Q52 — AWS SCS-C02 第1章

第 52/100 题 | ← 返回第1章

一家公司在 VPC 中的 Amazon EC2 实例上部署了服务器。外部供应商通过互联网访问这些服务器。最近,该公司在新的 CIDR 网段中为 EC2 实例部署了一个新应用程序。公司需要使该应用程序对供应商可用。 安全工程师已确认关联的安全组和网络 ACL 在入站方向上已允许所需端口。然而,供应商无法连接至该应用程序。 哪种解决方案可使供应商访问该应用程序?

正确答案: B. 修改与该 CIDR 网段关联的网络 ACL,允许出站流量至临时端口。

解析

网络 ACL 是无状态的,需单独配置出站规则。AWS 文档指出,客户端使用临时端口接收响应,必须明确允许出站流量至这些端口。题目中新 CIDR 范围的网络 ACL 可能未配置出站规则的临时端口,导致连接失败。选项 B 修正此问题。其他选项中,安全组默认允许所有出站流量(A 不必要);互联网网关无入站规则配置(C 错误);出入规则对称(D)不适用临时端口场景。答案 B 符合 AWS 网络 ACL 最佳实践。