Q44 — AWS SAA-C03 第5章
第 44/65 题 | ← 返回第5章
Q344.解决方案架构师必须保护托管 Amazon EC2 实例的 VPC 网络. EC2 实例包含高度敏感的数据并在私有子网中运行.根据公司政策,在 VPC 中运行的 EC2 实例只能访问互联网上经过批准的第三方软件存储库,用于使用第三方 URL 的软件产品更新,必须阻止其他互联网流量.哪个解决方案满足这些要求?
- A. 更新私有子网的路由表以将出站流量路由到 AWS Network Firewall 防火墙 配置域列表规则组 ✓
- B. 设置 AWS WAF Web ACL 创建一组自定义规则,根据源和目标 IP 地址范围集过滤流量请求
- C. 执行严格的入站安全组规则.配置出站规则,通过指定 URL 仅允许流量流向 Internet 上的授权软件存储库
- D. 在 EC2 实例前面配置应用程序负载平衡器 (ALB).将所有出站流量定向到 ALB.在 ALB 的目标组中使用基于 URL 的规则侦听器以进行对 Internet 的出站访问.
正确答案: A. 更新私有子网的路由表以将出站流量路由到 AWS Network Firewall 防火墙 配置域列表规则组
解析
选项 A:更新私有子网的路由表以将出站流量路由到 AWS Network Firewall 防火墙并配置域列表规则组是满足仅允许访问互联网上批准的第三方软件存储库的要求的适当解决方案,同时阻止所有其他互联网流量.这种方法可用于根据软件存储库的 URL 定义规则并阻止任何其他互联网流量.选项 B:设置 AWS WAF Web ACL 并创建自定义规则以根据源和目标 IP 地址范围集过滤流量请求可能不是满足仅允许访问经批准的第三方软件存储库的要求的有效解决方案互联网,因为它不考虑软件存储库的 URL.选项 C:实施严格的入站安全组规则并配置出站规则,通过指定 URL 仅允许流量流向 Internet 上的授权软件存储库是一个很好的解决方案,但可能不如使用 AWS Network Firewall 域列表规则组有效,后者对出站流量提供更精细的控制.选项 D:在 EC2 实例前面配置应用程序负载均衡器 (ALB) 并使用 ALB 目标组中基于 URL 的规则侦听器将所有出站流量定向到 ALB 以进行出站访问 Internet 可能不是有效的解决方案满足仅允许访问互联网上经批准的第三方软件存储库的要求,因为它不考虑软件存储库的 URL.因此,选项 A 是保护托管 Amazon EC2 实例的 VPC 网络的最佳解决方案,并满足仅允许访问互联网上批准的第三方软件存储库同时阻止所有其他互联网流量的要求.