Q55 — AWS SAP-C02 第2章

第 55/75 题 | ← 返回第2章

Q205. 一家公司正在创建一个 REST API,与其在美国的六个合作伙伴共享信息。该公司创建了一个 Amazon API Gateway 区域端点。六个合作伙伴中的每一个每天访问 API 一次以发布每日销售数据。 初始部署后,该公司观察到来自全球 500 个不同 IP 地址的每秒 1,000 个请求。该公司认为此流量来自僵尸网络,并希望在最大限度地降低成本的同时保护其 API。 公司应采取哪种方法来保护其 API?

正确答案: D. 创建一个带有规则的 AWS WAF Web ACL,允许六个合作伙伴使用的 IP 地址访问。将 Web ACL 与 API 关联。创建带有请求限制的使用计划并将其与 API 关联。创建 API 密钥并将其添加到使用计划

解析

选项 A 建议创建 CloudFront 分配并关联 WAF Web ACL,但不解决将访问限制为仅六个合作伙伴 IP 地址的要求。选项 B 建议向 CloudFront 分配添加填充了 API 密钥的自定义标头,但不解决限制 IP 地址的要求。选项 C 建议创建 WAF Web ACL 允许合作伙伴 IP 地址访问并要求 API 密钥,但不提供速率限制或使用控制来防止僵尸网络的过多请求。 因此,选项 D 提供了在最大限度地降低成本的同时保护 API 的最佳解决方案。创建 WAF Web ACL 允许六个合作伙伴使用的 IP 地址访问。将 Web ACL 与 API 关联以阻止所有其他流量。创建带有请求限制的使用计划以限制每个合作伙伴可以发出的请求数量。最后,创建 API 密钥并将其添加到使用计划,以确保只有授权的合作伙伴可以访问 API 并强制执行速率限制。