Q14 — AWS SAA-C03 第4章

第 14/105 题 | ← 返回第4章

Q209.某公司希望将其本地数据中心迁移至AWS,根据公司的合规要求,公司只能使用ap-northeast-3 Region.公司管理员不允许将 VPC 连接到 Internet哪些解决方案将满足这些要求? (选择两项)

正确答案: A. 使用 AWS Control Tower 实施数据驻留护栏以拒绝互联网访问并拒绝访问除 ap-northeast-3 以外的所有 AWS 区域, C. 使用 AWS Organizations 配置服务控制策略 (SCP) 以防止 VPC 获得互联网访问权限.拒绝访问除 ap-northeast-3 之外的所有 AWS 区域.

解析

要将本地数据中心迁移到ap-northeast-3区域的AWS,同时满足禁止将vpc连接到互联网的合规性要求,公司应使用AWS控制塔实施数据驻留护栏,以拒绝互联网访问并拒绝访问除ap-northeast-3以外的所有AWS区域,并使用AWS Organizations配置服务控制策略(scp),以防止vpc获得互联网访问并拒绝访问除ap-northeast-3以外的所有AWS区域。因此,选项A和C是正确答案。 选项B建议使用AWS WAF中的规则来阻止互联网访问并拒绝访问AWS帐户设置中的ap-northeast-3以外的所有AWS区域。虽然这种方法可以防止互联网访问,但它可能不足以确保在限制AWS区域访问方面满足合规性要求。 选项D建议在每个VPC中为网络ACL创建出方向规则,拒绝所有来自0.0.0.0/0的流量;为每个用户创建IAM策略,防止使用除ap-northeast-3以外的任何AWS Region。虽然这种方法可以工作,但与使用AWS控制塔和AWS组织来执行scp相比,它需要更多的手动设置和管理。 选项E建议使用AWS配置来激活托管规则来检测和警报互联网网关,以及检测和警报部署在ap-northeast-3之外的新资源。虽然这种方法可以帮助检测潜在的不遵从性问题,但它并没有提供强制遵从性需求的机制。 通过使用AWS控制塔来实现数据驻留护栏,使用AWS组织来配置scp来阻止vpc获得互联网访问,并拒绝访问除ap-northeast-3以外的所有AWS区域,公司可以在将数据中心迁移到AWS时轻松执行合规性要求。该解决方案为执行合规性要求提供了集中管理,简化了设置新帐户的过程,并提供了一种可扩展的方式来跨所有AWS帐户执行安全防护。此解决方案满足问题中所述的需求,同时最小化操作开销。 By using AWS Control Tower to implement data residency guardrails and AWS Organizations to configure SCPs that prevent VPCs from gaining internet access and deny access to all AWS Regions except ap-northeast-3, the company can easily enforce compliance requirements while migrating their data center to AWS. This solution provides centralized management for enforcing compliance requirements, simplifies the process of setting up new accounts, and provides a scalable way to enforce security guardrails across all AWS accounts. This solution meets the requirements stated in the question while minimizing operational overhead.