Q92 — AWS DOP-C02 第1章
第 92/100 题 | ← 返回第1章
为了运行应难程序,DevOps工程师使难公铁子网中的公铁IP地址启动Amazon EC2实暗。难户数据脚本获取应难程序构件,并在启动 唱将它们安装在实暗上。对应难程序安全分类的更大现在要求实暗在不访问互联网的情况下运行。虽面实暗成功启动并显示为月 康,但应难程序似乎顶响安装。 在遵守新规则的同唱,以下哪一项应该可以成功安装应难程序?
- A. 在附加了弹性IP地址的公共子网中启动实例。应用程序安装并运行后,运行一个脚本来解除弹性IP地址的关联。
- B. 设置NAT网关。将EC2实例部署到私有子网。更新私有子网的路由表,将NAT网关用作默认路由。
- C. 将应用程序工件发布到亚马逊S3存储桶,并为S3创建一个VPC端点。将IAM实例配置文件分配给EC2实例,以便它们可以从S3存 储桶中读取应用程序工件。 ✓
- D. 为应用程序实例创建一个安全组,只允许工件存储库的出站流量。安装完成后,删除安全组规则。
正确答案: C. 将应用程序工件发布到亚马逊S3存储桶,并为S3创建一个VPC端点。将IAM实例配置文件分配给EC2实例,以便它们可以从S3存 储桶中读取应用程序工件。
解析
该题考察在无互联网访问的EC2实例中安全获取应用程序构件的方法。AWS文档指出,VPC端点允许私有子网中的资源通过Amazon网络直接访问特定服务(如S3),无需经过公共互联网。选项C通过VPC端点连接S3,配合IAM实例配置文件授权访问,确保实例无需公网即可获取构件,符合安全要求。其他选项(A/B)涉及公网或NAT,仍允许互联网访问;D依赖安全组但未解决路由问题。正确答案C利用VPC端点+S3的私有访问机制。