Q98 — AWS ANS-C01 第1章
第 98/100 题 | ← 返回第1章
一家全球快递公司正在对其车队管理系统进行现代化改造。该公司拥有多个业务部门,每个业务部门设计并维护其自身AWS账户中的应用程序,这些应用程序托管在同一AWS区域内的独立应用VPC中。每个业务部门的应用程序均需从中央共享服务VPC获取数据。该公司希望网络连接架构能提供细粒度的安全控制,并能在未来更多业务部门接入中央共享服务VPC时具备良好的可扩展性。哪种解决方案能以最高安全性满足这些需求?
- A. 创建一个中央中转网关(Transit Gateway),为每个应用VPC创建VPC附件,并利用该中转网关实现所有VPC之间的全网状连接。
- B. 在中央共享服务VPC与每个业务部门AWS账户中的应用VPC之间创建VPC对等连接(VPC peering connections)。
- C. 在中央共享服务VPC中创建由AWS PrivateLink支持的VPC端点服务(VPC endpoint services),并在每个应用VPC中创建VPC端点(VPC endpoints)。 ✓
- D. 创建一个中央中转VPC,并从AWS Marketplace部署VPN设备;再为每个VPC创建指向该中转VPC的VPN附件,从而在所有VPC之间提供全网状连接。
- E.
正确答案: C. 在中央共享服务VPC中创建由AWS PrivateLink支持的VPC端点服务(VPC endpoint services),并在每个应用VPC中创建VPC端点(VPC endpoints)。
解析
AWS PrivateLink(VPC端点服务)的设计允许服务提供者(中央共享服务VPC)通过私有网络暴露特定服务,消费者(业务单元VPC)通过创建的接口端点访问,无需通过互联网或传统VPC对等。这种方式避免了在VPC间开放整个网络,最小化攻击面,符合细粒度安全控制需求。PrivateLink基于服务级别而非VPC级别的访问策略,每个端点仅允许访问已授权的服务,且服务提供者可以管理终端节点连接的接受与拒绝。扩展性方面,新增业务单元只需在其VPC部署新的端点,无需调整现有架构,避免了VPC对等的点对点连接数限制或Transit Gateway路由复杂性。AWS文档指出PrivateLink适用于跨账户、跨VPC的安全服务共享场景,确保流量隔离与简化网络管理。其他选项如全互联Transit Gateway(A)或VPN(D)缺乏服务级控制,VPC对等(B)存在扩展瓶颈和安全策略负担。