Q83 — AWS ANS-C01 第1章
第 83/100 题 | ← 返回第1章
一家公司拥有在家办公的用户。该公司希望将这些用户迁移至 Amazon WorkSpaces,以增强安全可见性。 该公司已在自己的 AWS 账户中、VPC A 内部署了 WorkSpaces。一名网络工程师决定通过在网关负载均衡器(GWLB)后部署两台防火墙设备来实现安全可见性。该网络工程师在另一个账户中预置了另一个 VPC(VPC B),并在不同可用区中分别部署了这两台防火墙设备。 网络工程师应如何为此解决方案配置网络连接?
- A. 在 VPC A 中创建 GWLB,以防火墙设备实例为目标。使用 GWLB 创建 GWLB 终端节点。将 WorkSpaces 账户的 AWS 主体 ARN 添加到 GWLB 终端节点的主体允许列表中。在 WorkSpaces 账户中创建 VPC 终端节点,并指定 AWS 管理控制台为 GWLB 终端节点提供的服务名称。修改 VPC A 的路由表,将默认路由指向该 VPC 终端节点。
- B. 在 VPC B 中创建 GWLB,以防火墙设备实例为目标。使用 GWLB 创建 GWLB 终端节点。将 WorkSpaces 账户的 AWS 主体 ARN 添加到 GWLB 终端节点的主体允许列表中。在 WorkSpaces 账户中创建 VPC 终端节点,并指定 AWS 管理控制台为 GWLB 终端节点提供的服务名称。修改 VPC A 的路由表,将默认路由指向 GWLB 终端节点。 ✓
- C. 在 VPC B 中创建 GWLB,以防火墙设备实例为目标。使用 GWLB 创建 GWLB 终端节点。将 WorkSpaces 账户的 AWS 主体 ARN 添加到 GWLB 终端节点的主体允许列表中。在 WorkSpaces 账户中创建 VPC 终端节点,并指定 AWS 管理控制台为 GWLB 终端节点提供的服务名称。修改 VPC A 的路由表,将 WorkSpaces 子网指向该 VPC 终端节点。
- D. 在 VPC B 中创建 GWLB,以防火墙设备实例为目标。使用 GWLB 创建 GWLB 终端节点。将包含防火墙设备的账户的 AWS 主体 ARN 添加到 GWLB 终端节点的主体允许列表中。在 WorkSpaces 账户中创建 VPC 终端节点,并指定 AWS 管理控制台为 GWLB 终端节点提供的服务名称。修改 VPC A 的路由表,将默认路由指向该 VPC 终端节点。
正确答案: B. 在 VPC B 中创建 GWLB,以防火墙设备实例为目标。使用 GWLB 创建 GWLB 终端节点。将 WorkSpaces 账户的 AWS 主体 ARN 添加到 GWLB 终端节点的主体允许列表中。在 WorkSpaces 账户中创建 VPC 终端节点,并指定 AWS 管理控制台为 GWLB 终端节点提供的服务名称。修改 VPC A 的路由表,将默认路由指向 GWLB 终端节点。
解析
在这个场景中,公司希望将远程工作的用户迁移到 Amazon WorkSpaces 以增强安全可见性。为了实现这一目标,网络工程师决定在另一个账户中的 VPC B 中部署两个防火墙设备,并通过 Gateway Load Balancer(GWLB)来提供安全访问。A 选项错误,因为它试图在 VPC A 中创建 GWLB,但防火墙设备在 VPC B 中,这会导致网络配置复杂且不符合跨账户资源访问的常规做法。B 选项正确,因为它在 VPC B 中创建了 GWLB,防火墙设备作为目标,并通过 GWLB 创建了终端节点。此外,它还添加了 WorkSpaces 账户的 AWS 主体 ARN 到 GWLB 终端节点的允许列表中,以便 WorkSpaces 账户可以访问该终端节点。在 WorkSpaces 账户中,创建了 VPC 终端节点并指定了 GWLB 终端节点的服务名,然后修改了 VPC A 的路由表以指向 GWLB 终端节点,这允许从 VPC A 到 VPC B 中防火墙设备的流量路由。C 选项错误,因为它虽然指向了 GWLB 终端节点,但错误地修改了 VPC A 的路由表以指向 WorkSpaces 子网,而不是 GWLB 终端节点。D 选项错误,因为它错误地将包含防火墙设备的账户的 AWS 主体 ARN 添加到了 GWLB 终端节点的允许列表中,而应该是 WorkSpaces 账户的 ARN。