Q59 — AWS SAP-C02 第2章

第 59/75 题 | ← 返回第2章

Q209. 一家公司在 Amazon S3 中有一个数据湖,需要被数百个跨多个 AWS 账户的应用程序访问。 该公司的信息安全策略规定 S3 存储桶不得通过公共互联网访问,并且每个应用程序应具有运行所需的最小权限。为了满足这些要求,解决方案架构师计划使用限制到每个应用程序特定 VPC 的 S3 访问点。 解决方案架构师应采取哪种步骤组合来实施此解决方案?(选择两项。)

正确答案: A. 在拥有 S3 存储桶的 AWS 账户中为每个应用程序创建一个 S3 访问点。将每个访问点配置为仅从应用程序的 VPC 可访问。更新存储桶策略以要求从访问点访问, C. 在每个应用程序的 VPC 中为 Amazon S3 创建一个网关端点。配置端点策略以允许访问 S3 访问点。指定用于访问访问点的路由表

解析

选项 D 建议在每个 AWS 账户中为每个应用程序创建 S3 访问点并附加到 S3 存储桶,但这种方法效率低下且难以管理。选项 E 建议在数据湖的 VPC 中创建网关端点并附加允许访问 S3 存储桶的端点策略,但这不能提供对单个应用程序或 VPC 的足够访问控制。 因此,选项 A 和 C 组合提供了最合适的解决方案。