Q78 — AWS SOA-C02 第1章

第 78/100 题 | ← 返回第1章

SysOps管理员需要配置一个Amazon S3存储桶来托管Web应用程序。SysOps管理员已创建S3存储桶,并已将Web应用程序的静态文件复制到该S3存储桶中。 该公司政策规定所有S3存储桶不得公开。 SysOps管理员应采取什么措施来满足这些要求?

正确答案: A. 创建一个Amazon CloudFront分发。将S3存储桶配置为源,并使用源访问身份(OAI)。在S3存储桶策略中为OAI授予s3:GetObject权限。

解析

该题考察通过CloudFront Origin Access Identity (OAI)安全访问私有S3桶的能力。AWS官方架构最佳实践指出,OAI允许CloudFront代表用户访问受限制的S3内容,无需公开存储桶。选项B启用S3静态网站会强制公开桶,违反题干要求;选项C/D涉及其他服务但未解决权限问题。选项A通过OAI生成虚拟身份,配合仅允许该身份读取对象策略,在保持S3私有状态下实现内容分发,出自AWS Security Best Practices for S3。