第011题 - sap

X

加利福尼亚州上空的紫金山-阿特拉斯彗星

题目翻译 (Question Translation)

---

English: A company has many AWS accounts and uses AWS Organizations to manage all of them. A solutions architect must implement a solution that the company can use to share a common network across multiple accounts.

The company’s infrastructure team has a dedicated infrastructure account that has a VPC. The infrastructure team must use this account to manage the network. However, individual accounts cannot have the ability to manage their own networks. However, individual accounts must be able to create AWS resources within subnets.

Which combination of actions should the solutions architect perform to meet these requirements? (Choose two.)

---

中文翻译： 一家公司有多个 AWS 账户，并使用 AWS Organizations 管理所有账户。解决方案架构师必须实施一个解决方案，使公司可以在多个账户之间共享一个公共网络。

公司的基础设施团队有一个专用的基础设施账户，其中有一个 VPC。基础设施团队必须使用该账户来管理网络。但是，单个账户不能自行管理其网络。不过，单个账户必须能够在子网中创建 AWS 资源。

解决方案架构师应该采取哪些操作来满足这些要求？（选择两项）

---

选项分析 (Answer Analysis)

---

选项 A

Create a transit gateway in the infrastructure account. 在基础设施账户中创建一个 Transit Gateway。

分析：

• 重点功能：
  • Transit Gateway（TGW）是 AWS 提供的一种高效的跨账户网络连接解决方案，用于集中管理 VPC 间的流量。
• 优势：
  • TGW 可以通过与多个 VPC 进行连接，实现跨账户网络的集中式管理。
  • 在组织内，TGW 可以通过 Resource Access Manager (RAM) 共享给其他账户。
• 运维开销： 中等，仅需在基础设施账户中配置 TGW 并分享资源。
• 与题目相关性： 满足“通过基础设施账户管理网络”的要求。

此选项是正确答案之一。

---

选项 B

Enable resource sharing from the AWS Organizations management account. 在 AWS Organizations 管理账户中启用资源共享功能。

分析：

• 重点功能：
  • AWS Organizations 管理账户可以启用资源共享，从而通过 Resource Access Manager (RAM) 分发资源给其他账户。
• 问题：
  • 资源共享实际上是通过 RAM 实现的，而不是直接通过 Organizations 管理账户完成的。
  • 题目要求通过基础设施账户管理网络，管理账户的操作不符合需求。
• 运维开销： 中等，但此操作与题目需求不完全相关。
• 与题目相关性： 不符合需求。

此选项不正确。

---

选项 C

Create VPCs in each AWS account within the organization in AWS Organizations. Configure the VPCs to share the same CIDR range and subnets as the VPC in the infrastructure account. Peer the VPCs in each individual account with the VPC in the infrastructure account. 在 AWS Organizations 中为每个 AWS 账户创建 VPC，并配置这些 VPC 使用与基础设施账户 VPC 相同的 CIDR 范围和子网。然后将这些 VPC 与基础设施账户中的 VPC 进行 Peering。

分析：

• 重点功能：
  • VPC Peering 允许不同账户的 VPC 相互通信。
  • 需要为每个账户创建单独的 VPC，并配置 Peering 连接。
• 问题：
  • VPC Peering 的维护成本很高，需要为多个账户单独管理 Peering 关系。
  • Peering 不支持跨账户共享子网的功能，不能满足“单独账户在共享子网中创建资源”的需求。
• 运维开销： 极高，不适合作为长远解决方案。
• 与题目相关性： 无法满足跨账户子网共享的需求。

此选项不正确。

---

选项 D

Create a resource share in AWS Resource Access Manager in the infrastructure account. Select the specific AWS Organizations OU that will use the shared network. Select each subnet to associate with the resource share. 在基础设施账户中使用 AWS Resource Access Manager 创建资源共享。选择将使用共享网络的特定 AWS Organizations OU，并选择每个子网与资源共享相关联。

分析：

• 重点功能：
  • AWS Resource Access Manager (RAM) 允许跨账户共享资源，包括 VPC 子网、Transit Gateway 等。
  • 可基于 AWS Organizations 单位（OU）来控制资源共享，符合题目需求。
• 优势：
  • 可以直接共享基础设施账户的子网，允许其他账户创建资源，同时保持网络的集中管理。
  • 运维开销较低，仅需配置 RAM 和关联的子网。
• 与题目相关性： 完全符合需求，允许其他账户使用共享子网创建资源。

此选项是正确答案之一。

---

选项 E

Create a resource share in AWS Resource Access Manager in the infrastructure account. Select the specific AWS Organizations OU that will use the shared network. Select each prefix list to associate with the resource share. 在基础设施账户中使用 AWS Resource Access Manager 创建资源共享。选择将使用共享网络的特定 AWS Organizations OU，并选择每个前缀列表与资源共享相关联。

分析：

• 重点功能：
  • 前缀列表允许集中管理 IP 地址范围，可以共享给其他账户。
• 问题：
  • 题目需求是跨账户共享子网，而非仅共享前缀列表。
  • 前缀列表更多用于路由规则管理，不能直接满足“创建资源于共享子网”这一需求。
• 运维开销： 中等，但不能直接实现题目需求。
• 与题目相关性： 部分相关，但不符合核心需求。

此选项不正确。

---

最佳答案 (Correct Answer)

答案：A、D

---

详细解析 (Detailed Explanation)

1. 为什么选择 A？

• Transit Gateway 是 AWS 提供的集中式跨账户网络解决方案，可以高效管理多个 VPC 的网络流量。
• TGW 可以通过 RAM 分享给其他账户，与 D 结合可以实现网络共享。

2. 为什么选择 D？

• AWS Resource Access Manager 是 AWS 官方推荐的跨账户资源共享工具，支持通过 AWS Organizations OU 直接共享子网。
• D 提供的功能完全符合“基础设施账户管理网络、其他账户可在共享子网中创建资源”的需求。

---

为什么不选择其他选项？

• B： Organizations 管理账户仅启用资源共享，并未实际实现网络管理。
• C： VPC Peering 无法满足子网共享需求，且运维复杂。
• E： 前缀列表的功能无法直接支持共享子网。

---

总结 (Summary)

通过选择 A 和 D，可以高效地实现跨账户网络共享，并符合题目对集中管理和子网共享的要求，同时保持较低的运维开销。

---