Q65 — AWS SAA-C03 第1章
第 65/65 题 | ← 返回第1章
Q65.一家公司正在运行一个可公开访问的无服务器应用程序,该应用程序使用 Amazon API Gateway 和 AWS Lambda.由于来自僵尸网络的欺诈请求,该应用程序的流量最近激增.解决方案架构师应采取哪些步骤来阻止未经授权用户的请求? (选择两个.)
- A. 使用仅与真正用户共享的 API 密钥创建使用计划. ✓
- B. 在 Lambda 函数中集成逻辑以忽略来自欺诈地址的请求.
- C. 实施 AWS WAF 规则以针对恶意请求并触发操作以将其过滤掉. ✓
- D. 将现有的公共 API 转换为私有 API.更新 DNS 记录以将用户重定向到新的 API 端点.
- E. 为每个尝试访问 API 的用户创建一个 IAM 角色.用户将在进行 API 调用时承担该角色.
正确答案: A. 使用仅与真正用户共享的 API 密钥创建使用计划., C. 实施 AWS WAF 规则以针对恶意请求并触发操作以将其过滤掉.
解析
要在使用Amazon API Gateway和AWS Lambda的无服务器应用程序中阻止来自未经授权用户的请求,解决方案架构师应该采取以下两个步骤: a .创建一个API密钥的使用计划,该API密钥仅与真正的用户共享。—通过创建使用计划并仅向真正的用户提供API密钥,您可以强制认证并控制对API的访问。没有有效API密钥的未授权用户将被阻止发出请求。 C.实现一个AWS WAF规则来针对恶意请求,并触发操作来过滤它们。—AWS WAF (Web Application Firewall)可以用来防范常见的Web漏洞,过滤掉恶意请求。通过实现AWS WAF规则,您可以根据各种标准(如IP地址、标头或请求模式)识别和阻止来自僵尸网络或其他未经授权来源的请求。 在使用AWS WAF时,选项B(在Lambda函数中集成逻辑以忽略来自欺诈地址的请求)是不必要的,因为AWS WAF可以处理欺诈请求的过滤,而不需要在Lambda函数中使用自定义逻辑。 选项D(将现有的公共API转换为私有API,并更新DNS记录以将用户重定向到新的API端点)和选项E(为每个试图访问API的用户创建IAM角色)与阻止来自未授权用户的请求没有直接关系。将API转换为私有和更新DNS记录涉及访问控制,而为每个用户创建IAM角色涉及用户身份验证和授权。 因此,阻止来自未授权用户的请求的正确步骤组合是A(使用API密钥创建使用计划)和C(实现AWS WAF规则)。