SAP-C02 第 332 题
题目
A company recently migrated a web application from an on-premises data center to the AWS Cloud. The web application infrastructure consists of an Amazon CloudFront distribution that routes to an Application Load Balancer (ALB), with Amazon Elastic Container Service (Amazon ECS) to process requests. A recent security audit revealed that the web application is accessible by using both CloudFront and ALB endpoints. However, the company requires that the web application must be accessible only by using the CloudFront endpoint. Which solution will meet this requirement with the LEAST amount of effort?
中文翻译:
一家公司最近将 Web 应用程序从本地数据中心迁移到 AWS 云。 Web 应用程序基础设施由 Amazon CloudFront 分配组成,该分配路由到应用程序负载均衡器 (ALB),并使用 Amazon Elastic Container Service (Amazon ECS) 来处理请求。最近的安全审核显示,可以使用 CloudFront 和 ALB 端点访问该 Web 应用程序。但是,该公司要求只能使用 CloudFront 端点访问 Web 应用程序。哪种解决方案能够以最少的努力满足此要求?
选项
A. Create a new security group and attach it to the CloudFront distribution. Update the ALB security group ingress to allow access only from the CloudFront security group.
中文翻译:
创建一个新的安全组并将其附加到 CloudFront 分配。更新 ALB 安全组入口以仅允许从 CloudFront 安全组进行访问。
B. Update ALB security group ingress to allow access only from the com.amazonaws.global.cloudfront.origin-facing CloudFront managed prefix list.
中文翻译:
更新 ALB 安全组入口以仅允许从面向 com.amazonaws.global.cloudfront.origin 的 CloudFront 托管前缀列表进行访问。
C. Create a com.amazonaws.region.elasticloadbalancing VPC interface endpoint for Elastic Load Balancing. Update the ALB scheme from internet-facing to internal.
中文翻译:
为 Elastic Load Balancing 创建 com.amazonaws.region.elasticloadbalancing VPC 接口终端节点。将 ALB 方案从面向互联网更新为内部。
D. Extract CloudFront IPs from the AWS provided ip-ranges.json document. Update ALB security group ingress to allow access only from CloudFront IPs.
中文翻译:
从 AWS 提供的 ip-ranges.json 文档中提取 CloudFront IP。更新 ALB 安全组入口以仅允许从 CloudFront IP 进行访问。
答案
B
解析
正确答案:B 解析: 本题应选择 B。 正确选项: B. 更新 ALB 安全组入口以仅允许从面向 com.amazonaws.global.cloudfront.origin 的 CloudFront 托管前缀列表进行访问。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时,需要同时对照题干里的限定词,例如最高性能、最低运维开销、成本效益、可靠性、可扩展性、安全性、RTO/RPO、合规要求等。本题相关考点主要包...