AWS SAP-C01 (191-200)

1. 一家企业公司希望对其在启用了完整功能的 AWS Organizations 中的所有账户实施成本控制。该公司已将组织单位 (OU) 映射到其业务单位，并希望针对这些业务单位的个人 AWS 支出进行计费。该公司的 AWS 账单最近出现了飙升，这引起了财务团队的关注。
   解决方案架构师需要调查峰值的原因，同时设计一种解决方案，该解决方案将跟踪组织中的 AWS 成本，并在业务部门的成本超过特定货币阈值时向所需团队发出通知。哪种解决方案将满足这些要求？

   A. 使用成本管理器解决额外成本的原因。设置 AWS Lambda 函数以通过 OU Store 中的每个 AWS 账户监控公司的 AWS 账单，该金额由财务团队在 AWS Systems Manager Parameter Store 中设置。在 Lambda 函数中编写自定义规则以验证 AWS 账户的任何隐藏成本。当超出预算阈值时，触发从 Lambda 函数到 Amazon SNS 主题的通知。

   B. 使用 AWS Trusted Advisor 解决额外费用的原因。设置一个 AWS Lambda 函数以通过 OU 中的每个 AWS 账户监控公司的 AWS 账单 在 AWS Systems Manager Parameter Store 中存储阈值金额财务团队。在 Lambda 函数中编写自定义规则以验证 AWS 账户的任何隐藏成本。当超出预算阈值时，使用 Amazon SNS 从 Lambda 函数向所需团队发送电子邮件

   C. 使用成本管理器解决额外成本的原因。通过对链接的账户进行分组，使用 AWS 预算创建预算，并使用财务团队为每个 OU 设置的金额为预算中的所需团队配置 Amazon SNS 通知。

   D. 使用 AWS Trusted Advisor 解决额外费用的原因。通过对关联账户进行分组，使用财务团队为每个 OU 设置的货币金额使用 Aws 预算创建预算。添加要在公司中使用的 Amazon EC2 实例类型作为预算过滤器。使用财务团队电子邮件地址的订阅配置 Amazon SNS 主题以接收预算通知。

   答案：C

2. 一家公司为其用户提供 AWS 解决方案 AWS Cloudformation 模板。用户在他们的帐户中启动模板，为他们提供不同的解决方案。用户希望改进解决方案的部署策略，同时保留执行以下操作的能力：

   • 将自己的功能添加到针对其特定部署的解决方案中
   • 对其更改运行单元测试
   • 为他们的部署打开和关闭功能。
   • 自动更新代码更改。
   • 为其部署运行安全扫描工具
     解决方案架构师应该使用哪些策略来满足需求？

   A. 允许用户将解决方案代码下载为 Docker 镜像。将 AWS Codebuild 和 AWS Codepipeline 用于 CI/CD 管道。将 Docker 映像用于不同的解决方案功能，并使用 AWS CLI 打开和关闭功能。使用 AWS Codedeploy 运行单元测试和安全扫描，以及部署和更新具有更改的解决方案。

   B. 允许用户下载解决方案代码工件。将 AWS Codecommit 和 AWS Codepipeline 用于 CI/CD 管道。将 AWS Amplify 插件用于不同的解决方案功能和用户提示来开启和关闭功能。使用 AWS Lambda 运行单元测试和安全扫描，使用 AWS Codebuild 部署和更新具有更改的解决方案

   C. 允许用户在其 Amazon S3 存储桶中下载解决方案代码工件。将 Amazon S3 和 AWS Codepipeline 用于 CI/CD 管道。将 Cloudformation Stacksets 用于不同的解决方案功能并打开和关闭功能。使用 AWS Lambda 运行单元测试和安全扫描，并使用 Cloudformation 部署和更新具有更改的解决方案

   D. 允许用户下载解决方案代码工件 将 AWS Code Commit 和 AWS Codepipeline 用于 CI/CD 管道 将 AWS 云开发工具包构造用于不同的解决方案功能，并使用清单文件打开和关闭功能。使用 AWS Codebuild 运行单元测试和安全扫描，以及部署和更新具有更改的解决方案

   答案：D

3. 一家公司正在运营一个大型客户服务呼叫中心，并使用自定义应用程序存储和处理通话录音。出于质量保证目的，大约 2% 的通话录音由离岸团队转录。转录这些录音最多需要 72 小时。记录在 90 天后存档到异地位置之前存储在 NFS 共享上。该公司使用 Linux 服务器来处理通话录音和管理转录队列。质量保证人员还可以申请对通话录音进行审查和评分。该公司计划将该系统迁移到 AWS，以降低存储成本和转录呼叫所需的时间。
   应该采取哪些行动来实现公司的目标？

   A. 从呼叫中心将通话录音上传到 Amazon S3。设置 S3 生命周期策略以在 90 天后将通话录音移至 Amazon S3 Glacier。使用 AWS Lambda 触发器通过 Amazon Transcribe 转录通话录音。使用 Amazon S3、Amazon AP 网关和 Lambda 来托管查看和评分应用程序。

   B. 从呼叫中心将通话录音上传到 Amazon S3。设置 S3 生命周期策略以在 90 天后将通话录音移至 Amazon S3 Glacier。使用 AWS Lambda 触发器通过 Amazon Mechanical Turk 转录通话记录。在 Application Load Balancer 后面的 Auto Scaling 组中使用 Amazon EC2 实例来托管审查和评分应用程序。

   C. 在 Application Load Balancer 后面的 Auto Scaling 组中使用 Amazon EC2 实例来托管审查和评分应用程序 从呼叫中心将通话录音上传到此应用程序，并将它们存储在 Amazon EFS 挂载点上。使用 AWS Backup 在 90 天后存档通话录音，使用 Amazon Transcribe 转录通话录音。

   D. 将通话录音从队列上传到 Amazon S3。设置 S3 生命周期策略以在 90 天后将通话录音移至 Amazon S3 Glacier。使用 Auto Scaling 组中的 Amazon EC2 实例将记录发送到 Amazon Mechanical Turk 以进行转换 使用队列中的对象数量作为扩展指标。使用 Amazon S3、Amazon APIGateway 和 AWS Lambda 来托管审查和评分应用程序

   答案：A

4. 解决方案架构师正在构建一个将在 AWS Fargate 中运行的容器化 NET Core 应用程序 应用程序的后端需要具有高可用性的 Microsoft SQL Server 应用程序的所有层都必须高度可用 用于连接到 SQL Server 的字符串的凭证不应该是存储在 .NET Core 前端容器内的磁盘上。解决方案架构师应该使用哪些策略来满足这些要求？

   A. 使用 Service Auto Scaling 设置 SQL Server 以在 Fargate 中运行。创建一个 Amazon ECS 任务执行角色，该角色允许 Fargate 任务定义获取在 Fargate 中运行的 SQL Server 的凭证的机密值。在 Fargate 任务定义的 secrets 部分中的 AWS Secrets Manager 中指定 secret 的 ARN 因此敏感数据可以作为环境变量注入到 ontainers 结构连接字符串。设置。 NET Core 服务在启动时读取应用程序到多个可用区中的应用程序负载均衡器后面的服务自动缩放

   B. 在 Amazon RDS 上创建 SQL Server 的多可用区部署。在 AWS Secrets Manager 中为 RDS 数据库的凭证创建一个密钥。创建一个 Amazon ECS 任务执行角色，允许 Fargate 任务定义获取 Secrets Manager 中 RDS 数据库凭证的密钥值。在 Fargate 任务定义的 secrets 部分中的 Secrets Manager 中指定 secret 的 ARN，以便在启动时将敏感数据作为环境变量注入容器中，以便读入应用程序以构建连接字符串 在中设置 NET Core 服务Fargate 在多个可用区中的应用程序负载均衡器后面使用 Service Auto Scaling

   C. 创建 Auto Scaling 组以在 Amazon EC2 上运行 SQL Server。在 AWS Secrets Manager 中为 EC2 上运行的 SQL Server 的凭证创建一个密钥。创建 Amazon ECS 任务执行角色，该角色允许 Fargate 任务定义获取 EC2 上 SQL Server 凭证的机密值 在 Fargate 任务定义的机密部分中的 Secrets Manager 中指定机密的 ARN 以便可以注入敏感数据进入容器作为启动时的环境变量，用于读入应用程序以构建连接字符串 设置。 NET Core 服务在多个可用区中的应用程序负载均衡器后面使用 Service Auto Scaling

   D. 在 Amazon RDS 上创建 SQL Server 的多可用区部署。在 AWS Secrets Manager 中为 RDS 数据库的凭证创建一个密钥。在 Fargate 任务定义中为 NET Core 容器创建非持久性空存储以存储敏感信息。创建一个 Amazon ECS 任务执行角色，允许 Fargate 任务定义获取 Secrets Manager 中 RDS 数据库凭证的密钥值。在 Fargate 任务定义的机密部分中的 Secrets Manager 中指定机密的 ARN，敏感数据可以写入。 NET Core 服务在多可用性应用程序负载均衡器后面使用 Serivce Auto Scaling

   答案：B

5. 一家公司在 VPC 内有一个内部 AWS Elastic Beanstalk 工作线程环境，该环境必须访问公共 Internet 上的 HTTPS 端点上可用的外部支付网关 API。由于安全策略，支付网关应用程序团队只能授予对一个公共 IP 地址的访问权限。
   哪种架构会搭建一个Elastic Beanstalk环境来访问公司的应用程序，而无需在公司端做多次更改？

   A. 将 Elastic Beanstalk 应用程序配置为将 Amazon EC2 实例放置在私有子网中，并具有到公有子网中 NAT 网关的出站路由。将弹性IP地址关联到支付网关应用端可以列入白名单的NAT网关。

   B. 配置 Elastic Beanstalk 应用程序以将 Amazon EC2 实例放置在具有 Internet 网关的公共子网中。将弹性IP地址关联到可以在支付网关应用端列入白名单的互联网网关

   C. 配置 Elastic Beanstalk 应用程序以将 Amazon EC2 实例放置在私有子网中。设置 HTTPS_PROXY 应用程序参数以将出站 HTTPS 连接发送到部署在公共子网中的 EC2 代理服务器。给EC2代理主机关联一个弹性IP地址，可以在支付网关应用端白名单

   D. 配置 Elastic Beanstalk 应用程序以将 Amazon EC2 实例放置在公共子网中。设置 HTTP_SPROXY 和 NO_PROXY 应用程序参数以将非 vpc 出站 HTTPS 连接发送到部署在公共子网中的 EC2 代理服务器。将弹性IP地址关联到EC2代理主机，可以在支付网关应用端加入白名单

   答案：A

6. 解决方案架构师正在构建用于更新由 Web 服务器启动的用户元数据的解决方案。该解决方案需要在不到 30 秒的时间内从数百个作业快速扩展到数万个作业。解决方案必须是异步的，总是可以避免的并最小化成本。
   解决方案架构师应该使用哪些策略来满足这些要求？

   A. 创建一个 AWS SWF 工作器，它将更新用户元数据更新 Web 应用程序以启动每个作业的新工作流。

   B. 创建将更新用户元数据的 AWS Lambda 函数。创建 Amazon SQS 队列并将其配置为 Lambda 函数的事件源。更新 Web 应用程序以将作业发送到队列。

   C. 创建将更新用户元数据的 AWS Lambda 函数。创建将触发 Lambda 函数的 AWS Step Functions。更新 Web 应用程序以启动每个作业的 Step Functions。

   D. 创建一个 Amazon SQS 队列。使用工作人员创建 AMI 以检查队列并更新用户元数据。使用新的 AMI 配置 Amazon EC2 Auto Scaling 组。更新 Web 应用程序以将作业发送到队列。

   答案：B

7. 一家公司正在从本地迁移到 AWS，并且刚刚部署了在 Linux 上运行的第一组应用程序。该公司将继续维护从本地主机到 AWS 的预流量。该公司希望降低解决方案的成本，并逐步将其整个工作负载迁移到 AWS。
   哪种解决方案将满足这些要求？

   A. 在本地和 VPC 之间建立 VPN 连接。创建 IAM 角色和权限以启用 AWS Systems Manager Session Manager。安装 Systems Manager 代理并启用 Systems Manager。根据策略限制创建 IAM 用户和标签

   B. 在本地和 VPC 之间建立 VPN 连接。使用 Amazon EC2 控制台创建密钥对。使用密钥对部署 EC2 实例 对于本地实例，部署与密钥对匹配的公钥。

   C. 在本地和 VPC 之间建立 AWS Direct Connect。创建 IAM 角色和权限以启用 AWS Systems Manager Session Manager。安装 Systems Manager 代理并启用 Systems Manager。根据策略限制创建 IAM 用户和标签

   D. 在本地和 VPC 之间建立 AWS Direct Connect。配置IPsec隧道。创建 IAM 角色和权限以启用 AWS Systems Manager Session Manager、安装 System Manager Agent 和 eable Systems Manager、基于 plicy 限制创建 IAM 用户和标签。

   答案：A

8. 解决方案架构师需要设计一个高度可用的应用程序，即使存在底层故障，该应用程序也将允许经过身份验证的用户与应用程序保持连接。哪种解决方案将满足这些要求？

   A. 在 Amazon EC2 实例上部署应用程序 使用 Amazon Route 53 将请求转发到 EC2 实例使用 Amazon Dynamodb 保存经过身份验证的连接详细信息

   B. 在 Auto Scaling 组中的 Amazon EC2 实例上部署应用程序。使用面向 Internet 的 Application Load Balancer 来处理请求。使用 Amazon DynamoDB 保存经过身份验证的连接详细信息。

   C. 在 Auto Scaling 组中的 Amazon EC2 实例上部署应用程序。在前端使用面向 Internet 的应用程序负载均衡器 使用 EC2 实例保存经过身份验证的连接详细信息

   D. 在 Auto Scaling 组中的 Amazon EC2 实例上部署应用程序。在前端使用面向 Internet 的 Application Load Balancer 使用托管 MYSQL 数据库的 EC2 实例来保存经过身份验证的连接详细信息

   答案：B

9. 一位解决方案架构师正在为公司即将推出的新应用程序设计数据存储和检索架构。该应用程序旨在每分钟从世界各地的设备中摄取数百万条小记录。每条记录的大小都小于 4 KB，需要存储在可以以低延迟检索的持久位置。数据是短暂的，公司只需要将数据存储 120 天，之后可以删除数据。解决方案架构师计算出，在一年中，存储需求约为 10-15 TB。哪种存储策略最符合设计要求？

   A. 将应用程序设计为将每个传入记录存储为单个记录。 Amazon S3 存储桶中的 CSV 文件 toa 生命周期策略以删除早于 120 天的数据

   B. 设计应用程序以将每个传入记录存储在为规模正确配置的 Amazon Dynamodb 表中，配置 Dynamodb 生存时间 (TTL) 功能以删除超过 120 天的记录。

   C. 设计应用程序将每条传入记录存储在 Amazon RDS MySQL 数据库的单个表中，运行每晚的 cron 作业，然后执行查询以删除 120 天以内的任何记录订单

   D. 将应用程序设计为在将传入记录写入 Amazon S3 存储桶之前对其进行批处理。更新对象的元数据以包含批处理中的记录列表并使用 Amazon S3 元数据搜索功能检索数据。配置生命周期策略以在 120 天后删除数据

   答案：B

10. 一家企业公司希望允许其开发人员通过 AWS Marketplace 购买第三方软件。公司使用 AWS Organizations 账户结构，启用了全部功能，并且在每个组织单位 (OU) 中都有一个 shsted 服务账户供采购经理使用，采购团队的政策表明开发人员应该能够获得第三方软件从批准列表中只有 AWS Marketplace 中的 Private Marketplace 来实现此要求，采购团队希望将 Private Marketplace 的管理限制为角色用户、组、roies 和公司中的帐户管理员应拒绝 Private Marketplace 管理访问。设计架构以满足这些要求的最有效方法是什么？

    A. 在组织的所有 AWS 账户中创建一个名为 purchase-manager-role 的 IAM 角色。将 Poweruseraccess 托管策略添加到角色。将内联策略应用于每个 AWS 账户中的所有 IAM 用户和角色，以拒绝对 AWSPrivateMarketplaceAdminFullAccess 托管策略的权限。

    B. 在组织的所有 AWS 账户中创建一个名为 purchase-manager-role 的 IAM 角色。将管理员访问托管策略添加到角色。使用 Awsprivatemarketplace Access 托管策略定义权限边界并将其附加到所有开发人员角色

    C. 在组织中的所有共享服务账户中创建一个名为 purchase-manager-role 的 IAM 角色 将 AWSPrivateMarketplaceAdminFullAccess 托管策略添加到该角色。创建组织根级 SCP 以拒绝除名为 purchase-manager-role 的角色之外的所有人管理私有市场的权限。创建另一个组织根级 SCP 以拒绝向组织中的每个人创建名为 purchase-manager-role 的 IAM 角色的权限

    D. 在开发人员将使用的 AWS 账户中创建一个名为 purchase-manager-role 的 IAM 角色。将 AWSPrivateMarketplaceAdminFullAccess 托管策略添加到角色。在组织中创建 SCP 以拒绝除名为 purchase-manager-role 的角色以外的所有人管理私有市场的权限 将 SCP 应用于组织中的所有共享服务帐户

    答案：C