-
一家公司在 AWS Organizations 的一個組織中集中管理數百個 AWS 賬戶。該公司最近開始允許產品團隊在他們的賬戶中創建和管理他們自己的 S3 訪問點。 S3 接入點只能在 VPC 內訪問,不能在 Internet 上訪問。
執行此要求的最有效的操作方法是什麼?A. 將 S3 接入點資源策略設置爲拒絕 s3:CreateAccessPoint 操作,除非 s3:AccessPointNetworkOrigin 條件鍵評估爲 VPC。
B. 在組織的根級別創建一個 SCP 以拒絕 s3:CreateAccessPoint 操作,除非 s3:AccessPointNetworkOrigin 條件鍵評估爲 VPC。
C. 使用 AWS CloudFormation StackSets 在每個 AWS 賬戶中創建一個新的 IAM 策略,僅當 s3:AccessPointNetworkOrigin 條件鍵評估爲 VPC 時才允許 s3:CreateA ce sPoint 操作。
D. 設置 S3 存儲桶策略以拒絕 s3:CreateAccessPoint 操作,除非 s3:AccessPointNetworkOrigin 條件鍵評估爲 VPC。
答案:B
-
一家跟蹤醫院醫療設備的公司希望將其現有的存儲解決方案遷移到 AWS 雲。該公司爲其所有設備配備了傳感器,用於收集位置和使用信息。該傳感器數據以不可預測的模式發送,並且具有大的峯值。數據存儲在每家醫院內部運行的 MySQL 數據庫中。公司希望雲存儲解決方案隨使用情況擴展。公司的分析團隊使用傳感器數據按設備類型和醫院計算使用情況。團隊需要保持分析工具運行本地,同時從雲端獲取數據。團隊還需要使用現有的 Java 應用程序和 SQL 查詢,並儘可能減少更改。
解決方案架構師應如何在確保傳感器數據安全的同時滿足這些要求?A. 將數據存儲在 Amazon Aurora Serverless 數據庫中。通過網絡負載均衡器 (NLB) 提供數據。使用存儲在 AWS Secrets Manager 中的憑證使用 NLB 對用戶進行身份驗證。
B. 將數據存儲在 Amazon S3 存儲桶中。使用經 AWS Identity and Access Management (IAM) 授權的 IAM 用戶通過 Amazon QuickSight 提供數據,並將 S3 存儲桶作爲數據源。
C. 將數據存儲在 Amazon Aurora Serverless 數據庫中。使用獲得 AWS Identity and Access Management (IAM) 和 AWS Secrets Manager ARN 授權的 IAM 用戶通過 Aurora Data API 提供數據。
D. 將數據存儲在 Amazon S3 存儲桶中。使用 AWS PrivateLink 通過 Amazon Athena 提供數據以保護傳輸中的數據。
答案:C
-
一家公司擁有多個 AWS 賬戶,作爲使用 AWS Organizations 創建的組織的一部分。每個賬戶在 us-east-2 區域都有一個 VPC,用於生產或開發工作負載跨生產賬戶的 Amazon EC2 實例需要相互通信和EC2跨開發賬戶的實例需要相互通信,但生產和開發實例應該不能相互通信。爲了方便連接,公司創建了一個公共網絡賬戶。公司使用AWS Transit Gateway創建了一箇中轉網關在 us-east-2 區域中,網絡賬戶並使用 AWS Resource Access Manager 網絡管理員與整個組織共享中轉網關,然後將每個賬戶中的 VPC 附加到中轉網關,之後 EC2 實例能夠跨賬戶進行通信。然而,生產和開發帳戶也能夠相互通信。
解決方案架構師應該採取哪些步驟來確保生產流量和開發流量完全隔離?A. 修改分配給開發 EC2 實例的安全組以阻止來自生產的流量。EC2 實例修改分配給生產的安全組。用於阻止來自開發 EC2 實例的流量的 EC2 實例
B. 根據要附加的賬戶類型,在每個 VPC 附件上創建一個值爲生產或開發的標籤。使用 AWS Transit Gateway 的網絡管理器功能,根據此標籤的值創建限制 VPC 之間流量的策略
C. 爲生產和開發流量創建單獨的路由表。刪除每個賬戶的關聯和路由傳播到默認的 AWS Transit Gateway 路由表。將開發 VPC 附加到開發 AWS Transit Gateway 路由表,將生產 VPC 附加到生產路由表並啓用自動每個附件上的路由傳播
D. 根據要附加的賬戶類型,在每個 VPC 附件上創建一個值爲生產或開發的標籤。修改 AWS Transit Gateway 路由表以將生產標記的附件彼此路由,並將開發標記的附件路由到彼此
答案:C
-
解決方案架構師正在設計一個解決方案,該解決方案由 Auto Scaling 組中的一組 Amaz n EC2 預留實例 (Rls) 組成,隨着使用量的增加,該組將隨着時間的推移而增長。該解決方案需要保持 80% 的 Rl 覆蓋率以保持成本控制當覆蓋率低於 30% 時,使用電子郵件分發列表向 DevOps 團隊發出警報。該解決方案還必須包括生成報告以輕鬆跟蹤和管理覆蓋率的能力。公司有一項政策,每個 AWS 賬戶只允許一個工作負載.
解決方案架構師應該採取哪些步驟來創建報告並提醒 DevOps 團隊?A. 創建 Amazon Simple Notification Service (Amazon SNS) 主題並訂閱 DevOps 電子郵件分發列表。啓用成本分配標籤並確保實例在啓動時填充客戶管理的成本分配標籤。使用 AWS 賬單和成本管理控制檯創建一個Rl 覆蓋範圍的預算,使用客戶管理的成本分配標籤進行適配並將閾值設置爲 80% 並鏈接到在我的警報配置中創建的 SNS 主題
B. 創建 Amazon Simple Notification Service (Amazon SNS) 主題並訂閱 DevOps 電子郵件分發列表。使用成本管理器控制檯配置 Rl 利用率報告,將利用率目標設置爲 30% 並鏈接到警報中創建的 SNS 主題配置
C. 使用 AWS Billing and Cost Management 控制檯爲 Rl 利用率創建預留預算,將利用率設置爲 80% 並在警報配置中輸入電子郵件分發列表
D. 啓用成本分配標籤並確保實例在啓動時填充客戶管理的成本分配標籤。使用成本管理器控制檯配置 Rl 覆蓋範圍的報告,使用客戶管理的成本分配標籤進行過濾並將閾值設置爲 80% 並輸入警報配置中的電子郵件分發列表。
答案:A
-
一家公司基於部署在 AWS Cloud Formation 堆棧中的 AWS Lambda 構建了一個應用程序。Web 應用程序的最後一個生產版本引入了一個問題,導致持續幾分鐘的中斷。解決方案架構師必須調整部署過程以支持金絲雀版本 .
哪種解決方案將滿足這些要求?A. 爲每個新部署的 Lambda 函數版本創建一個別名。使用 AWS CLI update-alias 命令和 routing-config 參數來分配負載
B. 將應用程序部署到新的 Cloud Format 離子堆棧中。使用 Amazon Route 53 加權路由策略來分配負載
C. 創建一個版本(或每個新部署的 Lambda 函數。使用 AWS CLI update-function-configuration 命令和 routing-config 參數來分配負載
D. 配置 AWS CodeDeploy 並在 Deployment 配置中使用 Code Deploy Default OneAtATime 來分配負載
答案:A
-
一家公司在其主要辦公室託管一個大型內部部署 MySQL 數據庫,該數據庫支持全球員工使用的問題跟蹤系統。該公司已經將 AWS 用於某些工作負載,併爲數據庫端點創建了一個 Amazon Route 53 條目,指向本地數據庫。管理層擔心數據庫是單點故障,並希望解決方案架構師將數據庫遷移到 AWS,而不會造成任何數據丟失或停機。
解決方案架構師應該實施哪一組操作?A. 創建 Amazon Aurora 數據庫集羣。使用 AWS Database Migration Service (AWS DMS) 將本地數據庫完全加載到 Aurora。更新數據庫的 Route 53 條目以指向 Aurora 集羣終端節點並關閉本地數據庫
B. 在非工作時間關閉本地數據庫並創建備份。將此備份還原到 Amazon Aurora 數據庫集羣。還原完成後,更新數據庫的 Route 53 條目以指向 Aurora 集羣終端節點並關閉本地數據庫
C. 創建 Amazon Aurora 數據庫集羣 使用 AWS Database .Migration Service (AWS DMS) 執行完整加載,並從本地數據庫到 Aurora 的持續複製。遷移完成後,將數據庫的 Route 53 條目更新爲指向到 Aurora 集羣端點並關閉本地數據庫
D. 創建數據庫的備份並將其還原到 Amazon Aurora 多主集羣。此 Aurora 集羣將採用本地數據庫的主-主複製配置。更新數據庫的 Route 53 條目以指向Aurora 集羣端點並關閉本地數據庫
答案:C
-
一家公司在其本地數據中心運行着許多服務。該數據中心使用 AWS Direct Connect (DX) 和 iPSec VPN 連接到 AWS。 服務數據是敏感的,連接不能穿越互聯網。該公司希望擴展到一個新的細分市場,並開始向使用 AWS 的其他公司提供其服務。
哪種解決方案將滿足這些要求?A. 創建一個接受 TCP 流量的 VPC 端點服務,將其託管在網絡負載均衡器之後,並使該服務通過 DX 可用
B. 創建一個接受 HTTP 或 HTTPS 流量的 VPC 端點服務 將它託管在應用程序負載均衡器之後,並使該服務通過 DX 可用
C. 爲 VPC 附加 Internet 網關,並確保網絡訪問控制和安全組規則允許相關的入站和出站流量
D. 爲 VPC 附加 NAT 網關,並確保網絡訪問控制和安全組規則允許相關的入站和出站流量
答案:A
-
一家公司維護着一個餐廳評論網站。該網站是一個單頁應用程序,其中文件存儲在 Amazon S3 中並使用 Amazon CloudFront 交付。該公司每天都會收到幾條人工刪除的虛假帖子。安全團隊已經確定大部分虛假帖子來自 IP 地址在同一全球區域內聲譽不佳的點。團隊需要創建一個解決方案來幫助限制機器人訪問網站。
解決方案架構師應該使用哪種策略?A. 使用 AWS Firewall Manager 控制 CloudFront 分配安全設置。創建地理阻止規則並將其與 Firewall Manager 關聯
B. 將 AWS WAF Web ACL 與 CloudFront 分配關聯。使用拒絕操作爲 Web ACL 選擇託管 Amazon IP 信譽規則組
C. 使用 AWS Firewall Manager 控制 CloudFront 分配安全設置。選擇託管 Amazon IP 信譽規則組並將其與 Firewall Manager 關聯並執行拒絕操作
D. 將 AWS WAF Web ACL 與 CloudFront 分配關聯。使用帶有拒絕操作的地理匹配語句爲 Web ACL 創建規則組
答案:B
-
一家公司的應用服務已被容器化並部署在具有公共 IP 的多個 Amazon EC2 實例上。一個 Apache Kafka 集羣已部署到 EC2 實例。PostgreSQL 數據庫已遷移到 Amazon RDS for PostgreSQL。該公司預計,當新版本的旗艦產品發佈時,其平臺上的訂單將顯着增加。
對當前架構的哪些更改將減少運營開銷並支持產品發佈?A. 在應用程序負載均衡器後面創建一個 EC2 Auto Scaling 組。爲數據庫實例創建額外的只讀副本。創建 Amazon Kinesis 數據流並配置應用程序服務以使用數據流。直接從 Amazon S3 存儲和提供靜態內容。
B. 在應用程序負載均衡器後面創建一個 EC2 Auto Scaling 組。在多可用區模式下部署數據庫實例並啓用存儲自動擴展。創建 Amazon Kinesis 數據流並配置應用程序服務以使用數據流。存儲和提供靜態內容直接來自 Amazon S3。
C. 在應用程序負載均衡器後面的 EC2 實例上創建的 Kubernetes 集羣上部署應用程序。在多可用區模式下部署數據庫實例並啓用存儲自動擴展。爲 Apache Kafka 集羣創建 Amazon Managed Streaming 並將應用程序服務配置爲在 Amazon CloudFront 分配後面的 Amazon S3 中使用 cluster.Store 靜態內容。
D. 使用 AWS Fargate 在 Amazon Elastic Kubernetes Service (Amazon EKS) 上部署應用程序並在應用程序負載均衡器後面啓用自動擴展。爲數據庫實例創建額外的只讀副本。爲 Apache Kafka 集羣創建 Amazon Managed Streaming 並配置應用程序服務使用集羣。將靜態內容存儲在 Amazon CloudFront 分配後面的 Amazon S3 中。
答案:D
-
一家公司在 AWS 上運行業務線 (LOB) 應用程序以支持其用戶。該應用程序在一個 VPC 中運行,在另一個 AWS 區域的第二個 VPC 中具有備份副本以進行災難恢復。該公司有一個其本地網絡與 AWS 之間的 AWS Direct Connect 連接。該連接終止於 Direct Connect 網關。對應用程序的所有訪問都必須來自公司的內部部署網絡,並且必須通過使用 IPsec 對傳輸中的流量進行加密。公司正在通過 Direct Connect 連接的 VPN 隧道路由流量,以提供所需的加密。業務連續性審計確定 Direct Connect 連接代表訪問應用程序的潛在單點故障。公司需要儘快修復此問題。
哪種方法可以滿足這些要求?A. 訂購到不同 Direct Connect 位置的第二個 Direct Connect 連接。在同一 Direct Connect 網關終止第二個 Direct Connect 連接。
B. 通過 Internet 配置 AWS 站點到站點 VPN 連接。在次要區域的虛擬專用網關處終止 VPN 連接。
C. 創建一箇中轉網關。將 VPC 附加到中轉網關,並將中轉網關連接到 Direct Connect 網關。配置 AWS 站點到站點 VPN 連接,並在中轉網關處終止它。
D. 創建一箇中轉網關。將 VPC 連接到中轉網關,並將中轉網關連接到 Direct Connect 網關。訂購第二個 Direct Connect 連接並在中轉網關處終止它。
答案:C
-
一家在線零售公司將其基於 Web 的有狀態應用程序和 MySQL 數據庫託管在單個服務器上的本地數據中心。該公司希望通過開展更多營銷活動和促銷活動來增加其客戶羣。在準備過程中,該公司希望遷移將其應用程序和數據庫遷移到 AWS o 提高其架構的可靠性。
哪種解決方案應提供最高級別的可靠性?A. 將數據庫遷移到 Amazon RDS MySQL 多可用區數據庫實例。在 Amazon Neptune 中的 Application Load Balancer.Store 會話後面的 Amaz n EC2 實例上的 Auto Scaling 組中部署應用程序。
B. 將數據庫遷移到 Amazon Aurora MySQL。在 Amazon EC2 實例上的 Auto Scaling 組中部署應用程序,在應用程序負載均衡器後面。在 Amazon ElastiCache fo Redis 複製組中存儲會話。
C. 將數據庫遷移到 Amazon DocumentDB(與 MongoDB 兼容)。在網絡負載均衡器後面的 Amazon EC2 實例上的 Auto Scaling 組中部署應用程序。在 Amazon Kinesis Data Firehose 中存儲會話。
D. 將數據庫遷移到 Amazon RDS MariaDB 多可用區數據庫實例。在應用程序負載均衡器後面的 Amazon EC2 實例上的 Auto Scaling 組中部署應用程序。在 Amazon ElastiCache for Memcached 中存儲會話。
答案:A
-
一家初創公司使用最新的 Amazon Linux 2 AMI 在私有子網中託管一組 Amazon EC2 實例。該公司的工程師嚴重依賴對實例的 SSH 訪問來進行故障排除。該公司現有的架構包括以下內容:
- 具有私有和公有子網的 VPC 以及 NAT 網關
- 用於連接本地環境的站點到站點 VPN
- EC2 安全組,可從本地環境直接 SSH 訪問
公司需要加強對 SSH 訪問的安全控制,並對工程師執行的命令進行審計。解決方案架構師應該使用哪種策略?
A. 在 EC2 實例隊列上安裝和配置 EC2 Instance Connect。刪除附加到 EC2 實例的所有允許端口 22 上的入站 TCP 的安全組規則。建議工程師使用 EC2 Instance Connect CLI 遠程訪問實例
B. 更新 EC2 安全組以僅允許端口 22 上的入站 TCP 到達工程師設備的 IP 地址。在所有 EC2 實例上安裝 Amazon CloudWatch 代理並將操作系統審覈日誌發送到 CloudWatch Logs
C. 更新 EC2 安全組以僅允許端口 22 上的入站 TCP 到達工程師設備的 IP 地址。啓用 AWS Config 以更改 EC2 安全組資源。啓用 AWS 防火牆管理器並應用自動修復規則更改的安全組策略
D. 創建一個附加了 AmazonSSMManaged InstanceCore 託管策略的 IAM 角色。將 IAM 角色附加到所有 EC2 實例。刪除附加到 C2 實例的所有安全組規則,這些規則允許端口 22 上的入站 TCP。讓工程師安裝 AWS Systems Manager會話管理器插件用於他們的設備並使用來自系統管理器的啓動會話 API 調用遠程訪問實例
答案:C
-
一家公司正在構建一個傳感器數據收集管道,其中數千個傳感器每分鐘將數據寫入 Amazon Simple Queue Service (Amazon SQS) 隊列。該隊列由 AWS Lambda 函數處理,該函數從傳感器數據中提取一組標準指標. 公司希望將數據發送到 Amazon CloudWatch。該解決方案應允許查看單個和聚合傳感器指標,並使用 CloudWatch Logs Insights 交互式查詢傳感器日誌數據。
滿足這些要求的最具成本效益的解決方案是什麼?A. 將處理後的數據以 CloudWatch 嵌入式指標格式寫入 CloudWatch Logs
B. 將處理後的數據寫入 CloudWatch Logs。然後使用 PutMetricData API 調用將數據寫入 CloudWatch
C. 將處理後的數據以結構化格式寫入 CloudWatch Logs。創建 CloudWatch 指標過濾器以解析日誌並將指標發佈到 CloudWatch,其中包含唯一標識傳感器的維度
D. 爲 AWS Lambda 配置 CloudWatch Logs 代理 以 statsd 格式輸出每個傳感器的指標,並帶有標籤以唯一標識傳感器。將處理後的數據寫入 CloudWatch Logs
答案:C
-
一家公司正在創建 REST API 以與其位於美國的六個合作伙伴共享信息。該公司創建了一個 Amazon API 網關區域端點。六個合作伙伴中的每一個每天都會訪問該 API 一次以發佈每日銷售數據。初始部署後,該公司觀察到每秒 1,000 個請求來自全球 500 個不同的 IP 地址。該公司認爲該流量來自殭屍網絡,終端希望在保護其 API 的同時最大限度地降低成本。
公司應該採取哪種方法來保護其 API?A. 創建一個以 API 爲源的 Amazon CloudFront 分配。創建一個 AWS WAF Web ACL,其中包含阻止每天提交超過 5 個請求的客戶端的規則。將 Web ACL 與 CloudFront 分配相關聯。使用源訪問配置 CloudFront身份 (OAI) 並將其與分發關聯。配置 API 網關以確保只有 OAI 可以執行 POST 方法
B. 創建一個以 API 爲源的 Amazon CloudFront 分配。創建一個 AWS WAF Web ACL,其中包含阻止每天提交超過五個請求的客戶端的規則。將 Web ACL 與 CloudFront 分配相關聯。將自定義標頭添加到使用 API 密鑰填充的 CloudFront 分配。將 API 配置爲在 POST 方法上需要 API 密鑰
C. 使用規則創建 AWS WAF Web ACL 以允許訪問六個合作伙伴使用的 IP 地址。將 Web ACL 與 API 關聯。創建具有請求限制的資源策略並將其與 API 關聯。配置 API在 POST 方法上需要 API 密鑰
D. 使用規則創建 AWS WAF Web ACL 以允許訪問六個合作伙伴使用的 IP 地址。將 Web ACL 與 API 關聯。創建具有請求限制的使用計劃並將其與 API 關聯。創建 API鍵並將其添加到使用計劃中。
答案:D
-
一家教育公司正在運行一個供世界各地大學生使用的 Web 應用程序。該應用程序在應用程序負載均衡器 (ALB) 後面的 Auto Scaling 組中的 Amazon Elastic Container Service (Amazon ECS) 集羣中運行。系統管理員每週檢測一次使應用程序的身份驗證服務不堪重負的失敗登錄嘗試次數激增。所有尾隨登錄嘗試來自大約 500 個每週更改的不同 IP 地址。解決方案架構師必須防止尾隨登錄嘗試使身份驗證服務不堪重負。
哪種解決方案以最高的運營效率滿足這些要求?A. 使用 AWS Firewall Manager 創建安全組和安全組策略以拒絕來自 IP 地址的訪問
B. 使用基於速率的規則創建 AWS WAF Web ACL 並將規則操作設置爲 Block 將 Web ACL 連接到 ALB
C. 使用 AWS Firewall Manager 創建安全組和安全組策略以僅允許訪問特定 CIDR 範圍
D. 使用 IP 集匹配規則創建 AWS WAF Web ACL,並將規則操作設置爲阻止將 Web ACL 連接到 ALB
答案:B
-
一家公司的站點可靠性工程師正在對公司收購的賬戶內的 Amazon FSx for Windows 文件服務器部署進行審查。公司政策規定,所有 Amazon FSx 文件系統必須配置爲跨可用區高度可用。在審查期間,站點可靠性工程師發現其中一個 Amazon FSx 文件系統使用了單可用區 2 的部署類型。解決方案架構師需要最大限度地減少停機時間,同時使此 Amazon FSx 文件系統與公司政策保持一致。
解決方案架構師應該怎麼做才能滿足這些要求?A. 將此 Amazon FSx 文件系統的部署類型重新配置爲多可用區。
B. 創建部署類型爲多可用區的新 Amazon FSx 文件系統。使用 AWS DataSync 將數據傳輸到新的 Amazon FSx 文件系統。將用戶指向新位置。
C. 創建第二個 Amazon FSx 文件系統,部署類型爲 Single-AZ 2.使用 AWS DataSync 保持數據同步。發生故障時將用戶切換到第二個 Amazon FSx 文件系統。
D. 使用 AWS 管理控制檯備份 Amazon FSx 文件系統。創建一個部署類型爲多可用區的新 Amazon FSx 文件系統。將備份恢復到新的 Amazon FSx 文件系統。將用戶指向新的地點。
答案:D
-
一家公司有多個應用程序在本地數據中心運行。該數據中心運行由 VMware vCenter 管理的混合 Windows 和 Linux 虛擬機。解決方案架構師需要制定將應用程序遷移到 AWS 的計劃。但是,解決方案架構師發現應用程序的文檔不是最新的,並且沒有完整的基礎架構圖。公司的開發人員沒有時間與解決方案架構師討論他們的應用程序和當前的使用情況。
解決方案架構師應該做什麼來收集所需的信息?A. 使用 VMware 集羣上的 OVA 映像部署 AWS 服務器遷移服務 (AWS SMS) 連接器,以從 VM 收集配置數據。
B. 使用 AWS Migration Portfolio Assessment (MPA) 工具連接到每個 VM 以收集配置和利用率數據。
C. 在每個 VM 上安裝 AWS Application Discovery Service 以收集配置和利用率數據。
D. 向 AWS Migration Hub 註冊本地 VM 以收集配置和利用率數據。
答案:C
-
一家公司希望將 Amazon WorkSpaces 與客戶端設備結合使用來替換老化的桌面。員工使用桌面訪問處理臨牀試驗數據的應用程序。公司安全策略規定,對應用程序的訪問必須僅限於公司分支機構位置.該公司正在考慮在未來 6 個月內增設一家分公司。
哪種解決方案以最高的運營效率滿足這些要求?A. 使用來自分支機構的公共地址列表創建 IP 訪問控制組規則。將 IP 訪問控制組與 WorkSpaces 目錄相關聯。
B. 使用 AWS Firewall Manager 使用來自分支機構位置的公共地址列表的 IPSET 創建 Web ACL 規則。將 Web ACL 與 WorkSpaces 目錄相關聯。
C. 使用 AWS Certificate Manager (ACM) 向部署在分支機構位置的機器頒發可信設備證書。在 WorkSpaces 目錄上啓用受限訪問。
D. 創建一個自定義的 WorkSpaces 映像,並將 Windows 防火牆配置爲限制對分支機構公共地址的配置訪問。使用該映像部署 Workspace。
答案:A
-
一家公司有多個業務部門。每個業務部門都有自己的 AWS 賬戶,並在該賬戶內運行一個網站。該公司還有一個日誌賬戶每個業務部門網站的日誌都聚合到日誌賬戶中的一個 Amazon 53 存儲桶中。S3 存儲桶策略提供每個業務部門有權將數據寫入存儲桶並要求對數據進行加密。公司需要使用單個 AWS 密鑰管理服務 (AWS KMS) CMK 對上傳到存儲桶的 tog 進行加密。保護數據的 CMK 必須輪換一次每 365 天。
公司使用哪種策略來滿足這些要求在運營上最有效?A. 在日誌賬戶中創建客戶管理的 CMK 更新 CMK 密鑰策略以僅提供對日誌賬戶的訪問。每 355 天手動輪換一次 CMK
B. 在日誌賬戶中創建客戶管理的 CMK 更新 CMK 密鑰策略以提供對日誌賬戶和業務部門賬戶的訪問。啓用 CMK 的自動輪換
C. 在日誌賬戶中使用 AWS 託管 CMK 更新 CMK 密鑰策略以提供對日誌賬戶和業務部門賬戶的訪問。每 365 天手動輪換 CMK
D. 在日誌賬戶中使用 AWS 託管的 CMK。更新 CMK 密鑰策略以僅提供對日誌賬戶的訪問 啓用 CMK 的自動輪換。
答案:D
-
以下 AWS Identity and Access Management (IAM) 客戶託管策略已 附加到 IAM 用戶:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": [ "arn:aws:s3:::prod-data", "arn:aws:s3:::prod-data/*", ] }, { "Effect": "Deny", "Action": "s3:*", "Resource": [ "arn:aws:s3:::prod-data", "arn:aws:s3:::prod-data/*", ] } ] }哪個語句描述了此策略爲用戶提供的訪問權限?
A. 此策略授予對所有 Amazon S3 操作的訪問權限,包括 prod-data S3 存儲桶中的所有操作。
B. 此策略拒絕訪問所有 Amazon S3 操作,不包括 prod-data S3 存儲桶中的所有操作。
C. 此策略拒絕訪問 Amazon S3 存儲桶和存儲桶名稱中沒有 prod-data 的對象。
答案:A
AWS SAP-C01 (421-440)
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章