AWS SAP-C01 (221-240)

1. 一家国际公司在单个区域中部署了一个依赖 DynamoDB 的多层 Web 应用程序。出于监管原因，他们需要在一个单独的区域具有灾难恢复能力，恢复时间目标为 2 小时，恢复点目标为 24 小时。他们应该定期同步他们的数据，并能够使用 CloudFormation 快速配置 Web 应用程序。目标是尽量减少对现有 Web 应用程序的更改，控制用于同步数据的 DynamoDB 的吞吐量，并仅同步修改后的元素。
   您会选择哪种设计来满足这些要求？

   A. 使用 AWS Data Pipeline 每天安排一次 DynamoDB 跨区域复制，在您的 DynamoDB 表中创建一个“LastUpdated”属性来表示上次更新的时间戳并将其用作过滤器

   B. 使用 AWS Data Pipeline 每天安排一次将 DynamoDB 表导出到当前区域的 S3，然后安排另一个任务紧随其后将数据从 S3 导入其他区域的 DynamoDB

   C. 使用 EMR 编写自定义脚本，使用 SCAN 操作从当前区域的 DynamoDB 检索数据并将其推送到 二区域的 DynamoDB

   D. 将每个写入也发送到第二个区域的 SQS 队列中，使用 SQS 队列后面的自动缩放组重放第二个区域中的写入

   答案：A

   解释：
   B：没有计划和吞吐量控制
   C：使用 AWS 数据管道，数据可以直接复制到其他 DynamoDB 表
   D：不自动重播写入

2. 您的公司目前有一个在本地数据中心运行的 2 层 Web 应用程序。在过去的几个月中，您经历了几次基础设施故障，导致了重大的经济损失。您的 CIO 正在强烈考虑将应用程序迁移到 AWS。在努力获得其他公司高管的支持时，他要求您制定灾难恢复计划，以帮助在短期内提高业务连续性。他指定了 4 小时的目标恢复时间目标 (RTO) 和 1 小时或更短的恢复点目标 (RPO)。他还要求您在 2 周内实施解决方案。您的数据库大小为 200GB，并且您有 20Mbps 的 Internet 连接。
   您将如何在最小化成本的同时做到这一点？

   A. 创建一个 EBS 支持的私有 AMI，其中包括您的应用程序的全新安装。开发一个 CloudFormation 模板，其中包含您的 AMI 和所需的 EC2、AutoScaling 和 ELB 资源，以支持跨多可用区部署应用程序。通过安全的 VPN 连接将事务从本地数据库异步复制到 AWS 中的数据库实例。

   B. 在跨多个可用区的 Auto Scaling 组内的 EC2 实例上部署您的应用程序。通过安全的 VPN 连接将事务从本地数据库异步复制到 AWS 中的数据库实例。

   C. 创建一个 EBS 支持的私有 AMI，其中包括您的应用程序的全新安装。在您的数据中心设置一个脚本，每 1 小时备份一次本地数据库，并使用分段上传加密生成的文件并将其复制到 S3 存储桶。

   D. 在能够支持应用程序平均负载的计算优化 EC2 实例上安装您的应用程序。通过安全的 Direct Connect 连接将事务从本地数据库同步复制到 AWS 中的数据库实例。

   答案：A

3. 在对服务团队的应用程序进行安全审计期间，解决方案架构师发现可以在 AWS Lambda 函数代码中查看 Amazon RDS 数据库的用户名和密码以及一组 AWS IAM 用户凭证。 Lambda 函数使用用户名和密码对数据库运行查询，并使用 IAM 凭证在单独的管理账户中调用 AWS 服务。解决方案架构师担心这些凭证可能会向任何可以查看 Lambda 代码的人授予不当访问权限。管理账户和服务团队的账户位于不同的 AWS Organizations 组织单位 (OU) 中。
   解决方案架构师应该进行哪些更改组合以提高解决方案的安全性？ （选择两项。）

   A. 将 Lambda 配置为在管理账户中担任具有适当 AWS 访问权限的角色。

   B. 将 Lambda 配置为使用 AWS Secrets Manager 中存储的数据库凭证并启用自动轮换。

   C. 创建一个 Lambda 函数，通过使用更新的凭证部署新的 Lambda 版本，每小时轮换一次凭证。

   D. 在管理账户的 OU 上使用 SCP 以防止 IAM 用户访问服务团队账户中的资源。

   E. 在管理账户上启用 AWS Shield Advanced 以保护敏感资源免受未经授权的 IAM 访问。

   答案：BD

4. 您的公司运营着一个面向客户的活动注册网站。该站点采用 3 层架构构建，具有 Web 和应用层服务器以及 MySQL 数据库。该应用程序需要 6 个 Web 层服务器和 6 个应用层服务器才能正常运行，但可以在至少 65% 的服务器容量和单个 MySQL 数据库上运行。
   在具有三个可用区 (AZ) 的区域中部署此应用程序时，哪种架构可提供高可用性？

   A. 跨 2 个 AZ 部署的 Web 层，在 ELB（弹性负载均衡器）后面的 Auto Scaling 组内的每个 A2 中具有 3 个 EC2（弹性计算云）实例，以及跨 2 个 AZ 部署的应用程序层，每个 AZ 中具有 3 个 EC2 实例在 ELB 后面的 Auto Scaling Group 内，一个 RDS（关系数据库服务）实例在另一个可用区中部署了只读副本。

   B. 跨 3 个 AZ 部署的 Web 层，在 ELB（弹性负载均衡器）后面的 Auto Scaling 组中的每个 AZ 中的每个 AZ 中部署了一个 Web 层，以及跨 3 个 AZ 部署的应用层，每个 AZ 中都有 2 个 EC2 实例在 ELB 后面的 Auto Scaling 组内，以及多可用区 RDS（关系数据库服务）部署。

   C. 跨 2 个 AZ 部署的 Web 层，在 ELB（弹性负载均衡器）后面的 Auto Scaling 组中的每个 AZ 中的每个 AZ 中有 3 个 EC2（弹性计算云）实例，以及跨 2 个 AZ 部署的应用层，每个 AZ 中有 3 个 EC2 实例在 ELB 后面的 Auto Scaling 组内，以及多可用区 RDS（关系数据库服务）部署

   D. 跨 3 个可用区部署的 Web 层，在 ELB（弹性负载均衡器）后面的 Auto Scaling 组内的每个可用区中的每个可用区中有 2 个 EC2（弹性计算云）实例，以及跨 3 个可用区部署的应用程序层，每个可用区中有 2 个 EC2 实例在 ELB 后面的 Auto Scaling 组内，以及一个 RDS（关系数据库服务）实例，在其他两个可用区中部署了只读副本。

   答案：B

5. 管理员正在使用 Amazon CloudFormation 部署一个三层 Web 应用程序，该应用程序由一个 Web 层和一个应用程序层组成，该应用程序层将利用 Amazon DynamoDB 进行存储。
   在创建 CloudFormation 模板时，以下哪一项将允许应用程序实例访问 DynamoDB 表而不暴露 API 凭证？

   A. 创建一个身份和访问管理角色，该角色具有从所需 DynamoDB 表读取和写入所需的权限，并通过引用实例配置文件将角色关联到应用程序实例。

   B. 创建一个身份和访问管理角色，该角色具有从所需 DynamoDB 表读取和写入所需的权限，并在应用程序实例的实例配置文件属性中引用该角色。

   C. 使用 CloudFormation 模板中的 Parameter 部分让用户输入来自已创建的 IAM 用户的访问和秘密密钥，该用户具有从所需 DynamoDB 表读取和写入所需的权限。

   D. 在 CloudFormation 模板中创建一个具有读写所需 DynamoDB 表权限的 Identity and Access Management 用户，使用 GetAtt 函数检索 Access 和 Secret 密钥，并通过 user-data 将它们传递给应用程序实例。

   答案：B

6. 一位 AWS 客户正在部署一个由 EC2 实例的 AutoScaling 组组成的应用程序。客户安全策略要求从这些实例到客户虚拟私有云中任何其他服务的每个出站连接都必须使用包含特定实例 ID 的唯一 X.509 证书进行身份验证。此外，所有 X.509 证书都必须由客户的密钥管理服务签名，以便可信进行身份验证。
   以下哪些配置将支持这些要求？

   A. 配置 IAM 角色以授予对包含签名证书的 Amazon S3 对象的访问权限，并配置 Auto Scaling 组以使用此角色启动实例。让实例引导程序在首次启动时从 Amazon S3 获取证书。

   B. 配置 Auto Scaling 组以向受信任的密钥管理服务发送新实例启动的 SNS 通知。让密钥管理服务生成签名证书并将其直接发送到新启动的实例。

   C. 将证书嵌入到 Auto Scaling 组使用的 Amazon 机器映像中。让已启动的实例生成证书签名请求，并将实例分配给密钥管理服务的实例 ID 进行签名。

   D. 配置启动的实例以在首次启动时生成新证书。让密钥管理服务轮询 AutoScaling 组以获取关联实例，并向新实例发送包含特定 Instance-id 的证书签名。

   答案：B

   解释：
   证书必须由客户密钥管理服务签署，这是唯一的选择。使用 S3 不会使其独一无二，嵌入 AMI 不会使其独一无二，自行生成新证书将不符合客户密钥管理服务对其进行签名的要求。
   A – 从 S3 访问很好，但是当每次自动缩放生成不同的实例和实例 ID 时，文件怎么会是唯一的..那是不可预测的
   C – 在 AMI 中嵌入证书不能使证书唯一。
   D – 因为 EC2 实例必须生成唯一的 X.509 证书，并且这必须特定于实例 ID。 EC2 实例可以自己生成证书，但明确提到证书必须由客户密钥管理服务签名，而不是自签名。

7. 一家公司有一个应用程序，该应用程序在一组 Amazon EC2 实例上运行，并在 Amazon S3 中为每个实例存储 70 GB 的设备数据。最近，一些 S3 上传失败。与此同时，该公司发现存储数据成本意外增加。不能修改应用程序代码。
   在管理存储成本的同时将设备数据上传到 Amazon S3 的最有效方法是什么？

   A. 使用分段上传上传设备数据。使用 AWS CLI 列出不完整的部分以解决 S3 上传失败的问题。在 S3 存储桶上为未完成的分段上传启用生命周期策略，以删除旧的上传并防止新的失败上传累积。

   B. 使用 S3 Transfer Acceleration 上传设备数据。使用 AWS 管理控制台解决失败的 S3 上传问题。每晚使用多对象删除操作删除旧上传。

   C. 使用分段上传上传设备数据。使用 AWS 管理控制台列出不完整的部分以解决 S3 上传失败的问题。配置生命周期策略以连续存档到 Amazon S3 Glacier。

   D. 使用 S3 Transfer Acceleration 上传设备数据。使用 AWS 管理控制台列出不完整的部分以解决 S3 上传失败的问题。在 S3 存储桶上为未完成的分段上传启用生命周期策略，以删除旧的上传并防止新的失败上传累积。

   答案：A

8. 一家公司正在实施 AWS Organizations，以限制其开发人员仅使用 Amazon EC2、Amazon S3 和 Amazon DynamoDB。 Developers 帐户驻留在专用组织单位 (OU) 中。 解决方案架构师已在开发人员帐户上实施了以下 SCP：

   	{
       "Version": "2012-10-17",
       "Statement": [
           {
             "Sid": "AllowEC2",
             "Effect": "Allow",
             "Action": "ec2:*",
             "Resouce": "*"
           },
           {
             "Sid": "AllowDynamoDB ",
             "Effect": "Allow",
             "Action": "dynamodb:*",
             "Resouce": "*"
           },
           {
             "Sid": "AllowS3",
             "Effect": "Allow",
             "Action": "s3:*",
             "Resouce": "*"
           }
       ]
   	}
   

   部署此策略后，开发人员账户中的 IAM 用户仍然可以使用策略中未列出的 AWS 服务。解决方案架构师应该怎么做才能消除开发人员使用本政策范围之外的服务的能力？

   A. 为每个应该受到约束的 AWS 服务创建一个明确的拒绝语句。

   B. 从开发人员账户的 OU 中删除 FullAWSAccess SCP。

   C. 修改 FullAWSAccess SCP 以明确拒绝所有服务。

   D. 在 SCP 末尾添加使用通配符的显式拒绝语句。

   答案：B

9. 您的公司之前在您的本地数据中心和 AWS 之间配置了一个使用频繁、动态路由的 VPN 连接。您最近配置了 DirectConnect 连接并希望开始使用此新连接。
   在 AWS 控制台中配置 DirectConnect 设置后，以下哪个选项将为您的用户提供最无缝的过渡？

   A. 配置您的 DirectConnect 路由器，更新您的 VPC 路由表以指向 DirectConnect 连接，使用更高的 BGP 优先级配置您的 VPN 连接，并验证网络流量正在利用 DirectConnect 连接。

   B. 删除您现有的 VPN 连接以避免路由循环，使用适当的设置配置您的 DirectConnect 路由器，并验证网络流量正在利用 DirectConnect。

   C. 更新您的 VPC 路由表以指向 DirectConnect 连接，使用适当的设置配置您的 DirectConnect 路由器，验证网络流量正在利用 DirectConnect，然后删除 VPN 连接。

   D. 使用比 VPN 路由器更高的 BGP 优先级配置您的 DirectConnect 路由器，验证网络流量正在利用 DirectConnect，然后删除您现有的 VPN 连接。

   答案：C

   解释：
   Direct Connect 优先于动态配置的 VPN 连接。

10. 您的团队有一个基于 tomcat 的 Java 应用程序，您需要将其部署到开发、测试和生产环境中。经过一些研究，您选择使用 Elastic Beanstalk，因为它易于管理，与您的开发人员工具和 RDS 紧密集成。您的 QA 团队负责人指出，您需要每晚将一组经过清理的生产数据推送到您的环境中。同样，您组织中的其他软件团队希望通过他们在您的 VPC 中的 EC2 实例访问相同的恢复数据。
    满足上述要求的持久性和安全性的最佳设置如下：

    A. 单独创建 RDS 实例并将其 IP 地址添加到代码中应用程序的数据库连接字符串中。更改其安全组以允许从 VPC 的 IP 地址块内的主机访问它。

    B. 单独创建您的 RDS 实例并将其 DNS 名称作为环境变量传递给您的数据库连接字符串。更改其安全组以允许从应用程序子网中的主机访问它。

    C. 创建 RDS 实例作为 Elastic Beanstalk 定义的一部分并更改其安全组以允许从应用程序子网中的主机访问它。

    D. 单独创建您的 RDS 实例并将其 DNS 名称作为环境变量传递给您应用程序的数据库连接字符串。为客户端机器创建一个安全组，并将其作为有效的数据库流量来源添加到 RDS 实例本身的安全组中。

    答案：D

    解释：
    Elastic Beanstalk 支持在您的 Elastic Beanstalk 环境中运行 Amazon RDS 实例。这适用于开发和测试环境，但不适用于生产环境，因为它将数据库实例的生命周期与应用程序环境的生命周期联系起来。

11. 您有一个定期图像分析应用程序，它获取输入的一些文件，分析它们，并为每个文件将输出中的一些数据写入文本文件。每天输入的文件数量很高，并且集中在一天中的几个小时内。目前，您在 EC2 上有一个服务器，其中包含一个大型 EBS 卷，用于托管输入数据和结果。每天需要将近 20 个小时才能完成这个过程。可以使用哪些服务来减少细化时间并提高解决方案的可用性？

    A. S3 存储 I/O 文件，SQS 将细化命令分发到一组并行工作的主机，Auto Scaling 根据 SQS 队列的长度动态调整主机组的大小。

    B. S3 存储 I/O 文件，SNS 将细化命令分发到一组并行工作的主机，Auto Scaling 根据 SNS 通知的数量动态调整主机组的大小。

    C. 带有预配置 IOPS (PIOPS) 的 EBS 用于存储 I/O 文件，SNS 将细化命令分发到一组并行工作的主机，Auto Scaling 可根据 SNS 通知的数量动态调整主机组的大小。

    D. 带有预配置 IOPS (PIOPS) 的 EBS 用于存储 I/O 文件，SQS 用于将细化命令分发到一组并行工作的主机。 Auto Scaling 可根据 SQS 队列的长度动态调整主机组的大小。

    答案：A

    解释：
    SNS 不允许您在主机组之间分配任务。它允许您发送通知，但您如何决定哪个主机将处理它？此外，PIOPS 对性能有益，但不适用于此任务所要求的可用性。使用S3没有问题，因为没有频繁更改的数据，您处理文件并写入一次结果，以后不要更改它。

12. 由于 Amazon S3 存储桶的权限问题，一家公司遭遇了高度机密的个人信息泄露。信息安全团队已收紧存储桶策略以限制访问。此外，为了更好地应对未来的攻击，必须满足以下要求：

    • 识别访问存储桶对象的远程 IP 地址。
    • 在存储桶上的安全策略更改时接收警报。
    • 自动修复策略更改。
      解决方案架构师应该使用哪些策略？

    A. 使用 Amazon CloudWatch Logs 和 CloudWatch 过滤器来识别远程 IP 地址。将 CloudWatch Events 规则与 AWS Lambda 结合使用以自动修复 S3 存储桶策略更改。将 Amazon SES 与 CloudWatch Events 规则用于警报。

    B. 使用 Amazon Athena 和 S3 访问日志来识别远程 IP 地址。将 AWS Config 规则与 AWS Systems Manager Automation 结合使用以自动修复 S3 存储桶策略更改。将 Amazon SNS 与 AWS Config 规则用于警报。

    C. 使用 Amazon Elasticsearch Service 和 Kibana 的 S3 访问日志来识别远程 IP 地址。使用 Amazon Inspector 评估模板自动修复 S3 存储桶策略更改。使用 Amazon SNS 获取警报。

    D. 使用带有 S3 存储桶的 Amazon Macie 来识别访问模式和远程 IP 地址。将 AWS Lambda 与 Macie 结合使用以自动修复 S3 存储桶策略更改。使用 Macie 自动警报功能进行警报。

    答案：B

13. 一个组织计划在使用 VPC 启动的单个实例上托管 Wordpress 博客和 joomla CMS。该组织希望为每个应用程序拥有单独的域并使用 Route 53 分配它们。该组织可能有大约十个实例，每个实例有两个应用程序，如上所述。在启动实例时，该组织配置了两个单独的网络接口（主 + ENI），并希望为该实例拥有两个弹性 IP。建议使用 AWS 的公共 IP 而不是弹性 IP，因为弹性 IP 的数量是有限的。你会向组织推荐什么行动？

    A. 我同意这个建议，但更希望组织应该为不同的公共 IP 使用带有每个 ENI 的单独子网。

    B. 我不同意，因为实例具有多个 ENI，AWS 不会为具有多个 ENI 的实例分配公共 IP，因此只需要一个弹性 IP。

    C. 我不同意，因为 AWS VPC 没有将公共 IP 附加到 ENI；所以用户只需要使用一个弹性 IP。

    D. 我同意该建议，建议使用来自 AWS 的公共 IP，因为该组织将在 Route 53 中使用 DNS。

    答案：B

    解释：
    虚拟私有云 (VPC) 是专用于用户 AWS 账户的虚拟网络。它使用户能够将 AWS 资源启动到用户定义的虚拟网络中。弹性网络接口 (ENI) 是用户可以附加到 VPC 中的实例的虚拟网络接口。用户最多可以使用单个实例附加两个 ENI。但是，当有两个 ENI 附加到单个实例时，AWS 无法分配公共 IP。这种场景建议分配弹性IP。如果组织想要超过 5 个 EIP，他们可以请求 AWS 增加数量。 http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html

14. 解决方案架构师希望确保只有具有合适权限的 AWS 用户或角色才能访问新的 Amazon API Gateway 终端节点。解决方案架构师想要每个请求的端到端视图，以分析请求的延迟并创建服务映射。
    解决方案架构师如何设计 API 网关访问控制并执行请求检查？

    A. 对于 API Gateway 方法，将授权设置为 AWS_IAM。然后，授予 IAM 用户或角色 execute-api:Invoke 对 REST API 资源的权限。允许 API 调用方在访问终端节点时使用 AWS 签名签署请求。使用 AWS X-Ray 跟踪和分析用户对 API Gateway 的请求。

    B. 对于 API Gateway 资源，将 CORS 设置为启用，并且只在 Access-Control-Allow-Origin 标头中返回公司的域。然后，授予 IAM 用户或角色 execute-api:Invoke 对 REST API 资源的权限。使用 Amazon CloudWatch 跟踪和分析用户对 API Gateway 的请求。

    C. 创建一个 AWS Lambda 函数作为自定义授权方，在调用时要求 API 客户端传递密钥和秘密，然后使用 Lambda 对 IAM 系统验证密钥/秘密对。使用 AWS X-Ray 跟踪和分析用户对 API Gateway 的请求。

    D. 为 API Gateway 创建客户端证书。将证书分发给需要访问终端节点的 AWS 用户和角色。启用 API 调用方在访问端点时传递客户端证书。使用 Amazon CloudWatch 跟踪和分析用户对 API Gateway 的请求。

    答案：A

15. 一家公司每小时对其主事务数据库运行一次批处理分析。在 RDS MySQL 实例上运行以填充在 Redshift 上运行的中央数据仓库 在批处理执行期间，他们的事务应用程序非常缓慢。批处理完成后，他们需要使用新数据更新高层管理仪表板 仪表板由另一个在本地运行的系统生成，当手动发送的电子邮件通知需要更新时，该系统当前已启动 本地系统无法修改，因为由另一个团队管理。
    您将如何优化此场景以解决性能问题并尽可能使流程自动化？

    A. 批量分析用Redshift替换RDS，SNS通知本地系统更新dashboard

    B. 用 Redsnift 替换 ROS 进行 oaten 分析和 SQS 向内部部署系统发送消息以更新仪表板

    C. 创建 RDS Read Replica 用于批量分析和 SNS 通知我本地系统更新仪表板

    D. 为批量分析和 SQS 创建 RDS 只读副本，以向本地系统发送消息以更新仪表板。

    答案：C

    解释：
    如果您想防止报告和分析处理干扰 OLTP 工作负载的性能。如果我正确理解上述陈述，他们是说将报告和分析处理与 OLTP 分开。换句话说，使用 RedShift 进行报告和分析处理，使用 RDS 进行 OLTP 工作负载。

16. 一家公司正在为一个受欢迎的电视节目建立一个投票系统，观众将观看表演，然后访问该节目的网站，为他们最喜欢的表演者投票。预计在展会结束后的短时间内，该网站将迎来数百万的访问者，访问者将首先使用他们的Amazon.com凭据登录该网站，然后提交他们的投票。投票完成后，页面将显示投票总数。该公司需要构建网站，使其能够在保持良好性能的同时处理快速涌入的流量，同时还希望将成本保持在最低水平。
    他们应该使用以下哪种设计模式？

    A. 在一组自动扩展的 Web 服务器前使用 CloudFront 和弹性负载均衡器，Web 服务器将首先调用 Login With Amazon 服务对用户进行身份验证，Web 服务器将处理用户投票并将结果存储到DynamoDB 表使用适用于 EC2 实例的 IAM 角色来获取对 DynamoDB 表的权限。

    B. 在一组自动扩展的 Web 服务器前使用 CloudFront 和弹性负载均衡器，Web 服务器将首先调用 Login With Amazon 服务对用户进行身份验证，Web 服务器将处理用户投票并将结果存储到一个 SQS 队列，使用适用于 EC2 实例的 IAM 角色来获取 SQS 队列的权限。然后，一组应用程序服务器将从队列中检索项目并将结果存储到 DynamoDB 表中。

    C. 在一组自动扩展的 Web 服务器前使用 CloudFront 和弹性负载均衡器，Web 服务器将首先调用 Login With Amazon 服务对用户进行身份验证，然后处理用户投票并将结果存储到多可用区中关系数据库服务实例。

    D. 使用 CloudFront 和 S3 的静态网站托管功能和 Javascript SDK 调用 Login with Amazon 服务对用户进行身份验证，使用 IAM 角色获取 DynamoDB 表的权限以存储用户投票。

    答案：B

17. 一家软件即服务 (SaaS) 公司为私人律师事务所和公共部门提供用于文档管理的云解决方案。一位当地政府客户最近规定，高度机密的文件不能存储在国外。公司 CIO 要求解决方案架构师确保应用程序能够适应这一新要求。 CIO 还希望为这些文档制定适当的备份计划，因为当前未执行备份。什么解决方案满足这些要求？

    A. 在 Amazon S3 中标记不高度机密的常规文档。为每个用户创建单独的 S3 存储桶。将对象上传到每个用户的存储桶。将这些存储桶的 S3 存储桶复制设置为不同 AWS 账户和 AWS 区域中的中央 S3 存储桶。配置由 Amazon CloudWatch 中的计划事件触发的 AWS Lambda 函数，以删除 S3 备份存储桶中标记为机密的对象。

    B. 在 Amazon S3 中将文档标记为常规或秘密。在同一 AWS 账户和 AWS 区域中创建单独的 S3 备份存储桶。在单独的 AWS 账户中创建跨区域 S3 存储桶。设置适当的 IAM 角色以允许对 S3 存储桶的跨区域权限。配置由 Amazon CloudWatch 计划事件触发的 AWS Lambda 函数，以将标记为机密的对象和标记为跨区域 S3 存储桶的对象复制到 S3 备份存储桶。

    C. 在 Amazon S3 中将文档标记为常规或秘密。在同一 AWS 账户和 AWS 区域中创建单独的 S3 备份存储桶。使用基于对象标签的 S3 选择性跨区域复制将常规文档移动到不同 AWS 区域中的 S3 存储桶。配置一个在主存储桶中创建新 S3 对象时触发的 AWS Lambda 函数，以仅将标记为机密的文档复制到同一 AWS 区域中的 S3 存储桶中。

    D. 在 Amazon S3 中将高度机密的文档标记为机密。在同一 AWS 账户和 AWS 区域中创建单独的 S3 备份存储桶。使用基于对象标签的 S3 选择性跨区域复制将常规文档移动到不同 AWS 区域中的 S3 存储桶。为标记为机密的新 S3 对象创建 Amazon CloudWatch Events 规则，以触发 AWS Lambda 函数将它们复制到同一 AWS 区域中的单独存储桶中。

    答案：C

18. 您正在开发一个新的移动应用程序并考虑在 AWS 中存储用户首选项。这将为使用多个移动设备访问应用程序的用户提供更统一的跨设备体验。每个用户的偏好数据估计大小为 50KB。此外，预计将有 500 万客户定期使用该应用程序。该解决方案需要具有成本效益、高可用性、可扩展性和安全性。
    您将如何设计满足上述要求的解决方案？

    A. 在 2 个可用区中设置具有多个只读副本的 RDS MySQL 实例来存储用户偏好数据。移动应用程序将从只读副本中查询用户偏好。利用 MySQL 用户管理和访问权限系统来管理安全和访问凭据。

    B. 在2个可用区设置一个RDS MySQL实例来存储用户偏好数据。在数据库前面的服务器上部署面向公众的应用程序，以管理安全性和访问凭据。

    C. 在 S3 中存储用户偏好数据。设置一个 DynamoDB 表，其中包含每个用户的项目和指向用户 S3 对象的项目属性。移动应用程序将从 DynamoDB 检索 S3 URL，然后直接访问 S3 对象。利用 STS、Web Identity Federation 和 S3 ACL 来验证和授权访问。

    D. 为每个用户设置一个带有项目的 DynamoDB 表，该项目具有保存用户首选项的必要属性。移动应用程序将直接从 DynamoDB 表中查询用户首选项。利用 STS、Web 身份联合和 DynamoDB 细粒度访问控制来验证和授权访问。

    答案：D

    解释：
    https://aws.amazon.com/blogs/aws/fine-grained-access-control-for-amazon-dynamodb/ 以下是您可以使用细粒度访问控制构建的一些内容： 基于用户位置显示附近机场信息的移动应用程序。该应用程序可以访问和显示属性，例如航空公司名称、到达时间和航班号。但是，它无法访问或显示飞行员姓名或乘客人数。一款将所有用户的高分记录在一张表中的手机游戏。每个用户都可以更新自己的分数，但不能访问其他人的分数。

19. 您想使用 AWS CodeDeploy 将应用程序部署到在 Amazon Virtual Private Cloud (VPC) 中运行的 Amazon EC2 实例。
    必须满足什么标准才能做到这一点？

    A. 安装在 Amazon EC2 实例上的 AWS CodeDeploy 代理必须只能访问公共 AWS CodeDeploy 终端节点。

    B. 安装在 Amazon EC2 实例上的 AWS CodeDeploy 代理必须只能访问公共 Amazon S3 服务端点。

    C. 安装在 Amazon EC2 实例上的 AWS CodeDeploy 代理必须能够访问公共 AWS CodeDeploy 和 Amazon S3 服务端点。

    D. 目前无法使用 AWS CodeDeploy 将应用程序部署到在 Amazon Virtual Private Cloud (VPC) 中运行的 Amazon EC2 实例。

    答案：C

    解释：
    您可以使用 AWS CodeDeploy 将应用程序部署到在 Amazon Virtual Private Cloud (VPC) 中运行的 Amazon EC2 实例。但是，安装在 Amazon EC2 实例上的 AWS CodeDeploy 代理必须能够访问公共 AWS CodeDeploy 和 Amazon S3 服务端点。 http://aws.amazon.com/codedeploy/faqs/

20. 在为支持全球分布式设备的 IoT 系统调试后端应用程序时，解决方案架构师注意到有时会向用户设备发送陈旧数据。设备经常共享数据，而陈旧的数据在大多数情况下不会导致问题。但是，当设备在更新后读取陈旧数据时，设备操作会中断。全球系统在不同的 AWS 区域部署了多个相同的应用程序堆栈。如果用户设备离开其本地地理区域，它将始终连接到地理上最近的 AWS 区域以写入或读取数据。所有支持的 AWS 区域都使用 Amazon DynamoDB 全局表提供相同的数据。
    应该进行哪些更改以避免导致设备操作中断？

    A. 更新后端以使用强一致性读取。更新设备以始终写入和读取其主 AWS 区域。

    B. 在 DynamoDB 全局表上全局启用强一致性。更新后端以使用强一致性读取。

    C. 将后端数据存储切换到具有跨区域副本的 Amazon Aurora MySQL。更新后端以始终写入主端点。

    D. 选择一个 AWS 区域作为主区域并仅在该 AWS 区域中执行所有写入。更新后端以使用强一致性读取。

    答案：A