Q60 — AWS SCS-C02 第1章

第 60/100 题 | ← 返回第1章

某公司正在一个新AWS账户中实施新应用程序。已为该应用程序创建了VPC和子网。该应用程序已与同一AWS区域中另一账户内的现有VPC建立对等连接,以实现数据库访问。Amazon EC2实例将在应用程序VPC中频繁创建和终止,但其中仅部分实例需要通过TCP端口1521访问对等VPC中的数据库。 安全工程师必须确保仅有需要访问数据库的EC2实例可通过网络访问数据库。 安全工程师应如何实施此解决方案?

正确答案: C. 在应用程序VPC中创建一个新的安全组,不配置任何入站规则。在数据库VPC中创建一个新的安全组,配置一条入站规则,允许来自应用程序VPC中新安全组的TCP端口1521流量。将应用程序安全组附加到需要数据库访问的应用程序实例,并将数据库安全组附加到数据库实例。

解析

AWS VPC对等连接中流量控制的核心在于安全组配置。题目场景要求仅允许特定EC2实例访问数据库,且实例会动态变化。AWS安全组支持引用源安全组ID作为规则条件,而非依赖静态IP地址,这更适合动态环境。选项C在数据库VPC的安全组中设置了允许来自应用VPC特定安全组的流量(TCP 1521),并将该安全组仅附加到需要访问的实例,确保权限最小化。其他选项要么依赖IP地址范围(无法精准控制实例),要么错误结合网络ACL(子网级规则,无法细粒度控制)。《AWS安全最佳实践》指出,引用安全组ID优于IP地址,尤其在实例频繁变化的场景中。