Q90 — AWS SAA-C03 第4章
第 90/105 题 | ← 返回第4章
Q285.解决方案架构师正在创建新的 VPC 设计.负载均衡器有两个公共子网,Web 服务器有两个私有子网,MySQL 有两个私有子网. Web 服务仅使用 HTTPS.解决方案架构师已经为负载均衡器创建了一个安全组,允许来自 0.0 0.0/0 的端口 443.公司政策要求每个资源都具有仍然能够执行其任务所需的最少访问权限.解决方案架构师应该使用哪种额外的配置策略来满足这些要求?
- A. 为web服务器创建安全组,允许0.0.0.0/0的443端口。为MySQL服务器创建一个安全组,允许web服务器的3306端口。
- B. 为 Web 服务器创建网络 ACL 并允许来自 0.0.0.0/0 的端口 443.为 MySQL 服务器创建网络 ACL,并允许来自 Web 服务器安全组的端口 3306
- C. 为 Web 服务器创建一个安全组并允许来自负载均衡器的端口 443.为 MySQL 服务器创建一个安全组,并允许来自 web sewers 安全组的端口 3306 ✓
- D. 为 Web 服务器创建网络 ACL,并允许来自 Web 平衡器的端口 443.为 MySQL 服务器创建网络 ACL,并允许来自 Web 服务器安全组的端口 3306.
正确答案: C. 为 Web 服务器创建一个安全组并允许来自负载均衡器的端口 443.为 MySQL 服务器创建一个安全组,并允许来自 web sewers 安全组的端口 3306
解析
安全组是有状态的:这意味着应用于传入规则的任何更改都将自动应用于传出规则.例如,如果您允许传入端口 80,则传出端口 80 将自动打开.网络 ACL 是无状态的:这意味着应用于传入规则的任何更改都不会应用于传出规则.例如,如果您允许传入端口 80,则还需要为传出流量应用规则.