Q30 — AWS SCS-C02 第1章
第 30/100 题 | ← 返回第1章
一位安全工程师需要为托管静态网站的Amazon S3存储桶设置Amazon CloudFront分发。安全工程师必须仅允许指定IP地址访问该网站。同时,安全工程师还必须防止用户通过S3 URL直接访问该网站。 以下哪种解决方案能满足这些要求?
- A. 生成一个S3存储桶策略,指定cloudfront.amazonaws.com作为主体。使用aws:SourceIp条件键,仅当请求来自指定IP地址时才允许访问。
- B. 创建一个CloudFront源访问控制(OAC)。创建S3存储桶策略,仅允许该OAC访问。创建一个AWS WAF Web ACL,并添加IP集规则。将该Web ACL与CloudFront分发关联。 ✓
- C. 实施安全组,仅允许指定IP地址访问,并通过CloudFront分发限制S3存储桶访问。
- D. 为S3存储桶创建访问点,仅允许来自CloudFront分发的访问。创建一个AWS WAF Web ACL并添加IP集规则。将该Web ACL与CloudFront分发关联。
正确答案: B. 创建一个CloudFront源访问控制(OAC)。创建S3存储桶策略,仅允许该OAC访问。创建一个AWS WAF Web ACL,并添加IP集规则。将该Web ACL与CloudFront分发关联。
解析
该题涉及亚马逊CloudFront与S3的安全配置,重点为限制访问源IP并阻止直接S3 URL访问。根据AWS架构最佳实践,需结合Origin Access Control(OAC)和AWS WAF实现。选项B通过OAC确保S3仅允许CloudFront访问,再利用WAF的IP规则限制用户IP,符合两个核心条件。选项A的S3策略无法正确识别用户IP,因CloudFront边缘节点IP会被视为源。选项C错误使用安全组,不适用于S3。选项D的接入点方式可行但非标准做法,OAC为AWS推荐方法。参考AWS文档,CloudFront OAC与WAF协同使用是此类场景的标准解决方案。