Q34 — AWS SAP-C02 第1章

第 34/75 题 | ← 返回第1章

Q109. 一家公司开发了使用 Amazon API Gateway 的区域端点 API。这些 API 调用使用 API Gateway 身份验证机制的 AWS Lambda 函数。经过设计审查后,解决方案架构师识别出一组不需要公共访问的 API。解决方案架构师必须设计一个方案使这组 API 仅从 VPC 内可访问。所有 API 需要使用经过身份验证的用户调用。哪个解决方案以最少的工作量满足这些要求?

正确答案: C. 在 API Gateway 中将 API 端点从区域更新为私有。在 VPC 中创建接口 VPC 端点。创建资源策略并将其附加到 API。使用 VPC 端点从 VPC 调用 API。

解析

为使 API 仅从 VPC 内可访问,推荐的解决方案是: C. 在 API Gateway 中将 API 端点从区域更新为私有。在 VPC 中创建接口 VPC 端点。创建资源策略并将其附加到 API。使用 VPC 端点从 VPC 调用 API。 说明: API Gateway 私有端点只能通过 VPC 端点访问,无法从互联网直接访问。资源策略可以进一步控制谁可以访问 API。这是最直接且工作量最少的解决方案。