An application runs on an Amazon EC2 instance in a VPC. The application processes logs that are stored in an Amazon S3 bucket. The EC2 instance needs to access the S3 bucket without connectivity to the internet.
Which solution will provide private network connectivity to Amazon S3?
A. Create a gateway VPC endpoint to the S3 bucket.
B. Stream the logs to Amazon CloudWatch Logs. Export the logs to the S3 bucket.
C. Create an instance profile on Amazon EC2 to allow S3 access.
D. Create an Amazon API Gateway API with a private link to access the S3 endpoint.
A
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
本题需要在一个没有互联网连接的VPC内的EC2实例上实现到Amazon S3存储桶的私有网络访问。
A. 正确。创建一个到S3存储桶的VPC网关端点。VPC网关端点允许VPC内的资源(如EC2实例)与S3 存储桶等AWS服务进行私有连接,而无需通过互联网。这是实现VPC内资源与AWS服务之间安全、私有通信的理想方式。
B. 不正确。将日志流式传输到 Amazon CloudWatch Logs,然后将日志导出到 S3 存储桶。这个选项改变了日志的收集和存储方式,但并没有解决EC2实例如何安全、私有地访问S3 存储桶的问题。
C. 不正确。在Amazon EC2 上创建一个实例配置文件以允许 S3 存储桶访问。实例配置文件(通常指 IAM角色)确实可以为 EC2 实例提供访问 S3 存储桶的权限,但它本身不提供网络连接。没有适当的网络配置(如 VPC 端点),即使有权限,EC2 实例也无法在没有互联网连接的情况下访问 S3 存储桶。
D. 不正确。创建一个Amazon API Gateway API,并使用私有链接访问 S3 存储桶端点。API Gateway主要用于公开API的创建、发布、维护、监控和安全控制,而不是用于VPC内部资源之间的私有通信。API Gateway通常用于处理HTTP请求,而S3的访问更多是通过AWS SDK或S3 API直接进行。