SAP-C02 第 427 题
题目
A medical company is running a REST API on a set of Amazon EC2 instances. The EC2 instances run in an Auto Scaling group behind an Application Load Balancer (ALB). The ALB runs in three public subnets, and the EC2 instances run in three private subnets. The company has deployed an Amazon CloudFront distribution that has the ALB as the only origin. Which solution should a solutions architect recommend to enhance the origin security?
中文翻译:
一家医疗公司正在一组 Amazon EC2 实例上运行 REST API。 EC2 实例在应用程序负载均衡器 (ALB) 后面的 Auto Scaling 组中运行。 ALB 在三个公有子网中运行,EC2 实例在三个私有子网中运行。该公司已部署以 ALB 作为唯一源的 Amazon CloudFront 发行版。解决方案架构师应该推荐哪种解决方案来增强源安全性?
选项
A. Store a random string in AWS Secrets Manager. Create an AWS Lambda function for automatic secret rotation. Configure CloudFront to inject the random string as a custom HTTP header for the origin request. Create an AWS WAF web ACL rule with a string match rule for the custom header. Associate the web ACL with the ALB.
中文翻译:
在 AWS Secrets Manager 中存储随机字符串。创建用于自动秘密轮换的 AWS Lambda 函数。配置 CloudFront 以注入随机字符串作为源请求的自定义 HTTP 标头。使用自定义标头的字符串匹配规则创建 AWS WAF Web ACL 规则。将 Web ACL 与 ALB 关联。
B. Create an AWS WAF web ACL rule with an IP match condition of the CloudFront service IP address ranges. Associate the web ACL with the ALMove the ALB into the three private subnets.
中文翻译:
使用 CloudFront 服务 IP 地址范围的 IP 匹配条件创建 AWS WAF Web ACL 规则。将 Web ACL 与 AL 关联将 ALB 移动到三个私有子网中。
C. Store a random string in AWS Systems Manager Parameter Store. Configure Parameter Store automatic rotation for the string. Configure CloudFront to inject the random string as a custom HTTP header for the origin request. Inspect the value of the custom HTTP header, and block access in the ALB.
中文翻译:
将随机字符串存储在 AWS Systems Manager Parameter Store 中。配置字符串的 Parameter Store 自动轮换。配置 CloudFront 以注入随机字符串作为源请求的自定义 HTTP 标头。检查自定义 HTTP 标头的值,并阻止 ALB 中的访问。
D. Configure AWS Shield Advanced Create a security group policy to allow connections from CloudFront service IP address ranges. Add the policy to AWS Shield Advanced, and attach the policy to the ALB.
中文翻译:
配置 AWS Shield Advanced 创建安全组策略以允许来自 CloudFront 服务 IP 地址范围的连接。将策略添加到 AWS Shield Advanced,并将策略附加到 ALB。
答案
A
解析
正确答案:A 解析: 本题应选择 A。 正确选项: A. 在 AWS Secrets Manager 中存储随机字符串。创建用于自动秘密轮换的 AWS Lambda 函数。配置 CloudFront 以注入随机字符串作为源请求的自定义 HTTP 标头。使用自定义标头的字符串匹配规则创建 AWS WAF Web ACL 规则。将 Web ACL 与 ALB 关联。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时...