Q19 — AWS ANS-C01 第1章

第 19/100 题 | ← 返回第1章

一家金融交易公司使用Amazon EC2实例运行其交易平台。该平台的一部分包括一个第三方定价服务,EC2实例通过UDP端口50000与其通信。最近,该公司遇到了该定价服务的问题:部分来自定价服务的响应格式不正确,导致无法成功处理。第三方供应商请求访问该定价服务返回的数据,并希望登录一台访问该定价服务的EC2实例,以捕获请求和响应数据进行调试。该公司禁止直接访问生产系统,并要求所有日志分析均在专用监控账户中执行。

正确答案: C. 1. 配置流量镜像过滤器以捕获UDP数据。2. 配置流量镜像以捕获EC2实例弹性网络接口(ENI)的流量。3. 在监控账户中的一台新EC2实例上配置数据包检查软件包。将该新EC2实例的弹性网络接口用作流量镜像的目标。4. 使用数据包检查软件包提取数据。5. 将数据提供给第三方供应商。

解析

该题目涉及AWS网络流量捕获与跨账户日志管理的实现方式。AWS文档指出,VPC流量镜像(Traffic Mirroring)可将指定ENI的流量复制到目标实例,适用于需要捕获实际数据包内容的场景。选项C的关键在于将镜像流量发送至监控账户的实例,符合不允许直接访问生产系统且日志分析在独立账户进行的要求。选项A的VPC流日志仅记录元数据,无法获取具体数据包内容;选项B的目标实例位于生产环境,违反监控账户策略;选项D通过登录生产实例操作,直接违反安全规定。正确答案C通过配置流量镜像过滤器、跨账户目标镜像及数据提取流程,满足所有条件。