Q95 — AWS ANS-C01 第1章
第 95/100 题 | ← 返回第1章
一家银行公司拥有一款应用,该应用必须从VPC连接至特定公网IP地址。一名网络工程师已在与该应用子网关联的路由表中配置了路由,通过互联网网关将所需公网IP地址指向目标。该网络工程师需要设置电子邮件通知,以便在用户向该应用子网的路由表添加以互联网网关为目标的默认路由时发出警报。哪种解决方案能以最少的实施工作量满足这些要求?
- A. 创建一个AWS Lambda函数,读取路由表中的路由并发送电子邮件通知。配置该Lambda函数,当检测到任何指向互联网网关的0.0.0.0/0或::/0 CIDR路由时发送邮件通知。配置该Lambda函数每分钟运行一次。 ✓
- B. 创建一个AWS Lambda函数,由Amazon EC2 CreateRoute API调用触发。配置该Lambda函数发送电子邮件通知。配置该Lambda函数,当检测到任何指向互联网网关的0.0.0.0/0或::/0 CIDR路由时发送邮件通知。
- C. 使用internet-gateway-authorized-vpc-only托管规则为路由表创建AWS Config规则。创建一个Amazon EventBridge规则,匹配该AWS Config规则并将事件路由至Amazon Simple Notification Service(Amazon SNS)主题以发送电子邮件通知。
- D. 使用no-unrestricted-route-to-igw托管规则为路由表创建AWS Config规则。创建一个Amazon EventBridge规则,匹配该AWS Config规则并将事件路由至Amazon Simple Notification Service(Amazon SNS)主题以发送电子邮件通知。
正确答案: A. 创建一个AWS Lambda函数,读取路由表中的路由并发送电子邮件通知。配置该Lambda函数,当检测到任何指向互联网网关的0.0.0.0/0或::/0 CIDR路由时发送邮件通知。配置该Lambda函数每分钟运行一次。
解析
该题核心在于实时监控VPC路由表是否被添加指向互联网网关的默认路由(0.0.0.0/0或::/0)。AWS原生服务中,Lambda定时轮询路由表配置是最直接的解决方案。选项A通过Lambda每分钟主动检查路由表,若检测到符合条件的路由则触发通知,无需依赖其他服务的复杂集成(如AWS Config规则配置、事件规则匹配),实现路径最短且代码逻辑简单。其他选项或需深度绑定API调用触发(B的事件源配置复杂)、或依赖AWS Config托管规则与EventBridge联动(C/D需确保规则存在且配置完整),均引入额外复杂度。