AWS SAP-C01 (291-300)

1. 一家公司有一个应用程序在线销售门票，每 7 天就会经历一次需求爆发。该应用程序有一个运行在 Amazon EC2 上的无状态表示层、一个存储非结构化数据目录信息的 Oracle 数据库和一个后端 API 层。前端层使用弹性负载均衡器在三个可用区 (AZ) 上的九个按需实例之间分配负载。Oracle 数据库在单个 EC2 实例上运行。该公司在运行两个以上的并发活动时遇到了性能问题。解决方案架构师必须设计满足以下要求的解决方案：

   • 解决可扩展性问题
   • 提高并发级别
   • 消除许可成本提高可靠性
     解决方案架构师应该采取哪些步骤？

   A. 结合按需实例和 Spot 实例为前端创建 Auto Scaling 组以降低成本 将 Oracle 数据库转换为单个 Amazon RDS 预留数据库实例

   B. 结合按需和 Spotin 立场为前端创建 Auto caling 组以降低成本 创建数据库实例的两个额外副本，然后将数据库分布在单独的可用区中

   C. 为前端创建一个 Auto Scaling 组，结合 On-Demand 和 SpotInstances 来降低成本 将 Oracle 数据库中的表转换为 Amazon Dynamodb 表

   D.将按需实例转为Spot实例，降低前端成本将Oracle数据库中的表转为Amazon Dynamodb表

   答案：C

2. 开发人员报告在他们尝试从 Amazon S3 存储桶下载对象时收到错误 403:Access Denied 消息。 S3 存储桶使用 VPC 内的 S3 端点访问，并使用 AWS KMS 密钥加密。解决方案架构师已验证开发人员在允许下载对象的账户中承担正确的 IAM 角色。S3 存储桶策略 并且 NACL 也是有效的。解决方案架构师应该采取哪个额外步骤来解决这个问题？

   A.确保在 S3 存储桶中没有启用阻止所有公共访问

   B.验证 IAM 角色有权解密引用的 KMS 密钥

   C.验证 IAM 角色是否配置了正确的信任关系

   D. 检查本地防火墙规则是否阻止访问 s3 端点

   答案：B

3. 一家公司正在使用 Amazon Cloudfront 在 AWS 上部署面向公众的全球应用程序。该应用程序与外部系统通信 解决方案架构师需要确保数据在端到端传输和静止期间得到保护。哪些步骤组合将满足这些要求？（选择三个）

   A.在 AWS Certificate Manager 中为所需域创建公共证书并将其部署到 Cloudfront、应用程序负载均衡器和 Amazon EC2 实例

   B.从第三方供应商处获取公共证书并将其部署到 Cloudfront、ApplicationLoad Balancer 和 Amazon EC2 实例

   C. 使用 AWS KMS 配置 Amazon EBS 加密卷并确保在写入 Amazon EBS 时对数据进行显式加密

   D. 使用 AWS KMS 配置 Amazon EBS 加密卷

   E. 在使用 VPN 与外部系统通信时使用 SSL 或加密数据

   F.使用明文与外部系统通信，使用VPN对传输中的数据进行加密

   答案：ACE

4. 一家企业公司的数据科学团队希望提供一种安全、经济高效的方式来提供对 Amazon Sagemaker 的轻松访问。数据科学家的 AWS 知识有限，需要能够启动 Jupyter notebook 实例。 notebook 实例需要有一个预配置的 AWS KMS 密钥来加密机器学习存储卷上的静态数据，而不会暴露复杂的设置要求。哪种方法可以让公司为数据科学家建立自助服务机制，以最少的运营开销在其 AWS 账户中启动 Jupyter 笔记本？

   A. 使用静态 Amazon S3 网站创建无服务器前端，允许数据科学家通过填写表格来请求 Jupyter Notebook 实例。使用 Amazon API Gateway 接收来自 S3 网站的请求并触发中央 AWS Lambda 函数来使对 Amazon SageMaker 的 API 调用，它将为数据科学家启动一个带有预配置 KMS 密钥的笔记本实例。然后回调前端网站显示notebook实例的URL

   B.创建 AWS Cloudformation 模板以使用 AWS:SageMakerc:Notebooklnstance 资源类型和预配置的 KMS 密钥启动 Jupyter 笔记本实例。向 Cloudformation 模板添加一个用户友好的名称使用输出部分显示笔记本的 URL 分发数据科学家使用共享 Amazon S3 存储桶的 Cloudformation 模板

   C.创建 AWS Cloudformation 模板以使用 AWS:SageMakerc:Notebooklnstance 资源类型和预配置的 KMS 密钥启动 Jupyter 笔记本实例。简化参数名称，例如实例大小，将它们映射到 Small 、 Large 和 X-大使用 Cloudformation 中的映射部分。使用输出部分显示笔记本的 URL，156 然后将模板上传到数据科学家产品组合中的 AWS 服务目录产品，并与数据科学家的 LAM 角色共享

   D. 创建数据科学家可以在本地运行的 AWS Cll 脚本。提供有关在执行 AWS CLI 脚本时要提供的参数的分步说明，以使用预配置的 KMS 密钥启动 Jupyter notebook 将 CLI 脚本分发到数据科学家使用共享的 AmazonS3 存储桶

   答案：C

5. 一家企业公司正在为其用户构建基础设施服务平台。公司有以下要求：

   • 在启动 AWS 基础设施时为用户提供最低权限访问，以便用户无法提供未经批准的服务。
   • 使用中央帐户来管理基础设施服务的创建。
   • 提供将基础设施服务分发到 AWS Organizations 中的多个账户的能力。
   • 提供在用户启动的任何基础设施上强制实施标签的能力。
     使用 AWS 服务的哪些操作组合将满足这些要求？ （选择三个。）

   A. 使用 AWS Cloud Formation 模板开发基础设施服务。将模板添加到中央 Amazon S3 存储桶并添加需要访问 S3 存储桶策略的 IAM 角色或用户。

   B. 使用 AWS Cloud Formation 模板开发基础设施服务。将每个模板作为 AWS Service Catalog 产品上传到在中央 AWS 账户中创建的产品组合。与为公司创建的组织结构共享这些投资组合。

   C. 允许用户 IAM 角色拥有 AWSCloudFormationFullAccess 和 AmazonS3ReadOnlyAccess 权限。在 AWS 账户根用户级别添加组织 SCP 以拒绝除 AWS CloudFormation 和 Amazon S3 之外的所有服务。

   D. 仅允许用户 IAM 角色具有 ServiceCatalogEndUserAccess 权限。使用自动化脚本将中央投资组合导入本地 AWS 账户，复制 TagOption 分配用户访问权限并应用启动约束。

   E. 使用 AWS Service Catalog TagOption 库维护公司所需的标签列表。将 TagOption 应用于 AWS Service Catalog 产品或产品组合。

   F. 使用 AWS CloudFormation Resource Tags 属性强制将标签应用到将为用户创建的任何 CloudFormation 模板。

   答案：BDE

6. 一家媒体公司有一个以编程方式生成的静态 Web 应用程序 该公司有一个生成 HTML 内容的构建管道，该内容上传到由 Amazon Cloudfront 提供服务的 Amazon S3 存储桶。构建管道在构建帐户内运行。S3 存储桶和 CloudEront 分发位于分销账户中。构建管道使用构建账户中的 IAM 角色将文件上传到 Amazon S3。S3 存储桶有一个存储桶策略，该策略仅允许 Clouderon 使用源访问身份 (CAI) 读取对象。在测试期间，所有使用 Cloudfront URL 访问应用程序的尝试都会导致 HTTP 403 Access Denied 响应。
   解决方案架构师应该向公司提出什么建议以允许通过 Cloudfront 访问 Amazon S3 中的对象？

   A.修改Build Account中的S3上传流程，在上传时为objects添加bucket-owner-full-control AOL

   B.在分配账户中创建一个新的跨账户 AM 角色，对 83 存储桶具有写入权限修改构建管道以承担此角色以将文件上传到分配账户

   C.修改Build Account中的S3上传流程，将object owner设置为Distribution Account

   D.在分配账户中创建一个新的 IAM 角色，对 83 存储桶具有读访问权限。配置 Cloudftont 以使用这个新角色作为其 OAL。修改构建管道以在从构建账户上传文件时承担此角色

   答案：D

7. 解决方案架构师正在 AWS Cloudformation 模板中为两层 Web 应用程序实现基础设施即代码。Web 前端应用程序将部署在 Auto Scaling 组中的 Amazon EC2 实例上。后端数据库将是 Amazon RDS for MYSQL 数据库实例.数据库密码每60天轮换一次。解决方案架构师如何安全地管理应用程序数据库凭据的配置？

   A.在 Cloudformation 模板中提供数据库密码作为参数。在 Auto Scaling 组的启动配置 Userdata 属性中创建一个初始化脚本，以使用 Ref 内在函数引用密码参数 在 EC2 实例上引用参数使用 Ref 内部函数的 AWS RDS::Blnstance 资源中 MasterUserPassword 属性的值

   B.在 Cloudformation 模板中创建一个新的 AWS Secrets Manager 秘密资源以用作数据库密码。配置应用程序以在需要时从 Secrets Manage 检索密码在 AWS RDS::DBlnstance 中引用 MasterUserPassword 属性值的秘密资源 使用动态引用的资源

   C.在 Cloudformation 模板中创建一个新的 AWS Secrets Manager 秘密资源以用作数据库密码在 Auto Scaling 组启动配置 Userdata 属性中创建一个初始化脚本，以使用 Ref 内部函数引用秘密资源。使用 Ref 内部函数的 AWS RDS:DNinstance 资源中 MasterUserPassword 属性的值

   D.在 Cloudformation 模板中创建一个新的 AWS Systems Manager Parameter Store 参数以用作数据库密码。在 Auto Scaling 组的启动配置 serdata 属性中创建一个初始化脚本以引用该参数引用该参数作为 MasterUserPassword 的值属性 AWS RDS::DBinstance 资源使用 Fn::Ge Att 内在函数

   答案：B

8. 天气服务通过托管在 eu-west-1 区域的 AWS 上的 Web 应用程序提供高分辨率天气图天气图经常更新并与静态 HTML 内容一起存储在 Amazon S3 中。Web 应用程序由 Amazon Cloudfront 提供：该公司最近扩展到为 us-east-1 区域的用户提供服务，这些新用户报告说，查看各自的天气图时不时会很慢。
   哪些步骤组合将解决 us-east-1 性能问题？（选择两项）

   A.为 eu-west-1 中的 S3 存储桶配置 AWS Global Accelerator 终端节点。为 us-east-1 中的 TCP 端口 80 和 443 配置终端节点组

   B.在us-east-1中新建一个S3bucket 配置S3跨地域复制从eu-west-1中的S3bucket同步

   C.使用 Lambda@Edge 修改来自北美的请求以使用 us-east-1 中的 S3 Transfer Acceleration 端点

   D.使用Lambda@Edge修改来自北美的请求使用us-east-1中的S3bucket

   E.将 us-east-1 的 AWS Global Accelerator 终端节点配置为 Cloudfront 分配上的源使用 Lambda@Edge 修改来自北美的请求以使用新源

   答案：BD

9. 一家公司使用 AWS CloudFormation 作为其所有应用程序的部署工具。它在 Amazon S3 存储桶中暂存所有应用程序二进制文件和模板，支持版本控制 开发人员可以访问托管集成开发 (IDE) 的 Amazon EC2 实例。开发人员将应用程序二进制文件从 Amazon S3 下载到 EC2 实例，进行更改，然后在本地运行单元后将二进制文件上传到 S3 存储桶。开发人员希望改进现有的部署机制并使用 AWS CodePipeline 实施 CI/CD。开发人员有以下要求：

   • 使用 AWS CodeCommit 进行源代码控制。
   • 自动化单元测试和安全扫描。
   • 当单元测试失败时提醒开发人员。
   • 打开和关闭应用程序功能，并动态自定义部署作为 CI/CD 的一部分。
   • 在部署应用程序之前让首席开发人员提供批准。
     哪种解决方案将满足这些要求？

   A.使用 AWS Code Build 运行单元测试和安全扫描使用 Amazon Eventbridge 规则在单元测试失败时向开发人员发送 Amazon SNS 警报。为不同的解决方案功能编写 AWS 云开发工具包 (AWS CDK) 构造，并使用清单文件在 AWS CDK 应用程序中打开和关闭功能：在管道中使用手动批准阶段以允许首席开发人员批准应用程序

   B. 使用 AWS Lambda 运行单元测试和安全扫描 在管道的后续阶段使用 Lambda 在单元测试失败时向开发人员发送 Amazon SNS 警报。为不同的解决方案功能编写 AWS Amplify 插件，并利用用户提示打开和关闭功能。在管道中使用 Amazon SES 以允许首席开发人员批准应用程序。

   C. 使用 Jenkins 运行单元测试和安全扫描 当单元测试失败时，使用管道中的 Amazon Eventbridge 规则向开发人员发送 Amazon SES 警报。针对不同的解决方案功能和参数使用 AWS Cloudformation 嵌套堆栈来打开和关闭功能。在管道中使用 AWS Lambda 以允许首席开发人员批准应用程序

   D. 使用 AWS Code Deploy 运行单元测试和安全扫描当单元测试失败时，使用管道中的 Amazon Cloudwatch 警报向开发人员发送 Amazon SNS 警报。将 Docker 映像用于不同的解决方案功能，并使用 AWS CLI 打开和关闭功能 在管道中使用手动批准阶段以允许首席开发人员批准应用程序

   答案：A

10. 在 AWS 上运行的电子商务网站使用 Amazon RDS for MySQL 数据库实例和通用 SSD 存储。开发者根据需求选择合适的实例类型，并配置了100GB的存储空间和足够的可用空间。该网站平稳运行了几个星期，直到启动了营销活动。在活动的第二天，用户报告了长时间的等待和超时。 Amazon CloudWatch 指标表明，对数据库实例的读取和写入都经历了很长的响应时间。 CloudWatch 指标显示 CPU 和内存利用率为 40% 到 50%，并且仍有足够的可用存储空间。应用程序服务器日志没有显示数据库连接问题的证据。营销活动出现问题的根本原因可能是什么？

    A. 由于在设置阶段提供了低磁盘存储，它耗尽了 I/O 信用余额。

    B. 导致表中数据变化频繁，需要重建索引以优化查询。

    C. 它用尽了与数据库实例的最大允许连接数。

    D. 耗尽了 RDS for MySQL 数据库实例可用的网络带宽。

    答案：A