Q14 — AWS ANS-C01 第1章
第 14/100 题 | ← 返回第1章
一家公司使用Amazon CloudFront分发,其源站配置为Application Load Balancer(ALB)。一名网络工程师需要实施一种方案,要求所有进入ALB的入站流量均来自CloudFront。该网络工程师必须在网络层而非应用层实施该方案。 哪种解决方案能以最高运维效率满足这些要求?
- A. 向ALB的安全组添加一条入站规则,允许AWS托管的CloudFront前缀列表。 ✓
- B. 向与ALB子网关联的网络ACL添加一条入站规则。在该规则中,将AWS托管的CloudFront前缀列表用作源地址。
- C. 配置CloudFront,为其发送至ALB的请求添加自定义HTTP头。
- D. 将AWS WAF Web ACL关联至ALB。配置AWS WAF规则,仅允许来自CloudFront IP集合的流量。使用AWS Lambda函数自动更新CloudFront IP集合。
正确答案: A. 向ALB的安全组添加一条入站规则,允许AWS托管的CloudFront前缀列表。
解析
该题核心考点在于如何在网络层强制ALB仅接收CloudFront流量。AWS官方推荐使用安全组配合托管前缀列表实现:安全组作为实例级防火墙,直接关联ALB实例;AWS管理的CloudFront前缀列表自动维护全球边缘节点IP地址,避免手动更新。选项B的网络ACL属于子网级控制且无状态,维护成本更高;选项C/D分别涉及应用层头验证和WAF规则,不符合网络层要求。正确答案通过单条安全组规则即达成精准高效的流量过滤。