Q4 — AWS ANS-C01 第1章

第 4/100 题 | ← 返回第1章

一名网络工程师需要标准化公司集中化管理接口VPC端点以实现与AWS服务私有通信的方法。该公司使用AWS Transit Gateway,通过中心-分支模型在多个AWS账户之间实现VPC互连。公司的网络服务团队必须在共享服务AWS账户中统一管理所有Amazon Route 53托管区域和接口端点。公司希望使用此集中化模型,使AWS资源能够在不经过公共互联网的情况下访问AWS密钥管理服务(AWS KMS)。

正确答案: A. 在共享服务账户中为AWS KMS创建一个接口端点。修改该接口端点,禁用私有DNS名称。在共享服务账户中创建一个私有托管区域,其中包含一个指向该接口端点的别名记录。将该私有托管区域与各AWS账户中的分支VPC关联。

解析

为了满足公司使用集中化模型为AWS资源提供访问AWS Key Management Service(AWS KMS)的需求,同时避免流量通过公共互联网传输,网络工程师应该采取以下步骤:在共享服务账户中为AWS KMS创建一个接口端点;修改该接口端点,禁用私有DNS名称;在共享服务账户中创建一个私有托管区域,其中包含一个指向该接口端点的别名记录;将该私有托管区域与各AWS账户中的分支VPC关联。该方案确保所有分支VPC均可通过私有DNS解析访问集中托管的KMS接口端点,符合集中化管理、安全性和可扩展性要求。