SAP-C02 第 243 题
题目
A company has a data lake in Amazon S3 that needs to be accessed by hundreds of applications across many AWS accounts. The company's information security policy states that the S3 bucket must not be accessed over the public internet and that each application should have the minimum permissions necessary to function. To meet these requirements, a solutions architect plans to use an S3 access point that is restricted to specific VPCs for each application. Which combination of steps should the solutions architect take to implement this solution? (Choose two.)
中文翻译:
一家公司在 Amazon S3 中拥有一个数据湖,多个 AWS 账户中的数百个应用程序需要访问该数据湖。该公司的信息安全政策规定,不得通过公共互联网访问 S3 存储桶,并且每个应用程序都应拥有运行所需的最低权限。为了满足这些要求,解决方案架构师计划使用仅限于每个应用程序的特定 VPC 的 S3 接入点。解决方案架构师应采取哪些步骤组合来实施该解决方案? (选择两个。)
选项
A. Create an S3 access point for each application in the AWS account that owns the S3 bucket. Configure each access point to be accessible only from the application’s VPC. Update the bucket policy to require access from an access point.
中文翻译:
为拥有 S3 存储桶的 AWS 账户中的每个应用程序创建一个 S3 访问点。将每个接入点配置为只能从应用程序的 VPC 访问。更新存储桶策略以要求从接入点进行访问。
B. Create an interface endpoint for Amazon S3 in each application's VPC. Configure the endpoint policy to allow access to an S3 access point. Create a VPC gateway attachment for the S3 endpoint.
中文翻译:
在每个应用程序的 VPC 中为 Amazon S3 创建接口终端节点。配置端点策略以允许访问 S3 访问点。为 S3 终端节点创建 VPC 网关连接。
C. Create a gateway endpoint for Amazon S3 in each application's VPConfigure the endpoint policy to allow access to an S3 access point. Specify the route table that is used to access the access point.
中文翻译:
在每个应用程序的 VP 中为 Amazon S3 创建网关终端节点,配置终端节点策略以允许访问 S3 访问点。指定用于访问接入点的路由表。
D. Create an S3 access point for each application in each AWS account and attach the access points to the S3 bucket. Configure each access point to be accessible only from the application's VPC. Update the bucket policy to require access from an access point.
中文翻译:
为每个 AWS 账户中的每个应用程序创建一个 S3 访问点,并将访问点附加到 S3 存储桶。将每个访问点配置为只能从应用程序的 VPC 访问。更新存储桶策略以要求从接入点进行访问。
E. Create a gateway endpoint for Amazon S3 in the data lake's VPC. Attach an endpoint policy to allow access to the S3 bucket. Specify the route table that is used to access the bucket.
中文翻译:
在数据湖的 VPC 中为 Amazon S3 创建网关终端节点。附加端点策略以允许访问 S3 存储桶。指定用于访问存储桶的路由表。
答案
AC
解析
正确答案:AC 解析: 本题应选择 AC。 正确选项: A. 为拥有 S3 存储桶的 AWS 账户中的每个应用程序创建一个 S3 访问点。将每个接入点配置为只能从应用程序的 VPC 访问。更新存储桶策略以要求从接入点进行访问。 C. 在每个应用程序的 VP 中为 Amazon S3 创建网关终端节点,配置终端节点策略以允许访问 S3 访问点。指定用于访问接入点的路由表。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02...