第012题 - sap

X

宇宙飞船与彗星

题目翻译 (Question Translation)

---

English: A company wants to use a third-party software-as-a-service (SaaS) application. The third-party SaaS application is consumed through several API calls. The third-party SaaS application also runs on AWS inside a VPC.

The company will consume the third-party SaaS application from inside a VPC. The company has internal security policies that mandate the use of private connectivity that does not traverse the internet. No resources that run in the company VPC are allowed to be accessed from outside the company’s VPC. All permissions must conform to the principles of least privilege.

Which solution meets these requirements?

---

中文翻译： 一家公司希望使用第三方软件即服务（SaaS）应用程序。该第三方 SaaS 应用程序通过多个 API 调用被消费。第三方 SaaS 应用程序也在 AWS 内部运行，位于一个 VPC 中。

公司希望从其内部的 VPC 中消费该第三方 SaaS 应用程序。公司有内部安全策略，要求使用不经过互联网的私有连接。运行在公司 VPC 中的资源不允许从公司 VPC 外部访问。所有权限必须符合最小权限原则。

哪种解决方案符合这些要求？

---

选项分析 (Answer Analysis)

---

选项 A

Create an AWS PrivateLink interface VPC endpoint. Connect this endpoint to the endpoint service that the third-party SaaS application provides. Create a security group to limit the access to the endpoint. Associate the security group with the endpoint. 创建一个 AWS PrivateLink 接口 VPC 端点。将此端点连接到第三方 SaaS 应用程序提供的端点服务。创建一个安全组以限制对端点的访问，并将该安全组与端点关联。

分析：

• PrivateLink 的核心功能：
  • PrivateLink 允许通过私有连接访问第三方 SaaS 应用程序，无需通过互联网。
  • 接口 VPC 端点直接连接到 SaaS 提供的服务端点，符合“私有连接”的要求。
• 与安全策略的关系：
  • 配置安全组，可以限制只允许 VPC 内的资源访问第三方服务，符合最小权限原则。
• 运维开销：
  • 创建 PrivateLink 端点的配置简单，维护成本低。
• 与题目相关性：
  • 符合“私有连接”和“最小权限原则”的要求。

此选项是正确答案。

---

选项 B

Create an AWS Site-to-Site VPN connection between the third-party SaaS application and the company VPC. Configure network ACLs to limit access across the VPN tunnels. 在第三方 SaaS 应用程序与公司 VPC 之间创建一个站点到站点 VPN 连接，并配置网络 ACL 以限制通过 VPN 隧道的访问。

分析：

• Site-to-Site VPN 的特点：
  • VPN 通常用于跨本地和云环境之间的连接，但它不是 SaaS 应用程序访问的常见方案。
  • VPN 连接需要经过互联网，因此不符合题目要求的“禁止通过互联网”的条件。
• 运维开销：
  • 配置和维护 VPN 连接需要较高的操作复杂度。
• 与题目相关性：
  • VPN 不符合“只使用私有连接”的核心需求。

此选项不正确。

---

选项 C

Create a VPC peering connection between the third-party SaaS application and the company VPC. Update route tables by adding the needed routes for the peering connection. 在第三方 SaaS 应用程序与公司 VPC 之间创建一个 VPC Peering 连接，并通过更新路由表添加所需的路由。

分析：

• VPC Peering 的特点：
  • VPC Peering 可以建立两个 VPC 间的私有连接，无需通过互联网。
  • 然而，VPC Peering 是点对点的连接，难以扩展到多个消费者。
• 问题：
  • 第三方 SaaS 应用程序通常通过 PrivateLink 提供服务，而非直接通过 VPC Peering 连接给客户使用。
  • VPC Peering 不能提供对 SaaS 应用程序的标准化接口支持。
• 与题目相关性：
  • 虽然符合“私有连接”的要求，但不符合 SaaS 应用程序的最佳实践。

此选项不正确。

---

选项 D

Create an AWS PrivateLink endpoint service. Ask the third-party SaaS provider to create an interface VPC endpoint for this endpoint service. Grant permissions for the endpoint service to the specific account of the third-party SaaS provider. 创建一个 AWS PrivateLink 端点服务，要求第三方 SaaS 提供商为此端点服务创建一个接口 VPC 端点，并为第三方 SaaS 提供商的特定账户授予端点服务的权限。

分析：

• PrivateLink 端点服务的特点：
  • 此选项描述了如何创建自己的 PrivateLink 端点服务，而不是消费第三方的端点服务。
  • 公司只需通过接口端点消费第三方服务，无需创建端点服务。
• 问题：
  • 题目要求消费第三方 SaaS 提供的服务，而不是提供服务。
  • 此选项属于解决方案的反向配置，与题目要求不符。
• 与题目相关性：
  • 错误理解了题目需求。

此选项不正确。

---

最佳答案 (Correct Answer)

答案：A

---

详细解析 (Detailed Explanation)

1. 为什么选择 A？

• PrivateLink 的适用场景： PrivateLink 是 AWS 提供的针对第三方 SaaS 应用程序访问的标准化解决方案，允许在客户 VPC 和 SaaS 服务 VPC 之间建立私有连接。
• 满足所有条件：
  • 私有连接：数据不经过互联网，直接通过 AWS 网络传输。
  • 最小权限原则：可以通过安全组精细控制哪些资源可以访问端点服务。
  • 简化操作：SaaS 提供商已经提供了服务端点，公司只需创建接口端点并配置安全组。

2. 为什么不选择其他选项？

• B (VPN)： 数据需要经过互联网传输，不符合私有连接要求。
• C (VPC Peering)： 虽然支持私有连接，但不符合 SaaS 应用程序访问的最佳实践。
• D (Endpoint Service)： 此选项描述的是为 SaaS 提供服务，而非消费服务，方向错误。

---

总结 (Summary)

A 是唯一符合“私有连接”和“最小权限原则”要求的解决方案，同时它是第三方 SaaS 应用程序访问的最佳实践。

---