Q15 — AWS SAP-C02 第1章

第 15/75 题 | ← 返回第1章

Q90. 一家公司计划存储大量归档文档,并将该存储的访问权限提供给仅通过 VPN 连接到公司网络的员工。公司已经在 AWS 中建立了站点间 VPN 连接,并使用 Amazon Route 53 进行解析和路由查询。该公司希望使用其内部域名 archive.example.com 来实施此解决方案。公司安全策略不允许通过公共互联网发送加密或解密的流量。解决方案架构师必须确保解决方案以最小的运维开销满足隐私要求。解决方案架构师应使用什么来满足这些要求?

正确答案: A. 在 Route 53 中注册域名 archive.example.com。创建配置为公有网站端点的 Amazon S3 存储桶。使用 Route 53 创建一个别名记录来路由到 S3 存储桶。

解析

为确保归档文档存储的解决方案满足不通过公共互联网发送流量的安全要求,推荐的解决方案是: D. 在 Route 53 中创建 archive.example.com 的私有托管区。创建 Amazon S3 存储桶。在与 VPN 连接关联的 VPC 中创建一个 Amazon S3 接口端点。在 Route 53 中创建一个 A 记录来路由到 S3 接口端点。 说明: 此解决方案确保流量通过 AWS 私有网络传输而不经过公共互联网。S3 接口 VPC 端点通过 AWS PrivateLink 提供私有连接。Route 53 私有托管区将域名解析保持在内部。 选项 A 和 B 不正确,因为它们使用公有端点,流量会经过公共互联网。 选项 C 不正确,因为公有 VPC 端点(网关端点)虽然流量不经过互联网,但 Route 53 的 A 记录不能直接指向 S3 网关端点。