Q14 — AWS ANS-C01 第1章

第 14/100 题 | ← 返回第1章

一家公司使用Amazon CloudFront分发,其源站配置为Application Load Balancer(ALB)。一名网络工程师需要实施一种方案,要求所有进入ALB的入站流量均来自CloudFront。该网络工程师必须在网络层而非应用层实施该方案。 哪种解决方案能以最高运维效率满足这些要求?

正确答案: A. 向ALB的安全组添加一条入站规则,允许AWS托管的CloudFront前缀列表。

解析

该题核心考点在于如何在网络层强制ALB仅接收CloudFront流量。AWS官方推荐使用安全组配合托管前缀列表实现:安全组作为实例级防火墙,直接关联ALB实例;AWS管理的CloudFront前缀列表自动维护全球边缘节点IP地址,避免手动更新。选项B的网络ACL属于子网级控制且无状态,维护成本更高;选项C/D分别涉及应用层头验证和WAF规则,不符合网络层要求。正确答案通过单条安全组规则即达成精准高效的流量过滤。