SAP-C02 第 418 题
题目
A company needs to improve the security of its web-based application on AWS. The application uses Amazon CloudFront with two custom origins. The first custom origin routes requests to an Amazon API Gateway HTTP API. The second custom origin routes traffic to an Application Load Balancer (ALB). The application integrates with an OpenID Connect (OIDC) identity provider (IdP) for user management. A security audit shows that a JSON Web Token (JWT) authorizer provides access to the API. The security audit also shows that the ALB accepts requests from unauthenticated users. A solutions architect must design a solution to ensure that all backend services respond to only authenticated users. Which solution will meet this requirement?
中文翻译:
一家公司需要提高其在 AWS 上基于 Web 的应用程序的安全性。该应用程序使用具有两个自定义源的 Amazon CloudFront。第一个自定义源将请求路由到 Amazon API Gateway HTTP API。第二个自定义源将流量路由到应用程序负载均衡器 (ALB)。该应用程序与 OpenID Connect (OIDC) 身份提供商 (IdP) 集成以进行用户管理。安全审核显示 JSON Web 令牌 (JWT) 授权者提供对 API 的访问。安全审计还显示 ALB 接受未经身份验证的用户的请求。解决方案架构师必须设计一个解决方案,以确保所有后端服务仅响应经过身份验证的用户。哪种解决方案可以满足这个要求?
选项
A. Configure the ALB to enforce authentication and authorization by integrating the ALB with the IdP. Allow only authenticated users to access the backend services.
中文翻译:
配置 ALB 以通过将 ALB 与 IdP 集成来强制执行身份验证和授权。仅允许经过身份验证的用户访问后端服务。
B. Modify the CloudFront configuration to use signed URLs. Implement a permissive signing policy that allows any request to access the backend services.
中文翻译:
修改 CloudFront 配置以使用签名 URL。实施宽松的签名策略,允许任何请求访问后端服务。
C. Create an AWS WAF web ACL that filters out unauthenticated requests at the ALB level. Allow only authenticated traffic to reach the backend services.
中文翻译:
创建一个 AWS WAF Web ACL,在 ALB 级别过滤掉未经身份验证的请求。仅允许经过身份验证的流量到达后端服务。
D. Enable AWS CloudTrail to log all requests that come to the ALB. Create an AWS Lambda function to analyze the logs and block any requests that come from unauthenticated users.
中文翻译:
启用 AWS CloudTrail 以记录发送到 ALB 的所有请求。创建 AWS Lambda 函数来分析日志并阻止来自未经身份验证的用户的任何请求。
答案
A
解析
正确答案:A 解析: 本题应选择 A。 正确选项: A. 配置 ALB 以通过将 ALB 与 IdP 集成来强制执行身份验证和授权。仅允许经过身份验证的用户访问后端服务。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时,需要同时对照题干里的限定词,例如最高性能、最低运维开销、成本效益、可靠性、可扩展性、安全性、RTO/RPO、合规要求等。本题相关考点主要包括:API Gateway、Lambda、CloudF...