Q78 — AWS SOA-C02 第1章
第 78/100 题 | ← 返回第1章
SysOps管理员需要配置一个Amazon S3存储桶来托管Web应用程序。SysOps管理员已创建S3存储桶,并已将Web应用程序的静态文件复制到该S3存储桶中。 该公司政策规定所有S3存储桶不得公开。 SysOps管理员应采取什么措施来满足这些要求?
- A. 创建一个Amazon CloudFront分发。将S3存储桶配置为源,并使用源访问身份(OAI)。在S3存储桶策略中为OAI授予s3:GetObject权限。 ✓
- B. 在S3存储桶中配置静态网站托管。使用Amazon Route 53创建DNS CNAME记录,指向S3网站端点。
- C. 创建一个应用负载均衡器(ALB)。在ALB监听器配置中将协议更改为HTTPS。将流量转发到S3存储桶。
- D. 在AWS Global Accelerator中创建加速器。为443端口设置监听器配置。将端点类型设置为将流量转发到S3存储桶。
正确答案: A. 创建一个Amazon CloudFront分发。将S3存储桶配置为源,并使用源访问身份(OAI)。在S3存储桶策略中为OAI授予s3:GetObject权限。
解析
该题考察通过CloudFront Origin Access Identity (OAI)安全访问私有S3桶的能力。AWS官方架构最佳实践指出,OAI允许CloudFront代表用户访问受限制的S3内容,无需公开存储桶。选项B启用S3静态网站会强制公开桶,违反题干要求;选项C/D涉及其他服务但未解决权限问题。选项A通过OAI生成虚拟身份,配合仅允许该身份读取对象策略,在保持S3私有状态下实现内容分发,出自AWS Security Best Practices for S3。