必要)
よくある誤解:
「外に出られない=SGのせい」ではなく、まず疑うべきは ルートテーブル です。
最短チェックリスト
問題文を読んだら、次の順で確認すると迷いが減ります。
- 通信方向:インバウンド?アウトバウンド?双方向?
- 発信元/宛先:どのサブネット・どのAZ・どのサービス?
- 経路:0.0.0.0/0 はどこへ?(IGW/NAT/なし/Endpoint)
- IP:パブリックIP/EIPは必要?
- 名前解決:Route 53(Public/Private)やResolverが必要?
この後のブロックで、SAA-C03頻出の IGW/NAT/Endpoint/Route 53 を「出る形だけ」に絞って整理します。
IGW
IGW(Internet Gateway)は、VPCがインターネットと通信するための“出口”です。ただし、IGWをVPCにアタッチしただけでは通信できません。SAA-C03ではこの「できない理由」を問う問題が頻出です。
IGWでインターネットに出るための必須条件
EC2がインターネットと通信するには、少なくとも次がそろう必要があります。
- VPCに IGWがアタッチされている
- サブネットのルートテーブルに 0.0.0.0/0 → IGW がある
- EC2に パブリックIPv4(自動割当) or Elastic IP が付いている
- SG/NACLで必要ポートが許可されている(例:80/443/22など)
このうち、試験で一番問われるのは ルートテーブルとパブリックIP です。
図で覚える:パブリックサブネットの“定義”
[EC2] --(Subnet A: Public)--> [RouteTable]
0.0.0.0/0 -> IGW -> Internet
0.0.0.0/0 がIGWに向いている = パブリックサブネット
これを一発で言えるようになると、VPC問題の半分は勝ちです。
よくある引っかけ1:IGWがあるのに外へ出られない
典型パターンはこれです。
- ルートはIGW向き(OK)
- でもEC2にパブリックIPがない(NG)
プライベートIPだけ のEC2は、IGWがあってもインターネットから見えませんし、戻りの通信も成立しません(NATなど別経路が必要)。
よくある引っかけ2:踏み台(Bastion)とプライベートEC2の関係
試験でよく出る構成:
- パブリックサブネット:踏み台(SSH可)
- プライベートサブネット:アプリEC2(直接SSH不可)
ここでのポイントは、踏み台はパブリック(IGW向き)、アプリEC2はプライベート(IGW向きではない) にすること。
また、踏み台からアプリにSSHするなら、アプリ側SGで踏み台SGからの22を許可 します(IP固定よりSG参照が頻出)。
NAT(プライベートから外へ)— NAT Gateway/NAT Instance
プライベートサブネットのEC2が、OSアップデートや外部APIアクセスなどで インターネットへ“出ていく”必要がある。でもインターネットから “入ってこられたくない”。
この矛盾を解決するのがNATです。SAA-C03では NAT Gateway が主役です。
典型パターン:プライベート → インターネット
構成イメージはこれ。
Private Subnet (App EC2)
0.0.0.0/0 -> NAT Gateway
|
Public Subnet (NAT GW has EIP)
0.0.0.0/0 -> IGW -> Internet
重要:NATは「パブリックサブネットに置く」
NAT Gatewayは パブリックサブネット に配置し、Elastic IP を持って外へ出ます。
そして、プライベートサブネットのルートを NAT Gatewayへ向ける。これが鉄板です。
- プライベートサブネットのルート:0.0.0.0/0 → NAT GW
- NAT GWがあるパブリックサブネットのルート:0.0.0.0/0 → IGW
ここを逆にしたり、NATをプライベートに置いたりする選択肢が、試験では“わざと”混ぜられます。
NAT Gateway vs NAT Instance
SAA-C03では、基本は「NAT Gatewayを選ぶ」が正解に寄りやすいです。違いはこれだけ押さえればOKです。
- NAT Gateway:マネージド、スケール/可用性が高い、運用が楽
- NAT Instance:EC2で自前運用、SG適用可、コスト調整はしやすいが運用負荷大
選択問題で迷ったら:
“管理作業を最小化”“可用性を高める” → NAT Gateway を選びやすい
可用性の頻出:NAT GatewayはAZ単位
NAT Gatewayは 作成したAZに属します。
マルチAZ構成で可用性を上げるなら、AZごとにNAT GWを置き、各プライベートサブネットは同一AZのNATへルーティングが定石です。
よくある引っかけ:NATがあるのにS3へ遅い/高い
「プライベートからS3へアクセスしたい」という要件で、NAT経由にしていると 通信は可能 ですが、
- インターネット経由っぽい経路になる(設計として不自然)
- NAT Gatewayの処理/転送料金が増えることがある
- セキュリティ的にも“外に出ない”方が望ましい
このとき刺さるのが次の VPCエンドポイント です。
VPCエンドポイント(外に出ずにAWSへ)— Gateway/Interface
VPCエンドポイントは、ざっくり言うと 「インターネット(IGW/NAT)を経由せずにAWSサービスへ到達する仕組み」 です。SAA-C03では、NATとセットで比較される頻出テーマです。
最重要:Gateway型とInterface型の“出る覚え方”
試験でまず問われるのが「どっち?」です。最短で覚えるならこれでOK。
- Gateway Endpoint:S3 / DynamoDB
- Interface Endpoint(PrivateLink):それ以外(例:SSM、CloudWatch、ECR、KMS など)
Gateway Endpoint
- ルートテーブルにエントリが増える(経路として組み込むイメージ)
- 対象は基本 S3/DynamoDB のみ
- NACL/SGというより、ルートとポリシーが話題になりやすい
Interface Endpoint
- サブネットに ENI(プライベートIP) を作って接続する
- Security Group を付けられる(ここが頻出)
- DNSを有効にして、通常のサービス名で解決させる選択肢が出がち
典型パターン:プライベートEC2からS3へ
S3アクセスが目的なら、NATではなく Gateway Endpoint が王道です。
Private Subnet (EC2)
S3 Prefix List -> Gateway Endpoint -> S3
(Internet/NATを通らない)
試験で問われるメリットはこの3つに集約されます。
- セキュリティ:インターネットに出ない
- コスト最適化:NAT Gatewayの利用を減らせる可能性
- 設計の筋:AWS内通信として自然
典型パターン:SSMでプライベートEC2を管理したい
「踏み台をなくして運用したい」「プライベートのEC2にパッチ適用したい」などの要件でよく出るのが Systems Manager(SSM)。
このとき、インターネットに出さずに実現する選択肢として Interface Endpoint が頻出です(SSM/EC2Messages/SSMMessagesなど)。
よくある引っかけ:Endpointを作ったのに繋がらない
Interface Endpointで詰まりやすいポイントはこれ。
- EndpointのENIに付く SGが閉じている
- Private DNS を有効にしていない(問題文で明示されることがある)
- サブネット/ルート/DNS設定が要件と噛み合っていない
試験では「最小の変更で」「セキュアに」がキーワードになりやすいので、NAT追加よりEndpoint追加 が正解になるパターンを優先して覚えると効率的です。
Route 53(DNSとVPCの頻出)— Private Hosted Zone/Resolver/フェイルオーバー
Route 53はDNSサービスですが、SAA-C03では VPCと絡めた“名前解決” がよく出ます。ネットワークは経路だけでなく、名前が引けないと通信できない ので、最後にここを固めるとVPCが一段理解できます。
Public Hosted Zone と Private Hosted Zone の違い
- Public Hosted Zone:インターネットから引けるDNS
- Private Hosted Zone:特定VPC内からだけ 引けるDNS(VPCに関連付けが必要)
たとえば、社内システム app.internal を VPC内だけ で解決したいなら、Private Hosted Zoneが定石です。
超重要:Private Hosted Zoneは 「VPCに関連付けて初めて意味を持つ」
この関連付けをしていない選択肢が、試験の罠として出ます。
さらに頻出:オンプレとVPCのハイブリッド名前解決
Direct Connect / VPN などでオンプレとVPCをつないだ時、名前解決をどうするかが問われます。そこで出るのが Route 53 Resolver です。
- Inbound endpoint:オンプレ → VPC内のDNSを引きたい
- Outbound endpoint:VPC → オンプレDNSを引きたい
「どっち向きに問い合わせが飛ぶか」で覚えるとシンプルです。
レコード種別の頻出:ALIAS
Route 53では、AWSリソース(例:ALB、CloudFront、S3のウェブサイトエンドポイント等)に対して、ALIASレコード を使う選択肢がよく出ます。
- Aレコードのように見せつつ、AWSリソースを参照できる
- “CNAMEが使えない場面(例:ゾーン頂点)で使える” という文脈で出題されがち
細かい暗記より、「AWSのDNSっぽい答え=ALIAS」が刺さる場面を押さえるのが効率的です。
Route 53の“VPC頻出パターン”まとめ
- VPC内だけの名前解決 → Private Hosted Zone
- オンプレ↔VPCのDNS連携 → Resolver Inbound/Outbound
- AWSサービスへのDNS → ALIAS(選択肢にあれば要注目)
Udemyおすすめ
VPCは「読んで理解したつもり」になりやすい分、図解+ハンズオンで“経路を手で作る” のが最短です。Udemyは、SAA-C03の出題パターンに寄せた解説や模試が揃っていて、弱点補強に使いやすいです。
- おすすめ1:SAA-C03対策の総合講座(VPC図解・ネットワーク章が厚いもの)
→ IGW/NAT/Endpoint/Route 53を“問題の形”で整理しやすい - おすすめ2:VPC特化のハンズオン講座
→ ルートテーブル、NAT配置、エンドポイント作成を実機で体験できる - おすすめ3:SAA-C03模試(解説が詳しいもの)
→ 「IGW付けたのに出られない」などの引っかけパターンを反復できる
SAA-C03対策で評価の高いUdemy講座をまとめて確認できます。👇
まとめ
SAA-C03のVPCは、暗記より “頻出パターンの型” を持つのが最短です。まず「パブリック/プライベートはルートで決まる」を軸に、インターネットへ出るなら IGW+パブリックIP、プライベートから外へ出すなら NAT(NATはパブリックに置く) を押さえます。さらに、S3/DynamoDBは Gateway Endpoint、それ以外は Interface Endpoint を基本形として、NATを使わずAWSへ到達できる設計を覚えると得点源になります。
最後にRoute 53は、VPC内限定なら Private Hosted Zone、オンプレ連携なら Resolver(Inbound/Outbound)、AWSリソース向けなら ALIAS が頻出です。
理解を定着させるには、Udemyの図解講座+ハンズオン+模試で「経路を作る→間違える→修正する」を回すのが最短ルートです。VPCは一度型を掴めば安定して解ける分野なので、この記事の4点(IGW/NAT/Endpoint/Route 53)を“出る形”で反復して、SAA-C03の得点源に変えていきましょう。
