AWS SAP-C01 (221-240)

  1. 一家國際公司在單個區域中部署了一個依賴 DynamoDB 的多層 Web 應用程序。出於監管原因,他們需要在一個單獨的區域具有災難恢復能力,恢復時間目標爲 2 小時,恢復點目標爲 24 小時。他們應該定期同步他們的數據,並能夠使用 CloudFormation 快速配置 Web 應用程序。目標是儘量減少對現有 Web 應用程序的更改,控制用於同步數據的 DynamoDB 的吞吐量,並僅同步修改後的元素。
    您會選擇哪種設計來滿足這些要求?

    A. 使用 AWS Data Pipeline 每天安排一次 DynamoDB 跨區域複製,在您的 DynamoDB 表中創建一個“LastUpdated”屬性來表示上次更新的時間戳並將其用作過濾器

    B. 使用 AWS Data Pipeline 每天安排一次將 DynamoDB 表導出到當前區域的 S3,然後安排另一個任務緊隨其後將數據從 S3 導入其他區域的 DynamoDB

    C. 使用 EMR 編寫自定義腳本,使用 SCAN 操作從當前區域的 DynamoDB 檢索數據並將其推送到 二區域的 DynamoDB

    D. 將每個寫入也發送到第二個區域的 SQS 隊列中,使用 SQS 隊列後面的自動縮放組重放第二個區域中的寫入

    答案:A

    解釋:
    B:沒有計劃和吞吐量控制
    C:使用 AWS 數據管道,數據可以直接複製到其他 DynamoDB 表
    D:不自動重播寫入

  2. 您的公司目前有一個在本地數據中心運行的 2 層 Web 應用程序。在過去的幾個月中,您經歷了幾次基礎設施故障,導致了重大的經濟損失。您的 CIO 正在強烈考慮將應用程序遷移到 AWS。在努力獲得其他公司高管的支持時,他要求您制定災難恢復計劃,以幫助在短期內提高業務連續性。他指定了 4 小時的目標恢復時間目標 (RTO) 和 1 小時或更短的恢復點目標 (RPO)。他還要求您在 2 周內實施解決方案。您的數據庫大小爲 200GB,並且您有 20Mbps 的 Internet 連接。
    您將如何在最小化成本的同時做到這一點?

    A. 創建一個 EBS 支持的私有 AMI,其中包括您的應用程序的全新安裝。開發一個 CloudFormation 模板,其中包含您的 AMI 和所需的 EC2、AutoScaling 和 ELB 資源,以支持跨多可用區部署應用程序。通過安全的 VPN 連接將事務從本地數據庫異步複製到 AWS 中的數據庫實例。

    B. 在跨多個可用區的 Auto Scaling 組內的 EC2 實例上部署您的應用程序。通過安全的 VPN 連接將事務從本地數據庫異步複製到 AWS 中的數據庫實例。

    C. 創建一個 EBS 支持的私有 AMI,其中包括您的應用程序的全新安裝。在您的數據中心設置一個腳本,每 1 小時備份一次本地數據庫,並使用分段上傳加密生成的文件並將其複製到 S3 存儲桶。

    D. 在能夠支持應用程序平均負載的計算優化 EC2 實例上安裝您的應用程序。通過安全的 Direct Connect 連接將事務從本地數據庫同步複製到 AWS 中的數據庫實例。

    答案:A

  3. 在對服務團隊的應用程序進行安全審計期間,解決方案架構師發現可以在 AWS Lambda 函數代碼中查看 Amazon RDS 數據庫的用戶名和密碼以及一組 AWS IAM 用戶憑證。 Lambda 函數使用用戶名和密碼對數據庫運行查詢,並使用 IAM 憑證在單獨的管理賬戶中調用 AWS 服務。解決方案架構師擔心這些憑證可能會向任何可以查看 Lambda 代碼的人授予不當訪問權限。管理賬戶和服務團隊的賬戶位於不同的 AWS Organizations 組織單位 (OU) 中。
    解決方案架構師應該進行哪些更改組合以提高解決方案的安全性? (選擇兩項。)

    A. 將 Lambda 配置爲在管理賬戶中擔任具有適當 AWS 訪問權限的角色。

    B. 將 Lambda 配置爲使用 AWS Secrets Manager 中存儲的數據庫憑證並啓用自動輪換。

    C. 創建一個 Lambda 函數,通過使用更新的憑證部署新的 Lambda 版本,每小時輪換一次憑證。

    D. 在管理賬戶的 OU 上使用 SCP 以防止 IAM 用戶訪問服務團隊賬戶中的資源。

    E. 在管理賬戶上啓用 AWS Shield Advanced 以保護敏感資源免受未經授權的 IAM 訪問。

    答案:BD

  4. 您的公司運營着一個面向客戶的活動註冊網站。該站點採用 3 層架構構建,具有 Web 和應用層服務器以及 MySQL 數據庫。該應用程序需要 6 個 Web 層服務器和 6 個應用層服務器才能正常運行,但可以在至少 65% 的服務器容量和單個 MySQL 數據庫上運行。
    在具有三個可用區 (AZ) 的區域中部署此應用程序時,哪種架構可提供高可用性?

    A. 跨 2 個 AZ 部署的 Web 層,在 ELB(彈性負載均衡器)後面的 Auto Scaling 組內的每個 A2 中具有 3 個 EC2(彈性計算雲)實例,以及跨 2 個 AZ 部署的應用程序層,每個 AZ 中具有 3 個 EC2 實例在 ELB 後面的 Auto Scaling Group 內,一個 RDS(關係數據庫服務)實例在另一個可用區中部署了只讀副本。

    B. 跨 3 個 AZ 部署的 Web 層,在 ELB(彈性負載均衡器)後面的 Auto Scaling 組中的每個 AZ 中的每個 AZ 中部署了一個 Web 層,以及跨 3 個 AZ 部署的應用層,每個 AZ 中都有 2 個 EC2 實例在 ELB 後面的 Auto Scaling 組內,以及多可用區 RDS(關係數據庫服務)部署。

    C. 跨 2 個 AZ 部署的 Web 層,在 ELB(彈性負載均衡器)後面的 Auto Scaling 組中的每個 AZ 中的每個 AZ 中有 3 個 EC2(彈性計算雲)實例,以及跨 2 個 AZ 部署的應用層,每個 AZ 中有 3 個 EC2 實例在 ELB 後面的 Auto Scaling 組內,以及多可用區 RDS(關係數據庫服務)部署

    D. 跨 3 個可用區部署的 Web 層,在 ELB(彈性負載均衡器)後面的 Auto Scaling 組內的每個可用區中的每個可用區中有 2 個 EC2(彈性計算雲)實例,以及跨 3 個可用區部署的應用程序層,每個可用區中有 2 個 EC2 實例在 ELB 後面的 Auto Scaling 組內,以及一個 RDS(關係數據庫服務)實例,在其他兩個可用區中部署了只讀副本。

    答案:B

  5. 管理員正在使用 Amazon CloudFormation 部署一個三層 Web 應用程序,該應用程序由一個 Web 層和一個應用程序層組成,該應用程序層將利用 Amazon DynamoDB 進行存儲。
    在創建 CloudFormation 模板時,以下哪一項將允許應用程序實例訪問 DynamoDB 表而不暴露 API 憑證?

    A. 創建一個身份和訪問管理角色,該角色具有從所需 DynamoDB 表讀取和寫入所需的權限,並通過引用實例配置文件將角色關聯到應用程序實例。

    B. 創建一個身份和訪問管理角色,該角色具有從所需 DynamoDB 表讀取和寫入所需的權限,並在應用程序實例的實例配置文件屬性中引用該角色。

    C. 使用 CloudFormation 模板中的 Parameter 部分讓用戶輸入來自已創建的 IAM 用戶的訪問和祕密密鑰,該用戶具有從所需 DynamoDB 表讀取和寫入所需的權限。

    D. 在 CloudFormation 模板中創建一個具有讀寫所需 DynamoDB 表權限的 Identity and Access Management 用戶,使用 GetAtt 函數檢索 Access 和 Secret 密鑰,並通過 user-data 將它們傳遞給應用程序實例。

    答案:B

  6. 一位 AWS 客戶正在部署一個由 EC2 實例的 AutoScaling 組組成的應用程序。客戶安全策略要求從這些實例到客戶虛擬私有云中任何其他服務的每個出站連接都必須使用包含特定實例 ID 的唯一 X.509 證書進行身份驗證。此外,所有 X.509 證書都必須由客戶的密鑰管理服務簽名,以便可信進行身份驗證。
    以下哪些配置將支持這些要求?

    A. 配置 IAM 角色以授予對包含簽名證書的 Amazon S3 對象的訪問權限,並配置 Auto Scaling 組以使用此角色啓動實例。讓實例引導程序在首次啓動時從 Amazon S3 獲取證書。

    B. 配置 Auto Scaling 組以向受信任的密鑰管理服務發送新實例啓動的 SNS 通知。讓密鑰管理服務生成簽名證書並將其直接發送到新啓動的實例。

    C. 將證書嵌入到 Auto Scaling 組使用的 Amazon 機器映像中。讓已啓動的實例生成證書籤名請求,並將實例分配給密鑰管理服務的實例 ID 進行簽名。

    D. 配置啓動的實例以在首次啓動時生成新證書。讓密鑰管理服務輪詢 AutoScaling 組以獲取關聯實例,並向新實例發送包含特定 Instance-id 的證書籤名。

    答案:B

    解釋:
    證書必須由客戶密鑰管理服務簽署,這是唯一的選擇。使用 S3 不會使其獨一無二,嵌入 AMI 不會使其獨一無二,自行生成新證書將不符合客戶密鑰管理服務對其進行簽名的要求。
    A – 從 S3 訪問很好,但是當每次自動縮放生成不同的實例和實例 ID 時,文件怎麼會是唯一的..那是不可預測的
    C – 在 AMI 中嵌入證書不能使證書唯一。
    D – 因爲 EC2 實例必鬚生成唯一的 X.509 證書,並且這必須特定於實例 ID。 EC2 實例可以自己生成證書,但明確提到證書必須由客戶密鑰管理服務簽名,而不是自簽名。

  7. 一家公司有一個應用程序,該應用程序在一組 Amazon EC2 實例上運行,並在 Amazon S3 中爲每個實例存儲 70 GB 的設備數據。最近,一些 S3 上傳失敗。與此同時,該公司發現存儲數據成本意外增加。不能修改應用程序代碼。
    在管理存儲成本的同時將設備數據上傳到 Amazon S3 的最有效方法是什麼?

    A. 使用分段上傳上傳設備數據。使用 AWS CLI 列出不完整的部分以解決 S3 上傳失敗的問題。在 S3 存儲桶上爲未完成的分段上傳啓用生命週期策略,以刪除舊的上傳並防止新的失敗上傳累積。

    B. 使用 S3 Transfer Acceleration 上傳設備數據。使用 AWS 管理控制檯解決失敗的 S3 上傳問題。每晚使用多對象刪除操作刪除舊上傳。

    C. 使用分段上傳上傳設備數據。使用 AWS 管理控制檯列出不完整的部分以解決 S3 上傳失敗的問題。配置生命週期策略以連續存檔到 Amazon S3 Glacier。

    D. 使用 S3 Transfer Acceleration 上傳設備數據。使用 AWS 管理控制檯列出不完整的部分以解決 S3 上傳失敗的問題。在 S3 存儲桶上爲未完成的分段上傳啓用生命週期策略,以刪除舊的上傳並防止新的失敗上傳累積。

    答案:A

  8. 一家公司正在實施 AWS Organizations,以限制其開發人員僅使用 Amazon EC2、Amazon S3 和 Amazon DynamoDB。 Developers 帳戶駐留在專用組織單位 (OU) 中。 解決方案架構師已在開發人員帳戶上實施了以下 SCP:

    	{
        "Version": "2012-10-17",
        "Statement": [
            {
              "Sid": "AllowEC2",
              "Effect": "Allow",
              "Action": "ec2:*",
              "Resouce": "*"
            },
            {
              "Sid": "AllowDynamoDB ",
              "Effect": "Allow",
              "Action": "dynamodb:*",
              "Resouce": "*"
            },
            {
              "Sid": "AllowS3",
              "Effect": "Allow",
              "Action": "s3:*",
              "Resouce": "*"
            }
        ]
    	}
    

    部署此策略後,開發人員賬戶中的 IAM 用戶仍然可以使用策略中未列出的 AWS 服務。解決方案架構師應該怎麼做才能消除開發人員使用本政策範圍之外的服務的能力?

    A. 爲每個應該受到約束的 AWS 服務創建一個明確的拒絕語句。

    B. 從開發人員賬戶的 OU 中刪除 FullAWSAccess SCP。

    C. 修改 FullAWSAccess SCP 以明確拒絕所有服務。

    D. 在 SCP 末尾添加使用通配符的顯式拒絕語句。

    答案:B

  9. 您的公司之前在您的本地數據中心和 AWS 之間配置了一個使用頻繁、動態路由的 VPN 連接。您最近配置了 DirectConnect 連接並希望開始使用此新連接。
    在 AWS 控制檯中配置 DirectConnect 設置後,以下哪個選項將爲您的用戶提供最無縫的過渡?

    A. 配置您的 DirectConnect 路由器,更新您的 VPC 路由表以指向 DirectConnect 連接,使用更高的 BGP 優先級配置您的 VPN 連接,並驗證網絡流量正在利用 DirectConnect 連接。

    B. 刪除您現有的 VPN 連接以避免路由循環,使用適當的設置配置您的 DirectConnect 路由器,並驗證網絡流量正在利用 DirectConnect。

    C. 更新您的 VPC 路由表以指向 DirectConnect 連接,使用適當的設置配置您的 DirectConnect 路由器,驗證網絡流量正在利用 DirectConnect,然後刪除 VPN 連接。

    D. 使用比 VPN 路由器更高的 BGP 優先級配置您的 DirectConnect 路由器,驗證網絡流量正在利用 DirectConnect,然後刪除您現有的 VPN 連接。

    答案:C

    解釋:
    Direct Connect 優先於動態配置的 VPN 連接。

  10. 您的團隊有一個基於 tomcat 的 Java 應用程序,您需要將其部署到開發、測試和生產環境中。經過一些研究,您選擇使用 Elastic Beanstalk,因爲它易於管理,與您的開發人員工具和 RDS 緊密集成。您的 QA 團隊負責人指出,您需要每晚將一組經過清理的生產數據推送到您的環境中。同樣,您組織中的其他軟件團隊希望通過他們在您的 VPC 中的 EC2 實例訪問相同的恢復數據。
    滿足上述要求的持久性和安全性的最佳設置如下:

    A. 單獨創建 RDS 實例並將其 IP 地址添加到代碼中應用程序的數據庫連接字符串中。更改其安全組以允許從 VPC 的 IP 地址塊內的主機訪問它。

    B. 單獨創建您的 RDS 實例並將其 DNS 名稱作爲環境變量傳遞給您的數據庫連接字符串。更改其安全組以允許從應用程序子網中的主機訪問它。

    C. 創建 RDS 實例作爲 Elastic Beanstalk 定義的一部分並更改其安全組以允許從應用程序子網中的主機訪問它。

    D. 單獨創建您的 RDS 實例並將其 DNS 名稱作爲環境變量傳遞給您應用程序的數據庫連接字符串。爲客戶端機器創建一個安全組,並將其作爲有效的數據庫流量來源添加到 RDS 實例本身的安全組中。

    答案:D

    解釋:
    Elastic Beanstalk 支持在您的 Elastic Beanstalk 環境中運行 Amazon RDS 實例。這適用於開發和測試環境,但不適用於生產環境,因爲它將數據庫實例的生命週期與應用程序環境的生命週期聯繫起來。

  11. 您有一個定期圖像分析應用程序,它獲取輸入的一些文件,分析它們,併爲每個文件將輸出中的一些數據寫入文本文件。每天輸入的文件數量很高,並且集中在一天中的幾個小時內。目前,您在 EC2 上有一個服務器,其中包含一個大型 EBS 卷,用於託管輸入數據和結果。每天需要將近 20 個小時才能完成這個過程。可以使用哪些服務來減少細化時間並提高解決方案的可用性?

    A. S3 存儲 I/O 文件,SQS 將細化命令分發到一組並行工作的主機,Auto Scaling 根據 SQS 隊列的長度動態調整主機組的大小。

    B. S3 存儲 I/O 文件,SNS 將細化命令分發到一組並行工作的主機,Auto Scaling 根據 SNS 通知的數量動態調整主機組的大小。

    C. 帶有預配置 IOPS (PIOPS) 的 EBS 用於存儲 I/O 文件,SNS 將細化命令分發到一組並行工作的主機,Auto Scaling 可根據 SNS 通知的數量動態調整主機組的大小。

    D. 帶有預配置 IOPS (PIOPS) 的 EBS 用於存儲 I/O 文件,SQS 用於將細化命令分發到一組並行工作的主機。 Auto Scaling 可根據 SQS 隊列的長度動態調整主機組的大小。

    答案:A

    解釋:
    SNS 不允許您在主機組之間分配任務。它允許您發送通知,但您如何決定哪個主機將處理它?此外,PIOPS 對性能有益,但不適用於此任務所要求的可用性。使用S3沒有問題,因爲沒有頻繁更改的數據,您處理文件並寫入一次結果,以後不要更改它。

  12. 由於 Amazon S3 存儲桶的權限問題,一家公司遭遇了高度機密的個人信息泄露。信息安全團隊已收緊存儲桶策略以限制訪問。此外,爲了更好地應對未來的攻擊,必須滿足以下要求:

    • 識別訪問存儲桶對象的遠程 IP 地址。
    • 在存儲桶上的安全策略更改時接收警報。
    • 自動修復策略更改。
      解決方案架構師應該使用哪些策略?

    A. 使用 Amazon CloudWatch Logs 和 CloudWatch 過濾器來識別遠程 IP 地址。將 CloudWatch Events 規則與 AWS Lambda 結合使用以自動修復 S3 存儲桶策略更改。將 Amazon SES 與 CloudWatch Events 規則用於警報。

    B. 使用 Amazon Athena 和 S3 訪問日誌來識別遠程 IP 地址。將 AWS Config 規則與 AWS Systems Manager Automation 結合使用以自動修復 S3 存儲桶策略更改。將 Amazon SNS 與 AWS Config 規則用於警報。

    C. 使用 Amazon Elasticsearch Service 和 Kibana 的 S3 訪問日誌來識別遠程 IP 地址。使用 Amazon Inspector 評估模板自動修復 S3 存儲桶策略更改。使用 Amazon SNS 獲取警報。

    D. 使用帶有 S3 存儲桶的 Amazon Macie 來識別訪問模式和遠程 IP 地址。將 AWS Lambda 與 Macie 結合使用以自動修復 S3 存儲桶策略更改。使用 Macie 自動警報功能進行警報。

    答案:B

  13. 一個組織計劃在使用 VPC 啓動的單個實例上託管 Wordpress 博客和 joomla CMS。該組織希望爲每個應用程序擁有單獨的域並使用 Route 53 分配它們。該組織可能有大約十個實例,每個實例有兩個應用程序,如上所述。在啓動實例時,該組織配置了兩個單獨的網絡接口(主 + ENI),並希望爲該實例擁有兩個彈性 IP。建議使用 AWS 的公共 IP 而不是彈性 IP,因爲彈性 IP 的數量是有限的。你會向組織推薦什麼行動?

    A. 我同意這個建議,但更希望組織應該爲不同的公共 IP 使用帶有每個 ENI 的單獨子網。

    B. 我不同意,因爲實例具有多個 ENI,AWS 不會爲具有多個 ENI 的實例分配公共 IP,因此只需要一個彈性 IP。

    C. 我不同意,因爲 AWS VPC 沒有將公共 IP 附加到 ENI;所以用戶只需要使用一個彈性 IP。

    D. 我同意該建議,建議使用來自 AWS 的公共 IP,因爲該組織將在 Route 53 中使用 DNS。

    答案:B

    解釋:
    虛擬私有云 (VPC) 是專用於用戶 AWS 賬戶的虛擬網絡。它使用戶能夠將 AWS 資源啓動到用戶定義的虛擬網絡中。彈性網絡接口 (ENI) 是用戶可以附加到 VPC 中的實例的虛擬網絡接口。用戶最多可以使用單個實例附加兩個 ENI。但是,當有兩個 ENI 附加到單個實例時,AWS 無法分配公共 IP。這種場景建議分配彈性IP。如果組織想要超過 5 個 EIP,他們可以請求 AWS 增加數量。 http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html

  14. 解決方案架構師希望確保只有具有合適權限的 AWS 用戶或角色才能訪問新的 Amazon API Gateway 終端節點。解決方案架構師想要每個請求的端到端視圖,以分析請求的延遲並創建服務映射。
    解決方案架構師如何設計 API 網關訪問控制並執行請求檢查?

    A. 對於 API Gateway 方法,將授權設置爲 AWS_IAM。然後,授予 IAM 用戶或角色 execute-api:Invoke 對 REST API 資源的權限。允許 API 調用方在訪問終端節點時使用 AWS 簽名簽署請求。使用 AWS X-Ray 跟蹤和分析用戶對 API Gateway 的請求。

    B. 對於 API Gateway 資源,將 CORS 設置爲啓用,並且只在 Access-Control-Allow-Origin 標頭中返回公司的域。然後,授予 IAM 用戶或角色 execute-api:Invoke 對 REST API 資源的權限。使用 Amazon CloudWatch 跟蹤和分析用戶對 API Gateway 的請求。

    C. 創建一個 AWS Lambda 函數作爲自定義授權方,在調用時要求 API 客戶端傳遞密鑰和祕密,然後使用 Lambda 對 IAM 系統驗證密鑰/祕密對。使用 AWS X-Ray 跟蹤和分析用戶對 API Gateway 的請求。

    D. 爲 API Gateway 創建客戶端證書。將證書分發給需要訪問終端節點的 AWS 用戶和角色。啓用 API 調用方在訪問端點時傳遞客戶端證書。使用 Amazon CloudWatch 跟蹤和分析用戶對 API Gateway 的請求。

    答案:A

  15. 一家公司每小時對其主事務數據庫運行一次批處理分析。在 RDS MySQL 實例上運行以填充在 Redshift 上運行的中央數據倉庫 在批處理執行期間,他們的事務應用程序非常緩慢。批處理完成後,他們需要使用新數據更新高層管理儀表板 儀表板由另一個在本地運行的系統生成,當手動發送的電子郵件通知需要更新時,該系統當前已啓動 本地系統無法修改,因爲由另一個團隊管理。
    您將如何優化此場景以解決性能問題並儘可能使流程自動化?

    A. 批量分析用Redshift替換RDS,SNS通知本地系統更新dashboard

    B. 用 Redsnift 替換 ROS 進行 oaten 分析和 SQS 向內部部署系統發送消息以更新儀表板

    C. 創建 RDS Read Replica 用於批量分析和 SNS 通知我本地系統更新儀表板

    D. 爲批量分析和 SQS 創建 RDS 只讀副本,以向本地系統發送消息以更新儀表板。

    答案:C

    解釋:
    如果您想防止報告和分析處理干擾 OLTP 工作負載的性能。如果我正確理解上述陳述,他們是說將報告和分析處理與 OLTP 分開。換句話說,使用 RedShift 進行報告和分析處理,使用 RDS 進行 OLTP 工作負載。

  16. 一家公司正在爲一個受歡迎的電視節目建立一個投票系統,觀衆將觀看錶演,然後訪問該節目的網站,爲他們最喜歡的表演者投票。預計在展會結束後的短時間內,該網站將迎來數百萬的訪問者,訪問者將首先使用他們的Amazon.com憑據登錄該網站,然後提交他們的投票。投票完成後,頁面將顯示投票總數。該公司需要構建網站,使其能夠在保持良好性能的同時處理快速湧入的流量,同時還希望將成本保持在最低水平。
    他們應該使用以下哪種設計模式?

    A. 在一組自動擴展的 Web 服務器前使用 CloudFront 和彈性負載均衡器,Web 服務器將首先調用 Login With Amazon 服務對用戶進行身份驗證,Web 服務器將處理用戶投票並將結果存儲到DynamoDB 表使用適用於 EC2 實例的 IAM 角色來獲取對 DynamoDB 表的權限。

    B. 在一組自動擴展的 Web 服務器前使用 CloudFront 和彈性負載均衡器,Web 服務器將首先調用 Login With Amazon 服務對用戶進行身份驗證,Web 服務器將處理用戶投票並將結果存儲到一個 SQS 隊列,使用適用於 EC2 實例的 IAM 角色來獲取 SQS 隊列的權限。然後,一組應用程序服務器將從隊列中檢索項目並將結果存儲到 DynamoDB 表中。

    C. 在一組自動擴展的 Web 服務器前使用 CloudFront 和彈性負載均衡器,Web 服務器將首先調用 Login With Amazon 服務對用戶進行身份驗證,然後處理用戶投票並將結果存儲到多可用區中關係數據庫服務實例。

    D. 使用 CloudFront 和 S3 的靜態網站託管功能和 Javascript SDK 調用 Login with Amazon 服務對用戶進行身份驗證,使用 IAM 角色獲取 DynamoDB 表的權限以存儲用戶投票。

    答案:B

  17. 一家軟件即服務 (SaaS) 公司爲私人律師事務所和公共部門提供用於文檔管理的雲解決方案。一位當地政府客戶最近規定,高度機密的文件不能存儲在國外。公司 CIO 要求解決方案架構師確保應用程序能夠適應這一新要求。 CIO 還希望爲這些文檔制定適當的備份計劃,因爲當前未執行備份。什麼解決方案滿足這些要求?

    A. 在 Amazon S3 中標記不高度機密的常規文檔。爲每個用戶創建單獨的 S3 存儲桶。將對象上傳到每個用戶的存儲桶。將這些存儲桶的 S3 存儲桶複製設置爲不同 AWS 賬戶和 AWS 區域中的中央 S3 存儲桶。配置由 Amazon CloudWatch 中的計劃事件觸發的 AWS Lambda 函數,以刪除 S3 備份存儲桶中標記爲機密的對象。

    B. 在 Amazon S3 中將文檔標記爲常規或祕密。在同一 AWS 賬戶和 AWS 區域中創建單獨的 S3 備份存儲桶。在單獨的 AWS 賬戶中創建跨區域 S3 存儲桶。設置適當的 IAM 角色以允許對 S3 存儲桶的跨區域權限。配置由 Amazon CloudWatch 計劃事件觸發的 AWS Lambda 函數,以將標記爲機密的對象和標記爲跨區域 S3 存儲桶的對象複製到 S3 備份存儲桶。

    C. 在 Amazon S3 中將文檔標記爲常規或祕密。在同一 AWS 賬戶和 AWS 區域中創建單獨的 S3 備份存儲桶。使用基於對象標籤的 S3 選擇性跨區域複製將常規文檔移動到不同 AWS 區域中的 S3 存儲桶。配置一個在主存儲桶中創建新 S3 對象時觸發的 AWS Lambda 函數,以僅將標記爲機密的文檔複製到同一 AWS 區域中的 S3 存儲桶中。

    D. 在 Amazon S3 中將高度機密的文檔標記爲機密。在同一 AWS 賬戶和 AWS 區域中創建單獨的 S3 備份存儲桶。使用基於對象標籤的 S3 選擇性跨區域複製將常規文檔移動到不同 AWS 區域中的 S3 存儲桶。爲標記爲機密的新 S3 對象創建 Amazon CloudWatch Events 規則,以觸發 AWS Lambda 函數將它們複製到同一 AWS 區域中的單獨存儲桶中。

    答案:C

  18. 您正在開發一個新的移動應用程序並考慮在 AWS 中存儲用戶首選項。這將爲使用多個移動設備訪問應用程序的用戶提供更統一的跨設備體驗。每個用戶的偏好數據估計大小爲 50KB。此外,預計將有 500 萬客戶定期使用該應用程序。該解決方案需要具有成本效益、高可用性、可擴展性和安全性。
    您將如何設計滿足上述要求的解決方案?

    A. 在 2 個可用區中設置具有多個只讀副本的 RDS MySQL 實例來存儲用戶偏好數據。移動應用程序將從只讀副本中查詢用戶偏好。利用 MySQL 用戶管理和訪問權限系統來管理安全和訪問憑據。

    B. 在2個可用區設置一個RDS MySQL實例來存儲用戶偏好數據。在數據庫前面的服務器上部署面向公衆的應用程序,以管理安全性和訪問憑據。

    C. 在 S3 中存儲用戶偏好數據。設置一個 DynamoDB 表,其中包含每個用戶的項目和指向用戶 S3 對象的項目屬性。移動應用程序將從 DynamoDB 檢索 S3 URL,然後直接訪問 S3 對象。利用 STS、Web Identity Federation 和 S3 ACL 來驗證和授權訪問。

    D. 爲每個用戶設置一個帶有項目的 DynamoDB 表,該項目具有保存用戶首選項的必要屬性。移動應用程序將直接從 DynamoDB 表中查詢用戶首選項。利用 STS、Web 身份聯合和 DynamoDB 細粒度訪問控制來驗證和授權訪問。

    答案:D

    解釋:
    https://aws.amazon.com/blogs/aws/fine-grained-access-control-for-amazon-dynamodb/ 以下是您可以使用細粒度訪問控制構建的一些內容: 基於用戶位置顯示附近機場信息的移動應用程序。該應用程序可以訪問和顯示屬性,例如航空公司名稱、到達時間和航班號。但是,它無法訪問或顯示飛行員姓名或乘客人數。一款將所有用戶的高分記錄在一張表中的手機遊戲。每個用戶都可以更新自己的分數,但不能訪問其他人的分數。

  19. 您想使用 AWS CodeDeploy 將應用程序部署到在 Amazon Virtual Private Cloud (VPC) 中運行的 Amazon EC2 實例。
    必須滿足什麼標準才能做到這一點?

    A. 安裝在 Amazon EC2 實例上的 AWS CodeDeploy 代理必須只能訪問公共 AWS CodeDeploy 終端節點。

    B. 安裝在 Amazon EC2 實例上的 AWS CodeDeploy 代理必須只能訪問公共 Amazon S3 服務端點。

    C. 安裝在 Amazon EC2 實例上的 AWS CodeDeploy 代理必須能夠訪問公共 AWS CodeDeploy 和 Amazon S3 服務端點。

    D. 目前無法使用 AWS CodeDeploy 將應用程序部署到在 Amazon Virtual Private Cloud (VPC) 中運行的 Amazon EC2 實例。

    答案:C

    解釋:
    您可以使用 AWS CodeDeploy 將應用程序部署到在 Amazon Virtual Private Cloud (VPC) 中運行的 Amazon EC2 實例。但是,安裝在 Amazon EC2 實例上的 AWS CodeDeploy 代理必須能夠訪問公共 AWS CodeDeploy 和 Amazon S3 服務端點。 http://aws.amazon.com/codedeploy/faqs/

  20. 在爲支持全球分佈式設備的 IoT 系統調試後端應用程序時,解決方案架構師注意到有時會向用戶設備發送陳舊數據。設備經常共享數據,而陳舊的數據在大多數情況下不會導致問題。但是,當設備在更新後讀取陳舊數據時,設備操作會中斷。全球系統在不同的 AWS 區域部署了多個相同的應用程序堆棧。如果用戶設備離開其本地地理區域,它將始終連接到地理上最近的 AWS 區域以寫入或讀取數據。所有支持的 AWS 區域都使用 Amazon DynamoDB 全局表提供相同的數據。
    應該進行哪些更改以避免導致設備操作中斷?

    A. 更新後端以使用強一致性讀取。更新設備以始終寫入和讀取其主 AWS 區域。

    B. 在 DynamoDB 全局表上全局啓用強一致性。更新後端以使用強一致性讀取。

    C. 將後端數據存儲切換到具有跨區域副本的 Amazon Aurora MySQL。更新後端以始終寫入主端點。

    D. 選擇一個 AWS 區域作爲主區域並僅在該 AWS 區域中執行所有寫入。更新後端以使用強一致性讀取。

    答案:A

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章