-
解決方案架構師正在設計一個可公開訪問的 Web 應用程序,該應用程序位於以 Amazon 網站端點爲源的 Amazon Cloudfront 分發版上。 部署解決方案時,網站返回錯誤 403:拒絕訪問消息。 解決方案架構師應該採取哪些步驟來糾正問題?(選擇兩項)
A. 從 S3 存儲桶中刪除 S3 阻止公共訪問選項
B. 從 S3 存儲桶中刪除請求者支付選項
C. 從 Cloudfront 發行版中刪除源訪問身份 (OAL)
D. 將存儲類從 s3 Standard 更改爲 S3 One Zone Infrequent Access(S3 One Zone-IA)
E. 禁用 S3 對象版本控制
答案:AB
-
公司要求所有內部應用程序連接都使用私有 IP 地址。 爲促進此策略,解決方案架構師創建了接口端點以連接到 AWS 公共服務。 測試後,解決方案架構師注意到服務名稱正在解析爲公共 IP 地址,並且內部服務無法連接到接口端點。 解決方案架構師應該採取哪個步驟來解決這個問題?
A. 使用到接口端點的路由更新子網路由表
B. 在 VPC 屬性上啓用私有 DNS 選項
C. 在接口端點上配置安全組以允許連接到 AWS 服務。
D. 爲內部應用程序配置一個帶有條件轉發器的 Amazon Route 53 私有託管區域
答案:B
-
一家電子商務公司有一個訂單處理應用程序想要遷移到 AWS。 應用程序具有不一致的數據量模式,但需要始終可用。 訂單必須在訂單發生時按照收到的順序進行處理。 解決方案架構師應該採取哪些步驟來滿足這些要求?
A. 使用 AWS Transfer for SFTP 並在訂單發生時上傳。 使用多個可用區中的按需實例進行處理。
B. 使用帶有 FIFO 的 Amazon SNS 並在訂單發生時發送訂單。 使用單個大型預留實例進行處理。
C. 使用 Amazon SQS 和 FIFO 並在訂單發生時發送訂單。 使用多個可用區中的預留實例進行處理。
D. 使用 Amazon SQS 和 FIFO 並在訂單發生時發送訂單。 使用多個可用區中的 Spot 實例進行處理。
答案:C
-
一家公司有一個網絡應用程序,允許用戶上傳短視頻。視頻存儲在 Amazon EBS 捲上,並由自定義識別軟件進行分析以進行分類。該網站包含具有可變流量的靜態內容,在某些月份達到峯值。該架構由在 Auto Scaling 組中運行的用於 Web 應用程序的 Amazon EC2 實例和在 Auto Scaling 組中運行以處理 Amazon SQS 隊列的 EC2 實例組成。該公司希望重新構建應用程序以儘可能使用 AWS 託管服務來減少運營開銷,並消除對第三方軟件的依賴。哪種解決方案滿足這些要求?
A. 將 Amazon ECS 容器用於 Web 應用程序,並將 Spot 實例用於處理 SQS 隊列的擴展組。將自定義軟件替換爲 Amazon Rekognition 以對視頻進行分類。
B. 將上傳的視頻存儲在 Amazon EFS 中,並將文件系統掛載到 Web 應用程序的 EC2 實例。使用 AWS Lambda 函數處理 SQS 隊列,該函數調用 Amazon Rekognition API 對視頻進行分類。
C. 在 Amazon S3 中託管 Web 應用程序。將上傳的視頻存儲在 Amazon S3 中。使用 S3 事件通知將事件發佈到 SQS 隊列。使用 AWS Lambda 函數處理 SQS 隊列,該函數調用 Amazon Rekognition API 對視頻進行分類。
D. 使用 AWS Elastic Beanstalk 在應用程序的 Auto Scaling 組中啓動 EC2 實例,並啓動一個工作環境來處理 SQS 隊列。將自定義軟件替換爲 Amazon Rekognition 以對視頻進行分類。
答案:C
-
一位解決方案架構師在 AWS 上設計了一個需要 99.99% 可用性的 Web 應用程序。該應用程序將由三層架構組成,在遇到高峯流量時每分鐘支持 3000,000 個 Web 請求。該應用程序將使用 Amazon Route 53 進行 DNS 解析,Amazon CloudFront 作爲內容交付網絡 (CDN),一個用於負載平衡的彈性負載均衡器,Amazon EC2 Auto Scang 組來擴展應用層,以及 Amazon Aurora MySQL 作爲後端數據庫。後端數據庫負載將平均 90% 讀取和 10% 寫入。該公司希望構建具有成本效益的解決方案,但可靠性至關重要。解決方案架構師應該使用哪一組策略?
A. 在單個 AWS 區域中構建應用程序。使用具有基於請求指標的動態擴展的 Auto Scaling 組將 EC2 應用程序層部署到三個可用區。使用具有兩個 Aurora 副本的多可用區 Amazon Aurora MySQL 數據庫集羣。每個 Aurora 副本必須有足夠的容量來支持 50% 的峯值讀取查詢。
B. 在單個 AWS 區域中構建應用程序。使用 Auto Scaling 組將 EC2 應用程序層部署到三個可用區,所需的最小容量足以每分鐘處理 450,000 個請求。使用具有兩個 Aurora 副本的多可用區 Amazon Aurora MYSQL 數據庫集羣每個 Aurora 副本必須有足夠的容量來支持 100% 的峯值讀取查詢。
C. 在單個 AWS 區域中構建應用程序。使用 Auto Scaling 組將 EC2 應用程序層部署到兩個可用區,該組的最小所需容量足以每分鐘處理 30.0000 個請求,使用 Multi-az Amazon Aurora MYSQL 數據庫集羣和一個 Aurora 副本。 Aurora 副本必須有足夠的容量來支持 50% 的峯值讀寫查詢。
D. 在兩個 AWS 區域構建應用程序。使用 Auto Scaling 組將 EC2 應用程序層部署到兩個可用區,並根據第二個區域中每個區域的請求指標進行動態擴展,部署 Amazon Aurora MYSQL 跨區域副本,使用 Amazon Route 53 在區域之間分配流量和如果區域變得不可用,則配置故障轉移
答案:B
-
一家公司使用負載均衡器將流量分配到單個可用區中的 Amazon EC2 實例。該公司關注安全性,並希望解決方案架構師重新構建解決方案以滿足以下要求:
- 入站請求必須針對常見漏洞攻擊進行過濾
- 被拒絕的請求必鬚髮送給第三方審計應用程序
- 所有資源都應該是高可用的
哪種解決方案滿足這些要求?
A. 使用應用程序 AMI 創建一個應用程序負載均衡器 (ALB) 並選擇之前創建的 Auto Scaling 組作爲目標來配置 Multi-az Auto Scaling 組。使用 Amazon Inspector 監控流向 ALB 和 EC2 實例的流量。在 WAF 中創建 Web ACL 使用 Web ACL 和 ALB 創建 AWS WAF。使用 AWS Lambda 函數頻繁將 Amazon Inspector 報告推送到第三方審計應用程序
B. 配置應用程序負載均衡器 (ALB) 並將 EC2 實例添加爲目標,在 WAF 中創建 Web ACL 使用 Web ACL 和 ALB 名稱創建 AWS WAF,並使用 Amazon Cloudwatch Logs 啓用日誌記錄。使用 AWS Lambda 函數頻繁將日誌推送到第三方審計應用程序
C. 配置應用程序負載均衡器 (ALB) 以及將 EC2 實例添加爲目標的目標組。使用第三方審計應用程序的目標創建 Amazon Kinesis Data Firehose。在 WAF 中創建 Web ACL 使用 Web、ACL 和 ALB 創建 AWS WAF,然後通過選擇 Kinesis Data Firehose 作爲目標來啓用日誌記錄。在 AWS Marketplace 中訂閱 AWS 託管規則,選擇 WAF 作爲訂閱者
D. 使用應用程序 AML 配置 Multi-az Auto Scaling 組。創建一個 Application Load Balancer (ALB) 並將之前創建的 Auto Scaling 組作爲目標。使用第三方審計應用程序的目標創建 Amazon Kinesis Data Firehose。在 WAF 中創建 Web ACL 使用 WebACL 和 ALB 創建 AWS WAF,然後通過選擇 Kinesis Data Firehose 作爲目標啓用日誌記錄在 AWS Marketplace 中訂閱 AWS 託管規則,選擇 WAF 作爲訂閱者。
答案:D
-
一家公司有多個開發團隊在多個項目上進行協作。開發人員經常在項目之間移動,每個項目都需要訪問不同的 AWS 資源集。但是,目前有 Web、移動和數據庫開發項目。這組項目可能會隨着時間的推移而改變。開發人員應完全控制分配給他們的項目的資源,並對所有其他項目的資源具有隻讀訪問權限。當開發人員被分配到不同的項目或添加新的 AWS 資源時。公司要維修。
解決方案架構師應該推薦什麼類型的控制策略?A. 爲每個具有特定項目標籤的項目創建一個策略文檔,並允許完全控制具有匹配標籤的資源 允許對所有其他資源進行只讀訪問。將項目特定的政策文件附加到該項目的 IAM 角色。更改項目時,更改分配給開發人員的 IAM 用戶的角色。在創建新資源時爲其分配特定的項目標籤
B. 爲每個需要訪問 AWS 資源的項目創建一個 IAM 角色。將內聯策略文檔附加到角色,指定允許擔任該角色的 AM 用戶,完全控制屬於項目的資源,並對帳戶內的所有其他資源具有隻讀訪問權限。更新策略文檔資源集更改或開發人員更改項目
C. 創建客戶管理 爲需要訪問 AWS 資源的每個項目指定完整的控制策略文檔。指定對屬於項目的資源的完全控制和對帳戶內所有其他資源的只讀訪問權限。當開發人員的 IAM 用戶更改項目時,將項目特定的策略文檔附加到他們。當資源集更改時更新策略文檔
D. 爲需要訪問 AWS 資源的每個項目創建客戶管理策略文檔 指定對屬於項目的資源的完全控制以及對賬戶內所有其他資源的只讀訪問 將特定於項目的策略文檔附加到 IAM group 當開發者更改項目時更改組成員資格 當設置爲資源更改時更新策略文檔。
答案:D
-
一家公司計劃將單體應用程序重構爲部署在 Aws 上的現代應用程序設計。需要升級 CI/CD 管道以支持具有以下要求的應用程序的現代設計:
- 它應該允許每小時發佈幾次更改
- 它應該能夠儘快回滾更改。
哪種設計將滿足這些要求?
A. 部署包含 AMI 的 CI/CD 管道以包含應用程序及其配置。通過替換 Amazon EC2 實例來部署應用程序。
B. 指定 AWS Elastic Beanstalk 在二級環境中暫存作爲應用程序 CLCD 管道的部署目標。部署,交換臨時和生產環境 URL。
C. 使用 AWS Systems Manager 爲每個部署重新配置基礎設施更新 Amazon EC2 用戶數據以從 amazon S3 中提取最新的代碼工件,並使用 Amazon Route 53 加權路由指向新環境。
D. 使用預構建的 AMI 作爲自動擴展事件的一部分推出應用程序更新。使用新版本的 AMI 添加實例,並在部署事件期間逐步淘汰使用具有配置的終止策略的先前 AMI 版本的所有實例
答案:B
-
解決方案架構師正在將現有工作負載遷移到 AWS Fargate。該任務只能在 VPC 內的私有子網中運行,在該子網中沒有從系統外部到應用程序的直接連接。當 Fargate 任務啓動時,任務失敗並顯示以下錯誤:CannotPullcontainererror:API error(500):Get http:/111122223333.dkr.ecr.us-east 1.amazonaws.com/v2/net/http:request 在等待連接時被取消。解決方案架構師應該如何糾正這個錯誤?
A. 確保在啓動任務時將任務設置爲 ENABL ED 以進行自動分配公共 IP 設置
B. 確保在啓動任務時將自動分配公共 IP 設置的任務設置爲 DISABLED。在 VPC 的公共子網中配置 NAT 網關以將請求路由到互聯網
C. 確保在啓動任務時將任務設置爲禁用自動分配公共 IP 設置。在 VPC 的私有子網中配置 NAT 網關以將請求路由到互聯網
D. 確保在 Fargate 任務定義中將網絡模式設置爲橋接
答案:B
-
一家公司有一個照片共享社交網絡應用程序。爲了給用戶提供一致的體驗,該公司在發佈到應用程序之前對用戶上傳的照片進行了一些圖像處理。圖像處理是使用一組 Python 庫實現的。目前的架構如下:
- 圖像處理 Python 代碼在單個 Amazon EC2 實例中運行,並將處理後的圖像存儲在名爲 ImageBucket 的 Amazon S3 存儲桶中。
- 前端應用程序託管在另一個存儲桶中,從 ImageBucket 加載圖像以顯示給用戶。
隨着全球擴張計劃,該公司希望對其現有架構進行更改,以便能夠根據對應用程序不斷增長的需求進行擴展,並隨着應用程序的擴展降低管理複雜性。
解決方案架構師應該進行哪些更改組合? (選擇兩項。)
A. 將圖像處理 EC2 實例放入 Auto Scaling 組。
B. 使用 AWS Lambda 運行圖像處理任務。
C. 使用 Amazon Rekognition 進行圖像處理。
D. 在 ImageBucket 前面使用 Amazon CloudFront。
E. 在 Amazon ECS 集羣中部署應用程序並應用 Service Auto Scaling。
答案:BD
-
一家公司使用 AWS Organizations 和一個名爲 Production 的 OU 來管理多個賬戶。所有帳戶都是生產 OU 的成員。管理員使用組織根目錄中的拒絕列表 SCP 來管理對受限服務的訪問。該公司最近收購了一個新業務部門,並邀請新部門現有的 AWS 賬戶加入該組織。加入後,新業務部門的管理員發現他們無法更新現有的 AWS Config 規則以滿足公司的政策。
哪個選項將允許管理員進行更改並繼續執行當前策略而不引入額外的長期維護?A. 刪除限制訪問 AWS Config 的組織的根 SCP。爲公司的標準 AWS Config 規則創建 AWS Service Catalog 產品,並將它們部署到整個組織,包括新賬戶。
B. 爲新帳戶創建一個名爲 Onboarding 的臨時 OU。將 SCP 應用到 Onboarding OU 以允許 AWS Config 操作。完成對 AWS Config 的調整後,將新賬戶移至生產 OU。
C. 將組織的根 SCP 從拒絕列表 SCP 轉換爲允許列表 SCP,以僅允許所需的服務。將 SCP 臨時應用於組織的根,該根僅允許對新賬戶中的委託人執行 AWS Config 操作。
D. 爲新帳戶創建一個名爲 Onboarding 的臨時 OU。將 SCP 應用到 Onboarding OU 以允許 AWS Config 操作。將組織的根 SCP 移動到生產 OU。完成對 AWS Config 的調整後,將新賬戶移至生產 OU。
答案:D
-
一家公司在其數據中心有一個 Microsoft SQL Server 數據庫,並計劃將數據遷移到 Amazon Aurora MySQL。該公司已經使用 AWS Schema Conversion Tool 將觸發器、存儲過程和其他架構對象遷移到 Aurora MySQL。該數據庫包含 1 TB 數據,並且每天增長不到 1 MB。該公司的數據中心通過專用的 1Gbps AWS Direct Connect 連接連接到 AWS。該公司希望將數據遷移到 Aurora MySQL 並在最短的應用程序停機時間內執行重新配置。
哪種解決方案符合公司的要求?A. 在週末關閉應用程序。創建 AWS DMS 複製實例和任務以將現有數據從 SQL Server 遷移到 Aurora MySQL。執行應用程序測試並將數據遷移到新的數據庫端點。
B. 創建 AWS DMS 複製實例和任務以將現有數據和持續複製從 SQL Server 遷移到 Aurora MySQL。執行應用程序測試並將數據遷移到新的數據庫端點。
C. 在 Amazon S3 上創建 SQL Server 的數據庫快照。將數據庫快照從 Amazon S3 恢復到 Aurora MySQL。創建 AWS DMS 複製實例和任務,用於從 SQL Server 到 Aurora MySQL 的持續複製。執行應用程序測試並將數據遷移到新的數據庫端點。
D. 在 Amazon S3 上創建 SQL Server 本機備份文件。創建 AWS DMS 複製實例和任務以將 SQL Server 備份文件恢復到 Aurora MySQL。創建另一個 AWS DMS 任務,用於從 SQL Server 到 Aurora MySQL 的持續複製。執行應用程序測試並將數據遷移到新的數據庫端點。
答案:B
-
一家金融服務公司從其信用卡服務合作伙伴處收到一個定期數據饋送,每 15 分鐘以明文形式發送大約 5,000 條記錄,通過 HTTPS 直接傳送到使用服務器端加密的 Amazon S3 存儲桶中,該饋送包含敏感的信用卡主帳號(PAN) 數據,公司需要在將數據發送到另一個 S3 存儲桶進行額外的內部處理之前自動屏蔽 PAN,公司還需要刪除和合並特定字段,然後將記錄轉換爲 JSON 格式。此外,未來可能會出現額外的提要,因此任何設計都需要易於擴展。
哪些解決方案將滿足這些要求?A. 在文件傳輸時觸發 Aws Lambda 函數,提取每條記錄並將其寫入 Amazon SQS 隊列。當新消息到達 t sas 隊列時觸發另一個 Lambda 函數以處理記錄,將結果寫入 Amazon S3 中的臨時位置。一旦 sqs 隊列可用,觸發最終的 Lambda 函數以將記錄轉換爲 JSON 格式並將結果發送到另一個 S3 存儲桶進行內部處理
B. 在文件傳輸時觸發 Aws Lambda 函數,提取每條記錄並將其寫入 Amazon SQS 隊列。將 AWS Fargate 容器應用程序配置爲在 SQS 隊列包含消息時自動擴展到單個實例讓應用程序處理每條記錄並將記錄轉換爲 JSON 格式。當隊列爲空時,將結果發送到另一個 S3 存儲桶進行內部處理並縮減 AWS Fargate 實例
C. 根據數據饋送格式創建 AWS Glue 爬蟲和自定義分類器,並構建表定義以匹配 觸發 AWS L ambda 函數字段交付以啓動 AWS Glue ETL 作業以根據處理和轉換要求轉換整個記錄 定義輸出格式爲 JSON 完成後,讓 Etljobsend 結果到另一個 S3 存儲桶進行內部處理
D. 基於數據源格式創建一個 Aws Glue 爬蟲和自定義分類器,並構建一個表定義以匹配。在文件交付時執行 Amazon Athena 查詢以啓動 Amazon EMR ETL 作業,根據處理和轉換要求。將輸出格式定義爲 JSON。完成後,將結果發送到另一個 S3 另一個 S3 存儲桶進行內部處理並縮小 EMR 集羣。
答案:A
-
一家公司正在手動將其應用程序部署到生產中,並希望轉向更成熟的部署模式。 該公司已要求解決方案架構師設計一個利用當前 Chef 工具和知識的解決方案。 在部署到生產環境之前,必須將應用程序部署到暫存環境以進行測試和驗證。 如果在部署後發現錯誤,任何新部署必須在 5 分鐘內回滾。
解決方案架構師應該使用哪種 AWS 服務和部署模式來滿足這些要求?A. 使用 Aws Elastic Beanstalk 並使用所有更新部署策略部署應用程序
B. 使用 Aws Codepipeline 並使用 rolin 更新部署 statey 部署 aplicaton
C. 使用 Aws Codebuild 並使用 Canary deploymen sreley 部署 apicaion
D. 使用 AWS OpsWorks 並使用藍/綠部署策略部署應用程序
答案:D
-
解決方案架構師正在爲公司移動應用程序的用戶實施對 AWS 的聯合訪問。由於監管和安全要求,應用程序必須使用定製的解決方案來對用戶進行身份驗證,並且必須使用 AM 角色進行授權。以下哪些操作將啓用身份驗證和授權並滿足要求?(選擇兩項)
A. 使用定製的 SAML 兼容解決方案進行身份驗證,使用 AWS SSO 進行授權。
B. 使用 Amazon API Gateway 和 AWS Lambda 創建自定義構建的 LDAP 連接器進行身份驗證。在 Amazon Dynamodb 中存儲授權令牌,並使用另一個從 Dynamodb 讀取憑證的 Lambda 函數驗證授權請求
C. 使用定製的 OpenID Connect 兼容解決方案與 AWS SSO 進行身份驗證和授權。
D. 使用定製的 Saml 兼容解決方案,該解決方案使用 LDAP 進行身份驗證並使用 SAML 斷言對 LAM 身份提供者執行授權。
E. 使用定製的 Opend Connect 兼容解決方案進行身份驗證並使用 Amazon Cognito 進行授權
答案:AE
-
一本在線雜誌將於本月推出其最新版本。此版本將率先在全球發行。該雜誌的動態網站目前在 Web 層前面使用應用程序負載均衡器、用於 Web 和應用程序服務器的一組 Amazon EC2 實例以及 Amazone Aurora MySQL。網站的部分內容包括靜態內容和幾乎所有流量都是隻讀的。
解決方案架構師應該採取哪些步驟組合來減少全球受衆的系統響應時間? (選擇兩項)A. 使用邏輯跨區域複製將 Aurora MYSQL 數據庫複製到輔助區域,將 Web 服務器替換爲 Amazon S3 以跨區域複製模式部署 S3 存儲桶
B. 確保 Web 和應用程序層都在 Auto Scaling 組中。引入 AWS Direct Connect 連接 在世界各地的區域中部署 Web 和應用程序層
C. 將數據庫從 Amazon Aurora 遷移到 Amazon RDS for MYSQL 確保所有三個應用層——Web、應用和數據庫都在私有子網中
D. 使用 Aurora 全局數據庫進行物理跨區域複製。將 Amazon S3 與跨區域替換用於靜態內容和資源。在世界各地的區域中部署 Web 和應用程序層。
E. 引入基於延遲的路由和 Amazon Cloudfront 分發的 Amazon Route 53。確保 Web 和應用程序層都在 Auto Scaling 組中
答案:DE
-
一家公司在應用程序負載均衡器 (ALB) 後面的 ap-southeast-2 區域中部署了一個基於 Web 的應用程序。 AWS Certificate Manager (ACM) 已爲 example.com 頒發了 TLS 證書。此證書部署到 ALB。 Amazon Route 53 中有一個記錄集,例如與 ALB 關聯的 example.com。由於應用程序負載增加,該公司希望使用 Amazon CloudFront。此轉換不會導致應用程序停機。
哪些動作組合可以實現這一點? (選擇三個。)A. 在 ap-southeast-2 區域中爲 origin-example.com 和 example.com 創建新的 ACM 證書。將此證書與現有 ALB 關聯 在 Route 53 中爲與現有 ALB 關聯的 origin.example.com 添加 DNS 條目ALB
B. 創建 Cloudfront 分配並使用與 ap- southeast-2 區域中的 ALB 關聯的現有證書將 origin example com 設置爲自定義來源
C. 在 us-east-1 區域爲 example.com 創建一個新的 ACM 證書。創建 CloudFront 分配並使用 us-east-1 區域中的 ACM 證書。將 origin example.com 設置爲自定義來源。
D. 將 Route 53 for example.com 更新爲 CloudFront 分配的別名記錄
E. 在 us-east-1 區域爲 example.com 創建一個新的 ACM 證書。在 us-east-1 區域中創建一個新的 ALB 作爲 Cloudfront 分配的來源 將與 ALB 關聯的安全組附加到 Cloudfront 分配
F. 更新 ALB 安全組以僅允許從 CloudFront 邊緣站點進行訪問。
答案:CDF
-
移動應用程序變得非常流行,使用量從幾百用戶增加到數百萬用戶。用戶捕獲並上傳城市內活動的圖像,並提供評級和建議 數據訪問模式是不可預測的。當前應用程序託管在應用程序負載均衡器 (ALB) 後面的 Amazon EC2 實例上。應用程序正在放緩,成本正在迅速增長。
解決方案架構師應該對應用程序架構進行哪些更改以控制成本和提高性能?A. 創建一個 Amazon Cloudfront 分配並將 ALB 放在分配後面。將靜態內容存儲在 Amazon S3 中的不頻繁訪問存儲類中
B. 使用智能分層存儲類將靜態內容存儲在 Amazon S3 存儲桶中。在 S3 存儲桶和 ALB 前面使用 Amazon Cloudfront 分配
C. 將 AWS Global Accelerator 放在 ALB 前面。將靜態內容遷移到 Amazon EFS,然後在遷移過程中運行 AW Lambda 函數以調整圖像大小
D. 將應用程序代碼移動到 AWS Fargate 容器並用 Fargate 容器換出 EC2 實例。
答案:A
-
一家公司想要在 AWS 上運行無服務器應用程序 該公司計劃在運行在 Amazon ECS 集羣上的 Docker 容器中配置其應用程序 該應用程序需要一個 MYSQL 數據庫,該公司計劃使用 Amazon RDS 該公司有需要經常訪問的文檔前 3 個月,之後很少 文件必須保留多年。
滿足這些要求的最具成本效益的解決方案是什麼?A. 使用按需實例創建 ECS 集羣 使用 Spot 實例在 Amazon RDS 中配置數據庫及其只讀副本。將文檔存儲在加密的 EBS 卷中,並創建一個 cron 作業以在 7 年後刪除文檔。
B. 使用 Spot 實例隊列創建一個 ECS 集羣,並啓用 Spot Instance Draining。使用預留實例在 Amazon RDS 中配置數據庫及其只讀副本。使用生命週期策略將文檔存儲在安全的 Amazon S3 存儲桶中,以將超過 3 個月的文檔移動到 Amazon S3 Glacier。然後從 Amazon S3 Glacier 中刪除超過 7 年的文檔
C. 使用按需實例創建 ECS 集羣 使用按需實例在 Amazon RDS 中配置數據庫及其只讀副本。將文檔存儲在 Amazon EFS 中 創建一個 cron 作業以將超過幾個月的文檔移動到 Amazon S3 Glacier。創建 AWS Lambda 函數以刪除 S3 Glacier 中超過 7 年的文檔
D. 使用 Spot 實例隊列創建 ECS 集羣並啓用 Spot Instance Draining。使用按需實例在 Amazon RDS 中配置數據庫及其只讀副本。使用生命週期策略將文檔存儲在安全的 Amazon S3 存儲桶中,將超過 3 個月的文檔移動到 Amazon S3 Glacier,7 年後刪除 Amazon S3 Glacier 中的文檔
答案:B
-
解決方案架構師必須啓用 AWS Cloudhsm M of N 訪問控制(也稱爲仲裁身份驗證機制),以允許安全人員對硬件安全模塊 (HSM) 進行管理更改。新的安全策略規定,五個中的至少三個安全官員必須授權對 CloudHSM 進行任何管理更改。
哪種架構良好的設計可確保安全人員可以作爲法定人數進行身份驗證?A. 在與 Amazon API Gateway 集成的 Amazon S3 上創建一個靜態網站,以允許官員發起仲裁請求。使用 Amazon SNS 將仲裁請求通知給官員。允許官員下載 Cloudhsm 仲裁令牌,離線簽署令牌,並通過網站上傳已簽名的令牌。使用 Amazon Dynamodb 存儲仲裁令牌和其他官員響應及其簽名的仲裁令牌。配置 AWS Step Functions 工作流程以協調官員通知、在 Amazon Dynamodb 中計算簽名令牌的數量,並在至少三名官員簽署令牌後通知發起官員。使用簽名的仲裁令牌來管理 CloudHSM。
B. 在與 Amazon API Gateway 集成的 Amazon S3 上創建一個靜態網站,以允許官員發起仲裁請求。使用該網站重定向官員以使用他們的聯合身份憑證登錄 Cloudhsm。一旦至少三名官員登錄到 CloudHSM。啓動同步仲裁令牌簽名過程。使用簽名的法定人數。用於管理 CloudHSM 的令牌。
C. 在 Application Load Balancer 後面的多個 Amazon EC2 實例上創建託管的仲裁簽名應用程序,以允許官員發起仲裁請求。要求官員使用他們的聯合身份憑證登錄應用程序。然後,每位官員將使用該應用程序來批准法定人數簽名請求。將應用程序配置爲使用 AWS STS 代表官員簽署 CloudHSM 仲裁令牌。至少三名官員批准仲裁簽名請求後,使用 EC2 IAM 服務角色通過簽名的仲裁令牌管理 Cloudhsm。
D. 使用 AWS Lambda 代理集成創建一個經過 Amazon Cognito 身份驗證的 Amazon API Gateway API 端點。允許官員在使用 Amazon Cognito 登錄後創建 Cloudhsm 仲裁令牌並將其發佈到 API Gateway API。將 Lambda 函數配置爲使用官員的 Amazon Cognito IAM 角色對仲裁令牌執行簽名過程,並將簽名令牌存儲在 Amazon Dynamodb 中。一旦至少三名官員簽署了仲裁令牌,就允許使用 POST 方法使用簽名令牌管理 Cloudhsm
答案:D