Uma arquitetura de duas camadas tem uma sub-rede pública para servidores web e uma sub-rede de banco de dados para uma instância de banco de dados Amazon RDS for MySQL. Os servidores web na sub-rede pública devem estar abertos à internet na porta 443. A instância de banco de dados deve ser acessível apenas aos servidores web na porta 3306. Qual combinação de etapas o arquiteto de soluções deve seguir para atender a esses requisitos? (Escolha duas.)
Escolha uma resposta
Toque em uma opção para verificar sua resposta.
Resposta correta: Crie um security group para os servidores web na sub-rede pública. Adicione uma regra para permitir o tráfego de 0.0.0.0/0 na porta 443., Crie um security group para a instância de banco de dados. Adicione uma regra para permitir o tráfego do security group dos servidores web na porta 3306..
Por que esta é a resposta
A primeira etapa correta é criar um security group para os servidores web e permitir o tráfego de entrada de 0.0.0.0/0 na porta 443. Isso garante que os servidores web na sub-rede pública sejam acessíveis pela internet via HTTPS, conforme solicitado. A segunda etapa correta é criar um security group para a instância de banco de dados e permitir o tráfego de entrada do security group dos servidores web na porta 3306. Isso restringe o acesso ao banco de dados apenas aos servidores web, garantindo que a instância RDS não seja acessível diretamente da internet. A opção de ACL de rede não é a melhor escolha para este cenário, pois security groups são stateful e mais granulares para controle de tráfego entre instâncias e serviços. Negar tráfego de saída em uma ACL de rede para a porta 3306 não é necessário e pode causar problemas de conectividade. Permitir o tráfego do bloco CIDR da sub-rede pública no security group do banco de dados é menos seguro do que referenciar o security group dos servidores web, pois o CIDR pode incluir outras instâncias que não deveriam acessar o banco de dados. Negar todo o tráfego, exceto o tráfego do security group dos servidores web, é redundante, pois os security groups negam implicitamente todo o tráfego não permitido.
Passe no seu exame — sem a busca interminável por respostas
Obtenha todas as perguntas e explicações verificadas para este exame em um só lugar e economize horas de preparação. Mais de 1.000 certificações · Mais de 20 idiomas · Grátis para começar.
Passe no seu exame mais rápido → Não é necessário cartão