A company recently launched a variety of new workloads on Amazon EC2 instances in its AWS account. The company needs to create a strategy to access and administer the instances remotely and securely. The company needs to implement a repeatable process that works with native AWS services and follows the AWS Well-Architected Framework.
Which solution will meet these requirements with the LEAST operational overhead?
A. Use the EC2 serial console to directly access the terminal interface of each instance for administration.
B. Attach the appropriate IAM role to each existing instance and new instance. Use AWS Systems Manager Session Manager to establish a remote SSH session.
C. Create an administrative SSH key pair. Load the public key into each EC2 instance. Deploy a bastion host in a public subnet to provide a tunnel for administration of each instance.
D. Establish an AWS Site-to-Site VPN connection. Instruct administrators to use their local on-premises machines to connect directly to the instances by using SSH keys across the VPN tunnel.
B
技巧:排除明顯錯(cuò)誤選項(xiàng),在沒有明顯錯(cuò)誤的選項(xiàng)中選擇最合理的選項(xiàng)。
一家公司最近在其 AWS 賬戶中啟動(dòng)了多種新的 Amazon EC2 實(shí)例工作負(fù)載。公司需要制定一個(gè)策略,通過遠(yuǎn)程安全地訪問和管理這些實(shí)例。公司需要實(shí)施一個(gè)可重復(fù)的過程,該過程使用原生 AWS 服務(wù)并遵循 AWS 架構(gòu)完善的框架(AWS Well-Architected Framework)。哪個(gè)解決方案能以最少的運(yùn)營(yíng)開銷滿足這些要求?
A. 不正確。使用 EC2 串行控制臺(tái)直接訪問每個(gè)實(shí)例的終端界面進(jìn)行管理。EC2 串行控制臺(tái)主要用于緊急情況下的訪問(如系統(tǒng)完全崩潰時(shí)),而不是常規(guī)的管理任務(wù)。它不提供完整的交互式 Shell,功能有限。不
B. 正確。為每個(gè)現(xiàn)有實(shí)例和新實(shí)例附加適當(dāng)?shù)?IAM 角色。使用 AWS Systems Manager Session Manager 建立遠(yuǎn)程 SSH 會(huì)話。AWS Systems Manager Session Manager 是一種完全托管的 AWS 服務(wù),允許通過 AWS 控制臺(tái)或 CLI 安全地訪問和管理 EC2 實(shí)例。不需要在實(shí)例上安裝 SSH 服務(wù)或管理 SSH 密鑰。支持細(xì)粒度的 IAM 權(quán)限控制,符合最小權(quán)限原則。審計(jì)日志會(huì)自動(dòng)記錄到 AWS CloudTrail,便于審計(jì)和合規(guī)。附加 IAM 角色到實(shí)例,允許 Session Manager 安全地訪問實(shí)例。無需在實(shí)例上存儲(chǔ)憑據(jù),安全性更高。此外,可以通過 AWS CloudFormation 或 Terraform 等基礎(chǔ)設(shè)施即代碼工具自動(dòng)化配置。完全符合 AWS Well-Architected Framework 的安全性和可操作性支柱。
C. 不正確。創(chuàng)建一個(gè)管理 SSH 密鑰對(duì)。將公鑰加載到每個(gè) EC2 實(shí)例中。在公共子網(wǎng)中部署一個(gè)堡壘主機(jī)(Bastion Host),通過堡壘主機(jī)為每個(gè)實(shí)例提供管理隧道。問題在于,手動(dòng)管理 SSH 密鑰對(duì),增加了密鑰分發(fā)和輪換的復(fù)雜性。堡壘主機(jī)需要額外的配置和維護(hù)(如安全組、網(wǎng)絡(luò) ACL 等)。這些都需要更多的運(yùn)營(yíng)開銷。
D. 不正確。建立 AWS 站點(diǎn)到站點(diǎn) VPN 連接。指示管理員使用本地本地機(jī)器通過 VPN 隧道直接使用 SSH 密鑰連接到實(shí)例。存在 SSH 密鑰管理問題,而且需要配置和維護(hù) VPN 連接,增加了基礎(chǔ)設(shè)施的復(fù)雜性。