Q60 — AWS ANS-C01 第1章
第 60/100 题 | ← 返回第1章
一家公司在单个AWS账户中拥有一个Transit Gateway。该公司将Transit Gateway的流日志发送至Amazon CloudWatch Logs日志组。该公司创建了一个AWS Lambda函数来分析这些日志。当某个VPC生成的流量被Transit Gateway丢弃时,Lambda函数会向Amazon Simple Notification Service(Amazon SNS)主题发送通知。每条通知包含账户ID、VPC ID以及被丢弃的数据包总数。该公司希望订阅一个新的Lambda函数到该SNS主题。该新Lambda函数必须能自动阻止每条通知中标识的流量离开VPC,方法是在生成该流量的VPC的Transit Gateway附件子网中应用网络ACL。哪种解决方案可满足这些要求?
- A. 配置现有Lambda函数,在每条SNS通知中添加被丢弃流量的目的IP地址。配置新Lambda函数使用网络ACL中的目的IP地址创建出站规则。
- B. 配置现有Lambda函数,在每条SNS通知中添加被丢弃流量的源IP地址。配置新Lambda函数使用网络ACL中的源IP地址创建入站规则。 ✓
- C. 配置现有Lambda函数,在每条SNS通知中添加被丢弃流量的源IP地址。配置新Lambda函数使用网络ACL中的源IP地址创建出站规则。
- D. 配置现有Lambda函数,在每条SNS通知中添加被丢弃流量的目的IP地址。配置新Lambda函数使用网络ACL中的目的IP地址创建入站规则。
正确答案: B. 配置现有Lambda函数,在每条SNS通知中添加被丢弃流量的源IP地址。配置新Lambda函数使用网络ACL中的源IP地址创建入站规则。
解析
AWS网络ACL配置与流量方向处理。AWS文档指出网络ACL的入站规则控制进入子网的流量。现有Lambda函数将源IP(发起被阻断流量的IP)加入通知,新Lambda据此在入站规则中阻止这些来源,阻止其进入子网,从而避免后续流量被Transit Gateway丢弃。选项B正确对应源IP与入站规则组合。其他选项未正确匹配流量方向与规则类型。