Q50 — AWS SCS-C02 第1章
第 50/100 题 | ← 返回第1章
一家大型公司的安全工程师正在管理一个供 1,500 家子公司使用的数据处理应用程序。母公司和所有子公司均使用 AWS。该应用程序使用 TCP 端口 443,运行在 Network Load Balancer(NLB)后方的 Amazon EC2 实例上。出于合规性要求,该应用程序应仅对各子公司开放,不得暴露于公共互联网。为满足受限访问的合规性要求,工程师已获得每家子公司的公有和私有 CIDR 块范围。 工程师应采用哪种解决方案来为该应用程序实施适当的访问限制?
- A. 创建网络 ACL(NACL),允许来自 1,500 家子公司 CIDR 块范围的 TCP 端口 443 访问。将该 NACL 关联至 NLB 和 EC2 实例。
- B. 创建 AWS 安全组,允许来自 1,500 家子公司 CIDR 块范围的 TCP 端口 443 访问。将该安全组关联至 NLB;为 EC2 实例创建第二个安全组,仅允许来自 NLB 安全组的 TCP 端口 443 访问。
- C. 在母公司账户中创建 AWS PrivateLink 端点服务,并将其附加到 NLB。为 EC2 实例创建 AWS 安全组,仅允许来自 AWS PrivateLink 端点的 TCP 端口 443 访问。在 1,500 家子公司的 AWS 账户中使用 AWS PrivateLink 接口端点连接至该数据处理应用程序。 ✓
- D. 创建 AWS 安全组,允许来自 1,500 家子公司 CIDR 块范围的 TCP 端口 443 访问。将该安全组关联至 EC2 实例。
正确答案: C. 在母公司账户中创建 AWS PrivateLink 端点服务,并将其附加到 NLB。为 EC2 实例创建 AWS 安全组,仅允许来自 AWS PrivateLink 端点的 TCP 端口 443 访问。在 1,500 家子公司的 AWS 账户中使用 AWS PrivateLink 接口端点连接至该数据处理应用程序。
解析
该题涉及在 AWS 环境中限制应用程序访问权限以满足合规性要求。AWS 安全最佳实践推荐使用 VPC 端点服务(如 PrivateLink)实现私有连接,避免公开暴露于互联网。AWS 文档指出,PrivateLink 允许在不同账户和 VPC 之间通过私有网络流量访问服务,无需通过公共互联网。选项 C 通过创建 PrivateLink 端点服务并关联到 NLB,结合安全组限制仅允许来自该端点的流量,确保子公司通过私有接口端点连接,满足仅内部访问的需求。其他选项或错误使用 NACL(不适合动态 NLB 环境),或误将安全组关联到不支持安全组的 NLB,或在管理大量 CIDR 时存在维护难题。