Q33 — AWS SAP-C02 第1章

第 33/75 题 | ← 返回第1章

Q108. 一家公司最近将 Web 应用程序从本地数据中心迁移到 AWS 云。Web 应用程序基础设施包括一个路由到 Application Load Balancer (ALB) 的 Amazon CloudFront 分配,以及用于处理请求的 Amazon Elastic Container Service (Amazon ECS)。最近的安全审计发现 Web 应用程序可以同时使用 CloudFront 和 ALB 端点访问。然而,公司要求 Web 应用程序只能使用 CloudFront 端点访问。哪个解决方案以最少的工作量满足此要求?

正确答案: B. 更新 ALB 安全组入站规则以仅允许来自 com.amazonaws.global.cloudfront.origin-facing CloudFront 托管前缀列表的访问。

解析

为确保 Web 应用程序只能通过 CloudFront 端点访问,推荐的解决方案是: B. 更新 ALB 安全组入站规则以仅允许来自 com.amazonaws.global.cloudfront.origin-facing CloudFront 托管前缀列表的访问。 说明: AWS 提供了 CloudFront 源站访问的托管前缀列表。使用此前缀列表可以轻松地将 ALB 安全组配置为仅接受来自 CloudFront 的流量。这是最简单的解决方案,因为: 1. 托管前缀列表由 AWS 自动维护和更新。 2. 不需要手动管理 IP 地址列表。 3. 只需一次安全组更新即可完成。 选项 A 不正确,CloudFront 不支持安全组。 选项 C 不正确,将 ALB 改为内部会影响 CloudFront 的连接。 选项 D 不正确,手动管理 IP 列表工作量更大且需要持续维护。