Q10 — AWS SAP-C02 第1章
第 10/75 题 | ← 返回第1章
Q85. 一家公司希望使用第三方软件即服务 (SaaS) 应用程序。该第三方 SaaS 应用程序通过多个 API 调用来使用。第三方 SaaS 应用程序也在 VPC 内的 AWS 上运行。公司将从 VPC 内部使用第三方 SaaS 应用程序。公司的内部安全策略规定必须使用不经过互联网的私有连接。不允许从公司 VPC 外部访问 VPC 中运行的任何资源。所有权限必须符合最小权限原则。哪个解决方案满足这些要求?
- A. 创建 AWS PrivateLink 接口 VPC 端点。将此端点连接到第三方 SaaS 应用程序提供的端点服务。创建安全组以限制对端点的访问。将安全组与端点关联。 ✓
- B. 在第三方 SaaS 应用程序和公司 VPC 之间创建 AWS Site-to-Site VPN 连接。配置网络 ACL 以限制通过 VPN 隧道的访问。
- C. 在第三方 SaaS 应用程序和公司 VPC 之间创建 VPC 对等连接。通过添加对等连接所需的路由来更新路由表。
- D. 创建 AWS PrivateLink 端点服务。请求第三方 SaaS 提供商为此端点服务创建接口 VPC 端点。向特定的第三方 SaaS 提供商账户授予端点服务的权限。
正确答案: A. 创建 AWS PrivateLink 接口 VPC 端点。将此端点连接到第三方 SaaS 应用程序提供的端点服务。创建安全组以限制对端点的访问。将安全组与端点关联。
解析
为满足使用私有连接且不经过互联网的要求,推荐的解决方案是: A. 创建 AWS PrivateLink 接口 VPC 端点。将此端点连接到第三方 SaaS 应用程序提供的端点服务。创建安全组以限制对端点的访问。将安全组与端点关联。 说明: 选项 A 使用 AWS PrivateLink 提供私有连接: 1. AWS PrivateLink:通过创建接口 VPC 端点并连接到第三方 SaaS 应用程序提供的端点服务,可以建立不经过互联网的私有连接。流量通过 AWS 网络传输。 2. 安全组:通过创建安全组并将其与端点关联,可以控制哪些资源可以访问端点,符合最小权限原则。 3. 单向访问:PrivateLink 是单向的,第三方无法通过端点访问公司 VPC 中的资源,满足了不允许从外部访问 VPC 资源的要求。 选项 B 不正确,因为 Site-to-Site VPN 建立了双向连接,这可能允许第三方访问公司 VPC 中的资源。 选项 C 不正确,因为 VPC 对等连接也是双向的,允许两个 VPC 之间的相互访问,不满足安全要求。 选项 D 不正确,因为这种设置是反向的 - 应该是公司创建端点来连接第三方的端点服务,而不是反过来。 因此,选项 A 是满足所有安全要求的正确解决方案。