Q34 — AWS SAP-C02 第1章
第 34/75 题 | ← 返回第1章
Q109. 一家公司开发了使用 Amazon API Gateway 的区域端点 API。这些 API 调用使用 API Gateway 身份验证机制的 AWS Lambda 函数。经过设计审查后,解决方案架构师识别出一组不需要公共访问的 API。解决方案架构师必须设计一个方案使这组 API 仅从 VPC 内可访问。所有 API 需要使用经过身份验证的用户调用。哪个解决方案以最少的工作量满足这些要求?
- A. 创建内部 Application Load Balancer (ALB)。创建目标组。选择要调用的 Lambda 函数。使用 ALB DNS 名称从 VPC 调用 API。
- B. 移除 API Gateway 中与 API 关联的 DNS 条目。在 Amazon Route 53 中创建托管区。在托管区中创建 CNAME 记录。使用 CNAME 记录更新 API Gateway 中的 API。使用 CNAME 记录从 VPC 调用 API。
- C. 在 API Gateway 中将 API 端点从区域更新为私有。在 VPC 中创建接口 VPC 端点。创建资源策略并将其附加到 API。使用 VPC 端点从 VPC 调用 API。 ✓
- D. 在 VPC 内部署 Lambda 函数。预置 EC2 实例并安装 Apache 服务器。从 Apache 服务器调用 Lambda 函数。使用 EC2 实例的内部 CNAME 记录从 VPC 调用 API。
正确答案: C. 在 API Gateway 中将 API 端点从区域更新为私有。在 VPC 中创建接口 VPC 端点。创建资源策略并将其附加到 API。使用 VPC 端点从 VPC 调用 API。
解析
为使 API 仅从 VPC 内可访问,推荐的解决方案是: C. 在 API Gateway 中将 API 端点从区域更新为私有。在 VPC 中创建接口 VPC 端点。创建资源策略并将其附加到 API。使用 VPC 端点从 VPC 调用 API。 说明: API Gateway 私有端点只能通过 VPC 端点访问,无法从互联网直接访问。资源策略可以进一步控制谁可以访问 API。这是最直接且工作量最少的解决方案。