SAP-C02 第 162 题
题目
A company runs an application on a fleet of Amazon EC2 instances that are in private subnets behind an internet-facing Application Load Balancer (ALB). The ALB is the origin for an Amazon CloudFront distribution. An AWS WAF web ACL that contains various AWS managed rules is associated with the CloudFront distribution. The company needs a solution that will prevent internet traffic from directly accessing the ALB. Which solution will meet these requirements with the LEAST operational overhead?
中文翻译:
一家公司在一组 Amazon EC2 实例上运行应用程序,这些实例位于面向互联网的应用程序负载均衡器 (ALB) 后面的私有子网中。 ALB 是 Amazon CloudFront 发行版的起源。包含各种 AWS 托管规则的 AWS WAF Web ACL 与 CloudFront 分配关联。该公司需要一种解决方案来阻止互联网流量直接访问 ALB。哪种解决方案能够以最少的运营开销满足这些要求?
选项
A. Create a new web ACL that contains the same rules that the existing web ACL contains. Associate the new web ACL with the ALB.
中文翻译:
创建一个新的 Web ACL,其中包含与现有 Web ACL 相同的规则。将新的 Web ACL 与 ALB 关联。
B. Associate the existing web ACL with the ALB.
中文翻译:
将现有 Web ACL 与 ALB 关联。
C. Add a security group rule to the ALB to allow traffic from the AWS managed prefix list for CloudFront only.
中文翻译:
向 ALB 添加安全组规则,以仅允许来自 CloudFront 的 AWS 托管前缀列表的流量。
D. Add a security group rule to the ALB to allow only the various CloudFront IP address ranges.
中文翻译:
向 ALB 添加安全组规则,以仅允许各种 CloudFront IP 地址范围。
答案
C
解析
正确答案:C 解析: 本题应选择 C。 正确选项: C. 向 ALB 添加安全组规则,以仅允许来自 CloudFront 的 AWS 托管前缀列表的流量。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时,需要同时对照题干里的限定词,例如最高性能、最低运维开销、成本效益、可靠性、可扩展性、安全性、RTO/RPO、合规要求等。本题相关考点主要包括:CloudFront、EC2、WAF。 排除思路: A、B、D 通...