AWS SAP-C01 (281-290)

1. 一家公司正在使用現有的編排工具來管理數千個 Amazon EC2 實例。最近的一次滲透測試在該公司的軟件堆棧中發現了一個漏洞。該漏洞促使該公司對其當前的生產環境進行全面評估。分析確定環境中存在以下漏洞：

   • 生產中正在使用具有過時庫和已知漏洞的操作系統。
   • 由公司託管和管理的關係數據庫正在運行具有已知漏洞的不受支持的版本。
   • 存儲在數據庫中的數據未加密。
     解決方案架構師打算使用 AWS Contig 來持續審計和評估公司的 AWS 資源配置是否符合公司的政策和指南。
     哪些額外的步驟將使公司能夠在遵守最佳實踐的同時保護其環境和跟蹤資源？

   A. 使用 AWS Application Discovery Service 評估所有正在運行的 EC2 實例。使用 AWS CLI 修改每個實例，並在引導期間使用 EC2 用戶數據安裝 AWS Systems Manager 代理。安排修補以作爲 Systems Manager 維護 Windows 任務運行。將所有關係數據庫遷移到 Amazon RDS 並啓用 AWS KMS 加密。

   B. 爲 EC2 實例創建 AWS CloudFormation 模板。使用 CloudFormation 模板中的 EC2 用戶數據安裝 AWS Systems Manager 代理，並在所有 Amazon EBS 捲上啓用 AWS KMS 加密。讓 CloudFormation 替換所有正在運行的實例。使用 Systems Manager Patch Manager 建立補丁基準並部署 Systems Manager 維護 Windows 任務以使用補丁基準執行 AWS-RunPatchBaseline。

   C. 使用公司當前的編排工具在所有現有實例上安裝 AWS Systems Manager 代理。使用 Systems Manager Run Command 執行命令列表，以使用特定於操作系統的工具升級每個實例上的軟件。在所有 Amazon EBS 捲上啓用 AWS KMS 加密。

   D. 使用公司當前的編排工具在所有現有實例上安裝 AWS Systems Manager 代理。將所有關係數據庫遷移到 Amazon RDS 並啓用 AWS KMS 加密。使用 Systems Manager Patch Manager 建立補丁基準並部署 Systems Manager 維護 Windows 任務以使用補丁基準執行 AWS-RunPatchBaseline。

   答案：D

2. 一家公司在其本地數據中心運行許多服務。該數據中心使用 AWS Direct Connect(DX) 和 Ipsec VPN 連接到 AWS 服務數據敏感且連接無法穿越互聯網 該公司希望擴展爲 新的細分市場，並開始向使用 AWS 的其他公司提供其服務。
   哪種解決方案將滿足這些要求？

   A.創建一個接受 TCP 流量的 VPC 端點服務，將其託管在網絡負載均衡器之後並使該服務通過 DX 可用

   B.創建一個 VPCEndpointServicethatacceptsHTTPorHTTPStraffichost tbehindanApplication Load Balancer ，並使服務通過 DX 可用

   C.在VPC上附加一個Internet網關，並確保網絡訪問控制和安全組規則允許相關的入站和出站流量

   D.在VPC上附加NAT網關，並確保網絡訪問控制和安全組規則允許相關的入站和出站流量

   答案：A

3. 一家公司有一個 VPC，其中有兩個域控制器在默認配置中運行 Active Directory。 VPC DHCP 選項集配置爲使用兩個域控制器的 IP 地址。定義了一個 VPC 接口端點；但是 VPC 中的實例無法解析私有端點地址。哪些策略可以解決這個問題？ （選擇兩項。）

   A. 定義出站 Amazon Route 53 解析器。將 Active Directory 域的條件轉發規則設置爲 Active Directory 服務器。更新設置爲 AmazonProvidedDNS 的 VPC DHCP 選項。

   B. 更新 Active Directory 服務器上的 DNS 服務，將所有非權威查詢轉發到 VPC 解析器。

   C. 定義入站 Amazon Route 53 解析器。將 Active Directory 域的條件轉發規則設置爲 Active Directory 服務器。更新設置爲 AmazonProvidedDNS 的 VPC DHCP 選項。

   D. 更新客戶端實例上的 DNS 服務以拆分 Active Directory 服務器和 VPC 解析器之間的 DNS 查詢。

   E. 更新 Active Directory 服務器上的 DNS 服務以將所有查詢轉發到 VPC 解析器。

   答案：AB

4. 一家健身追蹤公司爲全球用戶提供服務，其主要市場在北美和亞洲。該公司需要爲其讀取量大的用戶授權應用程序設計一個基礎架構，並滿足以下要求：

   • 對任何區域中的應用程序問題具有彈性
   • 從多個區域寫入單個 RegionRead 中的數據庫
   • 支持每個區域中跨應用程序層的彈性
   • 支持在應用中體現的關係數據庫語義
     解決方案架構師應該採取哪些步驟組合？（選擇兩項）

   A.使用 Amazon Route 53 geoproximiy outing policy 結合多值應答路由策略

   B.將 web 、應用程序和 MYSQL 數據庫服務器部署到每個區域的 Amazon EC2 實例。設置應用程序，以便讀取和寫入在區域本地創建 Web 應用程序和數據庫服務器的快照，並將快照存儲在兩個區域的 Amazon S3 存儲桶中 爲數據庫層設置跨區域複製

   C. 將 Amazon Route 53 地理定位路由策略與故障轉移路由策略結合使用

   D. 爲每個區域的 MYSQL 實例設置 web 、應用程序和 Amazon RDS。設置應用程序，以便讀取是本地的，寫入是基於用戶進行分區的。爲 Web 應用程序和數據庫服務器設置 Multi-az 故障轉移。爲數據庫層設置跨區域複製。

   E. 在每個區域設置主動-主動 Web 和應用程序服務器在每個區域部署一個帶有集羣的 Amazon Aurora 全局數據庫。設置應用程序以使用區域內 Aurora 數據庫終端節點。創建 Web 和應用程序服務器的快照，並將它們存儲在兩個區域的 Amazon S3 存儲桶中。

   答案：CE

5. 一家公司計劃使用專爲 NoSQL 數據庫設計的多層 Web 應用程序在 AWS 上託管其電子商務平臺。該公司計劃使用 us-west-2 區域作爲其主要區域。該公司希望確保應用程序和數據的副本在第二個區域 us-west-1 中可用，以進行災難恢復。該公司希望儘可能縮短故障轉移時間。主服務恢復後，應該可以在沒有管理交互的情況下故障恢復到主區域。
   解決方案架構師應該使用哪種設計？

   A. 使用 AWS CloudFormation StackSets 在兩個區域中爲 Web 和應用程序層創建具有 Auto Scaling 組的堆棧。使用 Amazon S3 跨區域複製在區域之間異步複製靜態內容。在發生中斷時，使用 Amazon Route 53 DNS 故障轉移路由策略將用戶定向到 us-west-1 中的輔助站點。將 Amazon DynamoDB 全局表用於數據庫層。

   B. 使用 AWS CloudFormation StackSets 在兩個區域中爲 Web 和應用程序層創建具有 Auto Scaling 組的堆棧。使用 Amazon S3 跨區域複製在區域之間異步複製靜態內容。使用 Amazon Route 53 DNS 故障轉移路由策略在發生中斷時將用戶定向到我們 west-1 中的輔助站點 爲數據庫層部署 Amazon Aurora 全局數據庫。

   C. 使用 AWS Service Catalog 在兩個區域中部署 Web 和應用程序服務器使用 Amazon S3 跨區域複製在兩個區域之間異步複製靜態內容。使用 Amazon Route 53 運行狀況檢查來識別主要區域故障，並在發生中斷時將公共 DNS 條目列表更新到次要區域。將 Amazon RDS for MySQL 與跨區域複製用於數據庫層。

   D. 使用 AWS CloudFormation StackSets 在兩個區域中使用 Web 和應用程序層的 Auto Scaling 組創建堆棧。使用 Amazon S3 跨區域複製在區域之間異步複製靜態內容。將 Amazon CloudFront 與 Amazon S3 中的靜態文件一起使用，並將多區域源用於前端 Web 層。使用每個區域中的 Amazon DynamoDB 表並計劃備份到 Amazon S3。

   答案：A

6. 一家公司想要在 AWS 上託管一個全球 Web 應用程序。它有以下設計要求：

   • 訪問模式必須允許從多個數據源獲取數據
   • 最小化 API 調用的成本
   • 將頁面加載時間保持在 50 毫秒以內
   • 提供用戶認證和授權，管理不同用戶的數據訪問
   • 角色（例如，管理員、anager 或工程師）
   • 使用無服務器設計
     解決方案架構師應該使用哪一組策略？

   A. 使用 Amazon Cloudfront 和 Amazon S3 來託管 Web 應用程序。使用 Amazon API Gateway 爲自定義授權方構建帶有 AWS Lambda 的應用程序 Apls。通過在 Simple AD 中執行用戶查找來授權數據訪問。

   B. 使用 Amazon Cloudfront 和 AWS WAF 來託管 Web 應用程序。使用 AWS Appsync 構建應用程序 APIS。爲每個用戶角色使用 LAM 組。通過利用 AWS AppSync 解析器中的 LAMgroup 來授權數據訪問

   C. 使用 Amazon Cloudfront 和 Amazon S3 來託管 Web 應用程序。使用 AWS Appsync 構建應用程序 Apls。爲每個用戶角色使用 Amazon Cognito 組。通過利用 AWS AppSync 解析器中的 Amazon Cognito 組來授權數據訪問

   D. 使用 AWS Direct Connect 和 Amazon S3 來託管 Web 應用程序。使用 Amazon API Gateway 構建應用程序 Apls。使用 AWS Lambda 進行自定義身份驗證和授權 利用 LAM 角色授權數據訪問

   答案：C

7. 一家初創公司最近將一個大型電子商務網站遷移到 AWS，該網站的銷售額增長了 70%。軟件工程師正在使用私有 Github 存儲庫來管理代碼。devops 團隊正在使用 Jenkins 進行構建和單元測試。工程師需要在部署期間收到有關錯誤構建和零停機時間的通知。工程師還需要確保對用戶的任何生產更改都是無縫的，並且可以在出現重大問題時回滾。軟件工程師決定使用 AWS Codepipeline 來管理他們的構建和部署過程。
   哪種解決方案將滿足這些要求？

   A. 使用 Github websockets 觸發 Codepipeline 管道。使用 AWSCodebuild 的 Jenkins 插件進行單元測試。將任何錯誤構建的警報發送到 Amazon SNS 主題。使用 AWS Codedeploy 就地部署一次部署配置

   B. 使用 Github webhooks 觸發 Codepipeline 管道。使用 AWS Codebuild 的 Jenkins 插件進行單元測試。將任何錯誤構建的警報發送到 Amazon SNS 主題使用 AWS Codedeploy 在藍/綠部署中部署

   C. 使用 Github websockets 觸發 Codepipeline 管道 使用 AWS X-ray 進行單元測試和靜態代碼分析。將任何錯誤構建的警報發送到 Amazon SNS 主題 使用 AWS Codedeploy 在藍/綠部署中部署

   D. 使用 Github webhooks 觸發 Codepieline 管道 使用 AWS x Ray 進行單元測試和靜態代碼分析 將任何錯誤構建發送到 Amazon SNS 主題。使用 AWS Codedeploy 就地部署、一次性部署配置

   答案：B

8. 一家公司開發了一款手機遊戲。遊戲的後端在位於本地數據中心的多個虛擬機上運行。業務邏輯使用具有多種功能的 REST API 公開。播放器會話數據存儲在中央文件存儲中 後端服務使用不同的 API 密鑰進行節流並區分實時和測試流量。遊戲後臺負載一整天都在變，高峯時段服務器容量不足。獲取玩家會話數據時也存在延遲問題 管理層要求解決方案架構師提出一種雲架構，該架構可以處理不同負載的遊戲並提供低延遲數據訪問。不應更改 API 模型。
   哪種解決方案滿足這些要求？

   A. 使用網絡負載均衡器 (NLB) 實施 REST API。在 Amazon Aurora Serverless 中 NLB.Store 播放器會話數據背後的 Amazon EC2 實例上運行業務邏輯。

   B. 使用應用程序負載均衡器 (ALB) 實現 REST API。在具有按需容量的 Amazon Dynamodb 中運行 AWS Lambda Store 播放器會話數據中的業務邏輯

   C. 使用 Amazon AP Gateway 實施 REST API 在具有按需容量的 Amazon Dynamodb 中運行 AWS Lambda Store 播放器會話數據中的業務邏輯。

   D. 使用 AWS Appsync 實現 REST API。在 AWS Lambda 中運行業務邏輯。在 Amazon Aurora Serverless 中存儲玩家會話數據

   答案：C

9. 一家公司在 Amazon EC2 實例上託管一個應用程序，需要將文件存儲在 Amazon S3 中。這些文件不應遍歷公共互聯網，並且只有應用程序 EC2 實例被授予訪問特定 Amazon S3 存儲桶的權限 解決方案架構師創建了一個 VPC 端點用於 Amazon S3 並將終端節點連接到應用程序 VPC 。
   解決方案架構師應該採取哪些額外步驟來滿足這些要求？

   A.將端點策略分配給限制訪問特定 S3 存儲桶的端點 將存儲桶策略附加到授予對 VPC 端點的訪問權限的 S3 存儲桶 將網關前綴列表添加到實例的 NACL 以限制對應用程序 EC2 的訪問僅實例

   B. 將存儲桶策略附加到 S3 存儲桶，僅使用 aws:Source 條件授予對應用程序 EC2 實例的訪問權限。更新 VPC 路由表，以便只有應用程序 EC2 實例可以訪問 VPC 端點

   C. 爲 VPC 端點分配一個端點策略，限制對特定 S3 存儲桶的訪問 將存儲桶策略附加到 S3 存儲桶，授予對 VPC 端點的訪問權限 將 LAM 角色分配給 plication EC2 實例，並且只允許在S3 存儲桶策略。限制訪問當前區域中的 S3 的 VPC 端點附加存儲桶 poliyto

   D. 將端點策略分配給限制訪問當前區域中的 S3 的 VPC 端點。將存儲桶策略附加到 S3 存儲桶，僅授予對應用程序 EC2 實例的訪問權限。將網關前綴列表添加到 NACL 以限制僅訪問應用程序 EC2 實例

   答案：C

10. 一家公司正在將其三層 Web 應用程序從本地遷移到 AWS 雲。該公司對遷移過程有以下要求：

    • 從本地環境中攝取機器圖像。
    • 同步從承諾環境到 AWS 環境的更改，直到生產轉換。
    • 在執行生產切換時最大限度地減少停機時間
    • 遷移虛擬機根卷和數據卷
      哪種解決方案能夠以最少的運營開銷滿足這些要求？

    A. 使用 AWS 服務器遷移服務 (SMS) 爲應用程序的每一層創建和啓動複製作業 從 AWS MS 創建的 AMI 啓動實例 初始測試後，執行最終複製並從更新的 AMI 創建新實例。

    B. 創建 AWS CLI VM 導入/導出腳本以遷移每個虛擬機 安排腳本以增量方式運行以維護應用程序中的更改 從 VM 導入/導出創建的 AMI 啓動實例。測試完成後，重新運行腳本以執行此操作最終導入並從 AMI 啓動實例

    C. 使用 AWS 服務器遷移服務 (SMS) 上傳操作系統卷。對數據卷使用 AWS CLI import-snapshot 命令。從 AWS SMS 創建的 AMI 啓動實例並將日期卷附加到實例。初始後測試，執行最終複製，從複製的 AMI 啓動新實例，並將數據卷附加到實例

    D. 使用 AWS Application Discovery Service 和 AWS Migration Hub 將虛擬機分組爲一個應用程序。使用 AWS CLI VM 導入/導出腳本將虛擬機作爲 AMI 導入。安排腳本以增量方式運行以維護應用程序中的更改 從 AMI 啓動實例。初始測試後，執行最終虛擬機導入並從 AMI 啓動新實例

    答案：A