-
解决方案架构师正在设计一个可公开访问的 Web 应用程序,该应用程序位于以 Amazon 网站端点为源的 Amazon Cloudfront 分发版上。 部署解决方案时,网站返回错误 403:拒绝访问消息。 解决方案架构师应该采取哪些步骤来纠正问题?(选择两项)
A. 从 S3 存储桶中删除 S3 阻止公共访问选项
B. 从 S3 存储桶中删除请求者支付选项
C. 从 Cloudfront 发行版中删除源访问身份 (OAL)
D. 将存储类从 s3 Standard 更改为 S3 One Zone Infrequent Access(S3 One Zone-IA)
E. 禁用 S3 对象版本控制
答案:AB
-
公司要求所有内部应用程序连接都使用私有 IP 地址。 为促进此策略,解决方案架构师创建了接口端点以连接到 AWS 公共服务。 测试后,解决方案架构师注意到服务名称正在解析为公共 IP 地址,并且内部服务无法连接到接口端点。 解决方案架构师应该采取哪个步骤来解决这个问题?
A. 使用到接口端点的路由更新子网路由表
B. 在 VPC 属性上启用私有 DNS 选项
C. 在接口端点上配置安全组以允许连接到 AWS 服务。
D. 为内部应用程序配置一个带有条件转发器的 Amazon Route 53 私有托管区域
答案:B
-
一家电子商务公司有一个订单处理应用程序想要迁移到 AWS。 应用程序具有不一致的数据量模式,但需要始终可用。 订单必须在订单发生时按照收到的顺序进行处理。 解决方案架构师应该采取哪些步骤来满足这些要求?
A. 使用 AWS Transfer for SFTP 并在订单发生时上传。 使用多个可用区中的按需实例进行处理。
B. 使用带有 FIFO 的 Amazon SNS 并在订单发生时发送订单。 使用单个大型预留实例进行处理。
C. 使用 Amazon SQS 和 FIFO 并在订单发生时发送订单。 使用多个可用区中的预留实例进行处理。
D. 使用 Amazon SQS 和 FIFO 并在订单发生时发送订单。 使用多个可用区中的 Spot 实例进行处理。
答案:C
-
一家公司有一个网络应用程序,允许用户上传短视频。视频存储在 Amazon EBS 卷上,并由自定义识别软件进行分析以进行分类。该网站包含具有可变流量的静态内容,在某些月份达到峰值。该架构由在 Auto Scaling 组中运行的用于 Web 应用程序的 Amazon EC2 实例和在 Auto Scaling 组中运行以处理 Amazon SQS 队列的 EC2 实例组成。该公司希望重新构建应用程序以尽可能使用 AWS 托管服务来减少运营开销,并消除对第三方软件的依赖。哪种解决方案满足这些要求?
A. 将 Amazon ECS 容器用于 Web 应用程序,并将 Spot 实例用于处理 SQS 队列的扩展组。将自定义软件替换为 Amazon Rekognition 以对视频进行分类。
B. 将上传的视频存储在 Amazon EFS 中,并将文件系统挂载到 Web 应用程序的 EC2 实例。使用 AWS Lambda 函数处理 SQS 队列,该函数调用 Amazon Rekognition API 对视频进行分类。
C. 在 Amazon S3 中托管 Web 应用程序。将上传的视频存储在 Amazon S3 中。使用 S3 事件通知将事件发布到 SQS 队列。使用 AWS Lambda 函数处理 SQS 队列,该函数调用 Amazon Rekognition API 对视频进行分类。
D. 使用 AWS Elastic Beanstalk 在应用程序的 Auto Scaling 组中启动 EC2 实例,并启动一个工作环境来处理 SQS 队列。将自定义软件替换为 Amazon Rekognition 以对视频进行分类。
答案:C
-
一位解决方案架构师在 AWS 上设计了一个需要 99.99% 可用性的 Web 应用程序。该应用程序将由三层架构组成,在遇到高峰流量时每分钟支持 3000,000 个 Web 请求。该应用程序将使用 Amazon Route 53 进行 DNS 解析,Amazon CloudFront 作为内容交付网络 (CDN),一个用于负载平衡的弹性负载均衡器,Amazon EC2 Auto Scang 组来扩展应用层,以及 Amazon Aurora MySQL 作为后端数据库。后端数据库负载将平均 90% 读取和 10% 写入。该公司希望构建具有成本效益的解决方案,但可靠性至关重要。解决方案架构师应该使用哪一组策略?
A. 在单个 AWS 区域中构建应用程序。使用具有基于请求指标的动态扩展的 Auto Scaling 组将 EC2 应用程序层部署到三个可用区。使用具有两个 Aurora 副本的多可用区 Amazon Aurora MySQL 数据库集群。每个 Aurora 副本必须有足够的容量来支持 50% 的峰值读取查询。
B. 在单个 AWS 区域中构建应用程序。使用 Auto Scaling 组将 EC2 应用程序层部署到三个可用区,所需的最小容量足以每分钟处理 450,000 个请求。使用具有两个 Aurora 副本的多可用区 Amazon Aurora MYSQL 数据库集群每个 Aurora 副本必须有足够的容量来支持 100% 的峰值读取查询。
C. 在单个 AWS 区域中构建应用程序。使用 Auto Scaling 组将 EC2 应用程序层部署到两个可用区,该组的最小所需容量足以每分钟处理 30.0000 个请求,使用 Multi-az Amazon Aurora MYSQL 数据库集群和一个 Aurora 副本。 Aurora 副本必须有足够的容量来支持 50% 的峰值读写查询。
D. 在两个 AWS 区域构建应用程序。使用 Auto Scaling 组将 EC2 应用程序层部署到两个可用区,并根据第二个区域中每个区域的请求指标进行动态扩展,部署 Amazon Aurora MYSQL 跨区域副本,使用 Amazon Route 53 在区域之间分配流量和如果区域变得不可用,则配置故障转移
答案:B
-
一家公司使用负载均衡器将流量分配到单个可用区中的 Amazon EC2 实例。该公司关注安全性,并希望解决方案架构师重新构建解决方案以满足以下要求:
- 入站请求必须针对常见漏洞攻击进行过滤
- 被拒绝的请求必须发送给第三方审计应用程序
- 所有资源都应该是高可用的
哪种解决方案满足这些要求?
A. 使用应用程序 AMI 创建一个应用程序负载均衡器 (ALB) 并选择之前创建的 Auto Scaling 组作为目标来配置 Multi-az Auto Scaling 组。使用 Amazon Inspector 监控流向 ALB 和 EC2 实例的流量。在 WAF 中创建 Web ACL 使用 Web ACL 和 ALB 创建 AWS WAF。使用 AWS Lambda 函数频繁将 Amazon Inspector 报告推送到第三方审计应用程序
B. 配置应用程序负载均衡器 (ALB) 并将 EC2 实例添加为目标,在 WAF 中创建 Web ACL 使用 Web ACL 和 ALB 名称创建 AWS WAF,并使用 Amazon Cloudwatch Logs 启用日志记录。使用 AWS Lambda 函数频繁将日志推送到第三方审计应用程序
C. 配置应用程序负载均衡器 (ALB) 以及将 EC2 实例添加为目标的目标组。使用第三方审计应用程序的目标创建 Amazon Kinesis Data Firehose。在 WAF 中创建 Web ACL 使用 Web、ACL 和 ALB 创建 AWS WAF,然后通过选择 Kinesis Data Firehose 作为目标来启用日志记录。在 AWS Marketplace 中订阅 AWS 托管规则,选择 WAF 作为订阅者
D. 使用应用程序 AML 配置 Multi-az Auto Scaling 组。创建一个 Application Load Balancer (ALB) 并将之前创建的 Auto Scaling 组作为目标。使用第三方审计应用程序的目标创建 Amazon Kinesis Data Firehose。在 WAF 中创建 Web ACL 使用 WebACL 和 ALB 创建 AWS WAF,然后通过选择 Kinesis Data Firehose 作为目标启用日志记录在 AWS Marketplace 中订阅 AWS 托管规则,选择 WAF 作为订阅者。
答案:D
-
一家公司有多个开发团队在多个项目上进行协作。开发人员经常在项目之间移动,每个项目都需要访问不同的 AWS 资源集。但是,目前有 Web、移动和数据库开发项目。这组项目可能会随着时间的推移而改变。开发人员应完全控制分配给他们的项目的资源,并对所有其他项目的资源具有只读访问权限。当开发人员被分配到不同的项目或添加新的 AWS 资源时。公司要维修。
解决方案架构师应该推荐什么类型的控制策略?A. 为每个具有特定项目标签的项目创建一个策略文档,并允许完全控制具有匹配标签的资源 允许对所有其他资源进行只读访问。将项目特定的政策文件附加到该项目的 IAM 角色。更改项目时,更改分配给开发人员的 IAM 用户的角色。在创建新资源时为其分配特定的项目标签
B. 为每个需要访问 AWS 资源的项目创建一个 IAM 角色。将内联策略文档附加到角色,指定允许担任该角色的 AM 用户,完全控制属于项目的资源,并对帐户内的所有其他资源具有只读访问权限。更新策略文档资源集更改或开发人员更改项目
C. 创建客户管理 为需要访问 AWS 资源的每个项目指定完整的控制策略文档。指定对属于项目的资源的完全控制和对帐户内所有其他资源的只读访问权限。当开发人员的 IAM 用户更改项目时,将项目特定的策略文档附加到他们。当资源集更改时更新策略文档
D. 为需要访问 AWS 资源的每个项目创建客户管理策略文档 指定对属于项目的资源的完全控制以及对账户内所有其他资源的只读访问 将特定于项目的策略文档附加到 IAM group 当开发者更改项目时更改组成员资格 当设置为资源更改时更新策略文档。
答案:D
-
一家公司计划将单体应用程序重构为部署在 Aws 上的现代应用程序设计。需要升级 CI/CD 管道以支持具有以下要求的应用程序的现代设计:
- 它应该允许每小时发布几次更改
- 它应该能够尽快回滚更改。
哪种设计将满足这些要求?
A. 部署包含 AMI 的 CI/CD 管道以包含应用程序及其配置。通过替换 Amazon EC2 实例来部署应用程序。
B. 指定 AWS Elastic Beanstalk 在二级环境中暂存作为应用程序 CLCD 管道的部署目标。部署,交换临时和生产环境 URL。
C. 使用 AWS Systems Manager 为每个部署重新配置基础设施更新 Amazon EC2 用户数据以从 amazon S3 中提取最新的代码工件,并使用 Amazon Route 53 加权路由指向新环境。
D. 使用预构建的 AMI 作为自动扩展事件的一部分推出应用程序更新。使用新版本的 AMI 添加实例,并在部署事件期间逐步淘汰使用具有配置的终止策略的先前 AMI 版本的所有实例
答案:B
-
解决方案架构师正在将现有工作负载迁移到 AWS Fargate。该任务只能在 VPC 内的私有子网中运行,在该子网中没有从系统外部到应用程序的直接连接。当 Fargate 任务启动时,任务失败并显示以下错误:CannotPullcontainererror:API error(500):Get http:/111122223333.dkr.ecr.us-east 1.amazonaws.com/v2/net/http:request 在等待连接时被取消。解决方案架构师应该如何纠正这个错误?
A. 确保在启动任务时将任务设置为 ENABL ED 以进行自动分配公共 IP 设置
B. 确保在启动任务时将自动分配公共 IP 设置的任务设置为 DISABLED。在 VPC 的公共子网中配置 NAT 网关以将请求路由到互联网
C. 确保在启动任务时将任务设置为禁用自动分配公共 IP 设置。在 VPC 的私有子网中配置 NAT 网关以将请求路由到互联网
D. 确保在 Fargate 任务定义中将网络模式设置为桥接
答案:B
-
一家公司有一个照片共享社交网络应用程序。为了给用户提供一致的体验,该公司在发布到应用程序之前对用户上传的照片进行了一些图像处理。图像处理是使用一组 Python 库实现的。目前的架构如下:
- 图像处理 Python 代码在单个 Amazon EC2 实例中运行,并将处理后的图像存储在名为 ImageBucket 的 Amazon S3 存储桶中。
- 前端应用程序托管在另一个存储桶中,从 ImageBucket 加载图像以显示给用户。
随着全球扩张计划,该公司希望对其现有架构进行更改,以便能够根据对应用程序不断增长的需求进行扩展,并随着应用程序的扩展降低管理复杂性。
解决方案架构师应该进行哪些更改组合? (选择两项。)
A. 将图像处理 EC2 实例放入 Auto Scaling 组。
B. 使用 AWS Lambda 运行图像处理任务。
C. 使用 Amazon Rekognition 进行图像处理。
D. 在 ImageBucket 前面使用 Amazon CloudFront。
E. 在 Amazon ECS 集群中部署应用程序并应用 Service Auto Scaling。
答案:BD
-
一家公司使用 AWS Organizations 和一个名为 Production 的 OU 来管理多个账户。所有帐户都是生产 OU 的成员。管理员使用组织根目录中的拒绝列表 SCP 来管理对受限服务的访问。该公司最近收购了一个新业务部门,并邀请新部门现有的 AWS 账户加入该组织。加入后,新业务部门的管理员发现他们无法更新现有的 AWS Config 规则以满足公司的政策。
哪个选项将允许管理员进行更改并继续执行当前策略而不引入额外的长期维护?A. 删除限制访问 AWS Config 的组织的根 SCP。为公司的标准 AWS Config 规则创建 AWS Service Catalog 产品,并将它们部署到整个组织,包括新账户。
B. 为新帐户创建一个名为 Onboarding 的临时 OU。将 SCP 应用到 Onboarding OU 以允许 AWS Config 操作。完成对 AWS Config 的调整后,将新账户移至生产 OU。
C. 将组织的根 SCP 从拒绝列表 SCP 转换为允许列表 SCP,以仅允许所需的服务。将 SCP 临时应用于组织的根,该根仅允许对新账户中的委托人执行 AWS Config 操作。
D. 为新帐户创建一个名为 Onboarding 的临时 OU。将 SCP 应用到 Onboarding OU 以允许 AWS Config 操作。将组织的根 SCP 移动到生产 OU。完成对 AWS Config 的调整后,将新账户移至生产 OU。
答案:D
-
一家公司在其数据中心有一个 Microsoft SQL Server 数据库,并计划将数据迁移到 Amazon Aurora MySQL。该公司已经使用 AWS Schema Conversion Tool 将触发器、存储过程和其他架构对象迁移到 Aurora MySQL。该数据库包含 1 TB 数据,并且每天增长不到 1 MB。该公司的数据中心通过专用的 1Gbps AWS Direct Connect 连接连接到 AWS。该公司希望将数据迁移到 Aurora MySQL 并在最短的应用程序停机时间内执行重新配置。
哪种解决方案符合公司的要求?A. 在周末关闭应用程序。创建 AWS DMS 复制实例和任务以将现有数据从 SQL Server 迁移到 Aurora MySQL。执行应用程序测试并将数据迁移到新的数据库端点。
B. 创建 AWS DMS 复制实例和任务以将现有数据和持续复制从 SQL Server 迁移到 Aurora MySQL。执行应用程序测试并将数据迁移到新的数据库端点。
C. 在 Amazon S3 上创建 SQL Server 的数据库快照。将数据库快照从 Amazon S3 恢复到 Aurora MySQL。创建 AWS DMS 复制实例和任务,用于从 SQL Server 到 Aurora MySQL 的持续复制。执行应用程序测试并将数据迁移到新的数据库端点。
D. 在 Amazon S3 上创建 SQL Server 本机备份文件。创建 AWS DMS 复制实例和任务以将 SQL Server 备份文件恢复到 Aurora MySQL。创建另一个 AWS DMS 任务,用于从 SQL Server 到 Aurora MySQL 的持续复制。执行应用程序测试并将数据迁移到新的数据库端点。
答案:B
-
一家金融服务公司从其信用卡服务合作伙伴处收到一个定期数据馈送,每 15 分钟以明文形式发送大约 5,000 条记录,通过 HTTPS 直接传送到使用服务器端加密的 Amazon S3 存储桶中,该馈送包含敏感的信用卡主帐号(PAN) 数据,公司需要在将数据发送到另一个 S3 存储桶进行额外的内部处理之前自动屏蔽 PAN,公司还需要删除和合并特定字段,然后将记录转换为 JSON 格式。此外,未来可能会出现额外的提要,因此任何设计都需要易于扩展。
哪些解决方案将满足这些要求?A. 在文件传输时触发 Aws Lambda 函数,提取每条记录并将其写入 Amazon SQS 队列。当新消息到达 t sas 队列时触发另一个 Lambda 函数以处理记录,将结果写入 Amazon S3 中的临时位置。一旦 sqs 队列可用,触发最终的 Lambda 函数以将记录转换为 JSON 格式并将结果发送到另一个 S3 存储桶进行内部处理
B. 在文件传输时触发 Aws Lambda 函数,提取每条记录并将其写入 Amazon SQS 队列。将 AWS Fargate 容器应用程序配置为在 SQS 队列包含消息时自动扩展到单个实例让应用程序处理每条记录并将记录转换为 JSON 格式。当队列为空时,将结果发送到另一个 S3 存储桶进行内部处理并缩减 AWS Fargate 实例
C. 根据数据馈送格式创建 AWS Glue 爬虫和自定义分类器,并构建表定义以匹配 触发 AWS L ambda 函数字段交付以启动 AWS Glue ETL 作业以根据处理和转换要求转换整个记录 定义输出格式为 JSON 完成后,让 Etljobsend 结果到另一个 S3 存储桶进行内部处理
D. 基于数据源格式创建一个 Aws Glue 爬虫和自定义分类器,并构建一个表定义以匹配。在文件交付时执行 Amazon Athena 查询以启动 Amazon EMR ETL 作业,根据处理和转换要求。将输出格式定义为 JSON。完成后,将结果发送到另一个 S3 另一个 S3 存储桶进行内部处理并缩小 EMR 集群。
答案:A
-
一家公司正在手动将其应用程序部署到生产中,并希望转向更成熟的部署模式。 该公司已要求解决方案架构师设计一个利用当前 Chef 工具和知识的解决方案。 在部署到生产环境之前,必须将应用程序部署到暂存环境以进行测试和验证。 如果在部署后发现错误,任何新部署必须在 5 分钟内回滚。
解决方案架构师应该使用哪种 AWS 服务和部署模式来满足这些要求?A. 使用 Aws Elastic Beanstalk 并使用所有更新部署策略部署应用程序
B. 使用 Aws Codepipeline 并使用 rolin 更新部署 statey 部署 aplicaton
C. 使用 Aws Codebuild 并使用 Canary deploymen sreley 部署 apicaion
D. 使用 AWS OpsWorks 并使用蓝/绿部署策略部署应用程序
答案:D
-
解决方案架构师正在为公司移动应用程序的用户实施对 AWS 的联合访问。由于监管和安全要求,应用程序必须使用定制的解决方案来对用户进行身份验证,并且必须使用 AM 角色进行授权。以下哪些操作将启用身份验证和授权并满足要求?(选择两项)
A. 使用定制的 SAML 兼容解决方案进行身份验证,使用 AWS SSO 进行授权。
B. 使用 Amazon API Gateway 和 AWS Lambda 创建自定义构建的 LDAP 连接器进行身份验证。在 Amazon Dynamodb 中存储授权令牌,并使用另一个从 Dynamodb 读取凭证的 Lambda 函数验证授权请求
C. 使用定制的 OpenID Connect 兼容解决方案与 AWS SSO 进行身份验证和授权。
D. 使用定制的 Saml 兼容解决方案,该解决方案使用 LDAP 进行身份验证并使用 SAML 断言对 LAM 身份提供者执行授权。
E. 使用定制的 Opend Connect 兼容解决方案进行身份验证并使用 Amazon Cognito 进行授权
答案:AE
-
一本在线杂志将于本月推出其最新版本。此版本将率先在全球发行。该杂志的动态网站目前在 Web 层前面使用应用程序负载均衡器、用于 Web 和应用程序服务器的一组 Amazon EC2 实例以及 Amazone Aurora MySQL。网站的部分内容包括静态内容和几乎所有流量都是只读的。
解决方案架构师应该采取哪些步骤组合来减少全球受众的系统响应时间? (选择两项)A. 使用逻辑跨区域复制将 Aurora MYSQL 数据库复制到辅助区域,将 Web 服务器替换为 Amazon S3 以跨区域复制模式部署 S3 存储桶
B. 确保 Web 和应用程序层都在 Auto Scaling 组中。引入 AWS Direct Connect 连接 在世界各地的区域中部署 Web 和应用程序层
C. 将数据库从 Amazon Aurora 迁移到 Amazon RDS for MYSQL 确保所有三个应用层——Web、应用和数据库都在私有子网中
D. 使用 Aurora 全局数据库进行物理跨区域复制。将 Amazon S3 与跨区域替换用于静态内容和资源。在世界各地的区域中部署 Web 和应用程序层。
E. 引入基于延迟的路由和 Amazon Cloudfront 分发的 Amazon Route 53。确保 Web 和应用程序层都在 Auto Scaling 组中
答案:DE
-
一家公司在应用程序负载均衡器 (ALB) 后面的 ap-southeast-2 区域中部署了一个基于 Web 的应用程序。 AWS Certificate Manager (ACM) 已为 example.com 颁发了 TLS 证书。此证书部署到 ALB。 Amazon Route 53 中有一个记录集,例如与 ALB 关联的 example.com。由于应用程序负载增加,该公司希望使用 Amazon CloudFront。此转换不会导致应用程序停机。
哪些动作组合可以实现这一点? (选择三个。)A. 在 ap-southeast-2 区域中为 origin-example.com 和 example.com 创建新的 ACM 证书。将此证书与现有 ALB 关联 在 Route 53 中为与现有 ALB 关联的 origin.example.com 添加 DNS 条目ALB
B. 创建 Cloudfront 分配并使用与 ap- southeast-2 区域中的 ALB 关联的现有证书将 origin example com 设置为自定义来源
C. 在 us-east-1 区域为 example.com 创建一个新的 ACM 证书。创建 CloudFront 分配并使用 us-east-1 区域中的 ACM 证书。将 origin example.com 设置为自定义来源。
D. 将 Route 53 for example.com 更新为 CloudFront 分配的别名记录
E. 在 us-east-1 区域为 example.com 创建一个新的 ACM 证书。在 us-east-1 区域中创建一个新的 ALB 作为 Cloudfront 分配的来源 将与 ALB 关联的安全组附加到 Cloudfront 分配
F. 更新 ALB 安全组以仅允许从 CloudFront 边缘站点进行访问。
答案:CDF
-
移动应用程序变得非常流行,使用量从几百用户增加到数百万用户。用户捕获并上传城市内活动的图像,并提供评级和建议 数据访问模式是不可预测的。当前应用程序托管在应用程序负载均衡器 (ALB) 后面的 Amazon EC2 实例上。应用程序正在放缓,成本正在迅速增长。
解决方案架构师应该对应用程序架构进行哪些更改以控制成本和提高性能?A. 创建一个 Amazon Cloudfront 分配并将 ALB 放在分配后面。将静态内容存储在 Amazon S3 中的不频繁访问存储类中
B. 使用智能分层存储类将静态内容存储在 Amazon S3 存储桶中。在 S3 存储桶和 ALB 前面使用 Amazon Cloudfront 分配
C. 将 AWS Global Accelerator 放在 ALB 前面。将静态内容迁移到 Amazon EFS,然后在迁移过程中运行 AW Lambda 函数以调整图像大小
D. 将应用程序代码移动到 AWS Fargate 容器并用 Fargate 容器换出 EC2 实例。
答案:A
-
一家公司想要在 AWS 上运行无服务器应用程序 该公司计划在运行在 Amazon ECS 集群上的 Docker 容器中配置其应用程序 该应用程序需要一个 MYSQL 数据库,该公司计划使用 Amazon RDS 该公司有需要经常访问的文档前 3 个月,之后很少 文件必须保留多年。
满足这些要求的最具成本效益的解决方案是什么?A. 使用按需实例创建 ECS 集群 使用 Spot 实例在 Amazon RDS 中配置数据库及其只读副本。将文档存储在加密的 EBS 卷中,并创建一个 cron 作业以在 7 年后删除文档。
B. 使用 Spot 实例队列创建一个 ECS 集群,并启用 Spot Instance Draining。使用预留实例在 Amazon RDS 中配置数据库及其只读副本。使用生命周期策略将文档存储在安全的 Amazon S3 存储桶中,以将超过 3 个月的文档移动到 Amazon S3 Glacier。然后从 Amazon S3 Glacier 中删除超过 7 年的文档
C. 使用按需实例创建 ECS 集群 使用按需实例在 Amazon RDS 中配置数据库及其只读副本。将文档存储在 Amazon EFS 中 创建一个 cron 作业以将超过几个月的文档移动到 Amazon S3 Glacier。创建 AWS Lambda 函数以删除 S3 Glacier 中超过 7 年的文档
D. 使用 Spot 实例队列创建 ECS 集群并启用 Spot Instance Draining。使用按需实例在 Amazon RDS 中配置数据库及其只读副本。使用生命周期策略将文档存储在安全的 Amazon S3 存储桶中,将超过 3 个月的文档移动到 Amazon S3 Glacier,7 年后删除 Amazon S3 Glacier 中的文档
答案:B
-
解决方案架构师必须启用 AWS Cloudhsm M of N 访问控制(也称为仲裁身份验证机制),以允许安全人员对硬件安全模块 (HSM) 进行管理更改。新的安全策略规定,五个中的至少三个安全官员必须授权对 CloudHSM 进行任何管理更改。
哪种架构良好的设计可确保安全人员可以作为法定人数进行身份验证?A. 在与 Amazon API Gateway 集成的 Amazon S3 上创建一个静态网站,以允许官员发起仲裁请求。使用 Amazon SNS 将仲裁请求通知给官员。允许官员下载 Cloudhsm 仲裁令牌,离线签署令牌,并通过网站上传已签名的令牌。使用 Amazon Dynamodb 存储仲裁令牌和其他官员响应及其签名的仲裁令牌。配置 AWS Step Functions 工作流程以协调官员通知、在 Amazon Dynamodb 中计算签名令牌的数量,并在至少三名官员签署令牌后通知发起官员。使用签名的仲裁令牌来管理 CloudHSM。
B. 在与 Amazon API Gateway 集成的 Amazon S3 上创建一个静态网站,以允许官员发起仲裁请求。使用该网站重定向官员以使用他们的联合身份凭证登录 Cloudhsm。一旦至少三名官员登录到 CloudHSM。启动同步仲裁令牌签名过程。使用签名的法定人数。用于管理 CloudHSM 的令牌。
C. 在 Application Load Balancer 后面的多个 Amazon EC2 实例上创建托管的仲裁签名应用程序,以允许官员发起仲裁请求。要求官员使用他们的联合身份凭证登录应用程序。然后,每位官员将使用该应用程序来批准法定人数签名请求。将应用程序配置为使用 AWS STS 代表官员签署 CloudHSM 仲裁令牌。至少三名官员批准仲裁签名请求后,使用 EC2 IAM 服务角色通过签名的仲裁令牌管理 Cloudhsm。
D. 使用 AWS Lambda 代理集成创建一个经过 Amazon Cognito 身份验证的 Amazon API Gateway API 端点。允许官员在使用 Amazon Cognito 登录后创建 Cloudhsm 仲裁令牌并将其发布到 API Gateway API。将 Lambda 函数配置为使用官员的 Amazon Cognito IAM 角色对仲裁令牌执行签名过程,并将签名令牌存储在 Amazon Dynamodb 中。一旦至少三名官员签署了仲裁令牌,就允许使用 POST 方法使用签名令牌管理 Cloudhsm
答案:D