Q36 — AWS DVA-C02 第1章

第 36/100 题 | ← 返回第1章

开发人乡正在us-east-2区域创建伊个包含Amazon APl Gateway RESTAPI的应用程序。开发人乡希庭使用Amazon CloudFront 和API的自定海域名。开发人乡已封背精远吉统需处境取了该域的SSL/TLS 证书。开发按应该如何为应用程序配置自定海域?

正确答案: D. 将SSL/TLS证书导入us-east-1区域中的AWS Certificate Manager (ACM)。为自定义域创建DNS CNAME 记录。

解析

: SSL/TLS 证书的存放位置:AWS Certificate Manager (ACM) 是 AWS 托管的证书管理服务,用于提供和管理 SSL/TLS 证书。CloudFront 要求使用来自 ACM 的证书才能启用 HTTPS 连接。 区域限制:AWS Certificate Manager (ACM) 证书是区域特定的。虽然开发人员正在使用 us-east-2 区域创建 API Gateway,但是 CloudFront 需要在 us-east-1 区域中找到来自 ACM 的证书。 DNS 记录:一旦在 ACM 中导入了证书,开发人员可以在 Route 53 或者其他 DNS 服务商那里创建一个 CNAME 记录,将自定义域名指向 CloudFront 分配的域名。这样就能够通过 CloudFront 提供的全球 CDN 服务来访问 API。 对比其他选项: 选项 B:导入证书到与 API 相同的区域(us-east-2),虽然 API Gateway 在这个区域,但是 CloudFront 需要在 us-east-1 区域才能使用 ACM 证书,所以这个选项是不正确的。 选项 C:在 AWS 中,DNS 记录通常是使用 CNAME 而不是 A 记录来指向 CloudFront 分配的域名。因此,选项 C 在这种情况下不适合。 选项 D:直接将 SSL/TLS 证书导入到 CloudFront 并创建 DNS CNAME 记录是不可能的,因为 CloudFront 本身不存储证书,必须使用 ACM 托管证书。 因此,最佳答案是选项 A:将 SSL/TLS 证书导入到 us-east-1 区域的 AWS Certificate Manager,并为自定义域创建 DNS CNAME 记录,以便 CloudFront 可以使用该证书为 API Gateway 提供安全的自定义域名访问。