Q79 — AWS SOA-C02 第1章
第 79/100 题 | ← 返回第1章
一家公司的公共网站托管在us-east-1区域的Amazon S3存储桶中,并由Amazon CloudFront分发提供服务。该公司希望确保网站受到DDoS攻击防护。SysOps管理员需要部署一种解决方案,使公司能够自主控制DDoS防护所应用的速率限制阈值。 哪种解决方案能满足这些要求?
- A. 部署一个全局作用域的AWS WAF Web ACL,默认动作为允许。配置一个AWS WAF基于速率的规则以阻止匹配的流量。将该Web ACL与CloudFront分发关联。 ✓
- B. 在us-east-1区域部署一个AWS WAF Web ACL,默认动作为允许。配置一个AWS WAF基于速率的规则以阻止匹配的流量。将该Web ACL与S3存储桶关联。
- C. 部署一个全局作用域的AWS WAF Web ACL,默认动作为阻止。配置一个AWS WAF基于速率的规则以允许匹配的流量。将该Web ACL与CloudFront分发关联。
- D. 在us-east-1区域部署一个AWS WAF Web ACL,默认动作为阻止。配置一个AWS WAF基于速率的规则以允许匹配的流量。将该Web ACL与S3存储桶关联。
正确答案: A. 部署一个全局作用域的AWS WAF Web ACL,默认动作为允许。配置一个AWS WAF基于速率的规则以阻止匹配的流量。将该Web ACL与CloudFront分发关联。
解析
AWS WAF与Amazon CloudFront集成用于防御DDoS攻击的场景。AWS官方文档指出,WAF的速率限制规则需关联到CloudFront分发,且全局作用域的Web ACL适用于跨区域资源。选项A正确配置了全局Web ACL,默认允许流量,仅对超出速率限制的请求执行阻断。其他选项中,B错误将Web ACL关联至S3而非CloudFront;C和D的默认阻断动作可能导致合法流量被拦截,且未正确应用速率规则。