DOP-202503

No.6
一家公司要求账户之间共享的所有 AMI 都经过加密。 DevOps 工程师可以访问构建未加密自定义 AMI 的源账户。 DevOps 工程师还可以访问 Amazon EC2 Auto Scaling 组从 AMI 启动 EC2 实例的目标账户。 DevOps 工程师必须与目标账户共享 AMI。
该公司在源账户中创建了一个 AWS 密钥管理服务 (AWS KMS) 密钥。
DevOps 工程师应采取哪些额外步骤来满足要求？（选择三个。）

No.9
一家公司使用 AWS Key Management Service (AWS KMS) 密钥和手动密钥轮换来满足监管合规性要求。如果密钥在 90 天后仍未轮换，安全团队希望收到通知。
什么解决方案可以实现这一目标？

No.10
安全审查发现，AWS CodeBuild 项目正在使用未经身份验证的请求从 Amazon S3 存储桶下载数据库填充脚本。安全团队不允许对此项目的 S3 存储桶发出未经身份验证的请求。
我怎样才能以最安全的方式解决这个问题？

No.14
一位 DevOps 工程师正在为使用 AWS Lambda 函数的无服务器应用程序构建持续部署管道。该公司希望减少部署失败对客户的影响。我们也想监控这个问题。
哪个部署阶段配置满足这些要求？

No.25
一家公司有多个 AWS 账户。该公司使用与 AWS Toolkit for Microsoft Azure DevOps 集成的 AWS IAM Identity Center（AW​​S Single Sign-On）。访问控制功能的属性在 IAM 身份中心中启用。
属性映射列表包含两个条目：部门键映射到${path:enterprise.department}。 costCenter 键映射到 ${path:enterprise.costCenter}。
所有现有的 Amazon EC2 实例都有与公司中的三个部门相对应的部门标签：d1、d2 和 d3。 DevOps 工程师必须根据匹配的属性创建策略。该策略应最大限度地减少管理工作量，并允许每个 Azure AD 用户仅访问标有用户各自部门名称的 EC2 实例。
DevOps 工程师应在自定义权限策略中包含哪些条件键来满足这些要求？
A.
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": ["department"]
}
}

B.
"Condition": {
"StringEquals": {
"aws:PrincipalTag/department": "$(aws:ResourceTag/department)"
}
}

C.
"Condition": {
"StringEquals": {
"ec2:ResourceTag/department": "$(aws:PrincipalTag/department)"
}
}

D.
"Condition": {
"ForAllValues:StringEquals": {
"ec2:ResourceTag/department": ["d1", "d2", "d3"]
}
}

No.26
一家公司在其 AWS 账户中托管一个安全审计应用程序。审计应用程序使用 IAM 角色访问其他 AWS 账户。所有账户均位于 AWS Organizations 内的同一组织中。
最近的安全审计显示，被审计的 AWS 账户中的用户可以修改或删除审计应用程序的 IAM 角色。您的公司必须阻止除受信任的管理员 IAM 角色之外的任何实体修改审计应用程序的 IAM 角色。
哪种解决方案可以满足这些要求？

No.31
一家公司希望将其基于容器的应用程序迁移到 Amazon EKS 并建立自动电子邮件通知。发送到每个电子邮件地址的通知用于与 EKS 组件相关的特定活动。该解决方案包括一个 Amazon SNS 主题和一个 AWS Lambda 函数，用于评估传入的日志事件并将消息发布到适当的 SNS 主题。
哪种日志解决方案支持这些要求？

No.39
一家公司希望使用 AWS CloudFormation 进行基础设施部署。该公司对标记和资源有严格的要求，并希望将部署限制在两个地区。开发人员需要部署同一个应用程序的多个版本。
哪种解决方案可以确保资源按照公司政策进行部署？

No.41
DevOps 工程师使用 AWS CodePipeline 构建多阶段管道，用于构建、验证、暂存、测试和部署应用程序。测试和部署阶段之间需要手动批准阶段。开发团队使用支持 webhook 的自定义聊天工具，需要近乎实时的通知。
DevOps 工程师如何设置聊天工具来发布管道活动和批准请求的状态更新？

No.44
一家公司有一个应用程序，使用与 MySQL 兼容的 Amazon Aurora Multi-AZ DB 集群作为其数据库。创建跨区域只读副本是为了实现灾难恢复目的。在发生故障时，DevOps 工程师希望自动将副本提升为主数据库实例。
哪种解决方案可以实现这一目标？

No.50
一家公司已经将精心设计的结构实施到可全局访问的 API 堆栈中。该设计必须确保北美和欧洲用户的高可靠性和快速响应时间。

11. API 堆栈包括三层：

Amazon API 网关 -

AWS Lambda -

亚马逊 DynamoDB -

哪种解决方案符合您的要求？

No.52
一家公司使用 AWS Organizations 来管理多个账户。您的信息安全策略要求将所有未加密的 Amazon EBS 卷标记为不合规。 DevOps 工程师需要自动部署解决方案并确保始终存在此合规性检查。
哪种解决方案可以实现这一目标？

No.58
一家公司在 Amazon EC2 实例上运行应用程序。该公司使用一系列 AWS CloudFormation 堆栈来定义其应用程序资源。开发人员在笔记本电脑上构建和测试应用程序，并通过将构建输出和 CloudFormation 堆栈模板上传到 Amazon S3 来执行更新。在开发人员运行 CloudFormation 堆栈更新并在 EC2 实例上安装新版本的应用程序之前，开发人员的同事会检查这些更改。
当开发人员使用新应用程序更新每个 EC2 实例时，部署过程容易出错且耗时。该公司希望尽可能地实现应用程序部署流程的自动化，同时在进行任何应用程序或资源更改之前仍保留最终的手动批准步骤。
该公司已将其应用程序源代码和 CloudFormation 模板迁移到 AWS CodeCommit。您还可以创建一个 AWS CodeBuild 项目来构建和测试您的应用程序。
哪些步骤组合能够满足公司的要求？（选择两个。）

No.65
一家公司的应用程序当前部署在单个 AWS 区域中。最近，该公司在另一个大陆开设了一个新办事处。新办公室的用户遇到了较高的延迟。该公司的应用程序在应用程序负载均衡器 (ALB) 后面的 Amazon EC2 实例上运行，并使用 Amazon DynamoDB 作为数据库层。这些实例在跨多个可用区域的 EC2 Auto Scaling 组中运行。 DevOps 工程师的任务是最大限度地缩短应用程序响应时间并提高两个地区用户的可用性。
应采取哪些措施组合来解决延迟问题？（选择三项）

No.67
一家公司在 AWS Organizations 内的组织中拥有 AWS 账户。 AWS Config 在每个 AWS 账户中手动配置。该公司需要实施一项解决方案，为组织中的所有账户集中配置 AWS Config。该解决方案还要求将资源变化记录在中央账户中。
DevOps 工程师应采取哪些行动组合来满足这些要求？（选择两个。）

No.72
一家公司想要建立一条持续交付管道。该公司将其应用程序代码存储在私人 GitHub 存储库中。该公司需要在 Amazon Elastic Container Service (Amazon ECS)、Amazon EC2 和 AWS Lambda 上部署应用程序组件。管道必须支持手动批准操作。
哪种解决方案可以满足这些要求？

No.79
一家公司正在实施 AWS CodePipeline 来自动化其测试流程。我希望在执行状态失败时收到通知，因此我在 Amazon EventBridge 中使用了以下自定义事件模式：

{
"source": [
"aws.codepipeline"
],
"detail-type": [
"CodePipeline Action Execution State Change"
],
"detail": {
"state" [
"FAILED"
],
"type": {
"category": ["Approval"]
}
}
}
哪些类型的事件与此事件模式匹配？

No.81
一家公司管理一个将日志存储在 Amazon CloudWatch Logs 中的应用程序。该公司希望将日志存档到 Amazon S3 存储桶。 90 天后日志很少被访问，必须保留 10 年。

18. DevOps 工程师应采取哪些步骤组合来满足这些要求？（选择两个。）

No.83
一位 DevOps 工程师正在将公司应用程序的新版本部署到与 Amazon EC2 实例关联的 AWS CodeDeploy 部署组。一段时间后，部署失败。工程师注意到与特定部署 ID 相关的所有事件都处于“已跳过”状态，并且尚未将任何代码部署到与部署组相关的实例。
导致这次失败的正当理由是什么？（选择两个。）

No.85
您的应用程序在应用程序负载均衡器 (ALB) 后面的 Amazon EC2 实例上运行。一位 DevOps 工程师正在使用 AWS CodeDeploy 发布新版本。部署在 AllowTraffic 生命周期事件期间失败，但部署日志未指示失败的原因。
可能是什么原因造成的？

No.87
我有一个在 VPC 中运行的 Amazon EC2 实例，我需要从受限的 Amazon S3 存储桶下载对象。当 DevOps 工程师尝试下载对象时，他们会收到 AccessDenied 错误。
导致此错误的可能原因有哪些？（选择两个。）

No.89
一名 DevOps 工程师正在开展数据存档项目，将本地数据迁移到 Amazon S3 存储桶。 DevOps 工程师开发脚本，将一个月前的本地数据逐步存档到 Amazon S3。一旦数据传输到 Amazon S3，它就会从您的本地位置删除。该脚本使用 S3 PutObject 操作。
在代码审查期间，一名 DevOps 工程师发现该脚本并未检查数据是否已成功复制到 Amazon S3。 DevOps 工程师必须更新脚本以确保数据在传输过程中不会损坏。在删除本地数据之前，脚本应该使用 MD5 校验和验证数据完整性。
哪些脚本解决方案满足这些要求？（选择两个。）

No.91
一家公司开发了一个 AWS Lambda 函数来处理通过 API 收到的订单。该公司使用 AWS CodeDeploy 部署 Lambda 函数作为其 CI/CD 管道的最后一步。
一位 DevOps 工程师注意到，订购 API 在部署后会间歇性地失败几秒钟。经过一番调查，DevOps 工程师认为这是由于在调用 Lambda 函数之前数据库更改未完全传播造成的。
DevOps 工程师该如何克服这个问题？

No.93
企业需要其数据和应用程序的一致 RPO 为 2 小时，RTO 为 10 分钟。该应用程序使用 MySQL 数据库和 Amazon EC2 网络服务器。开发团队需要故障转移和灾难恢复策略。
哪种部署策略组合可以满足这些要求？（选择两个）

No.94
一家公司有一个由五个独立的 AWS Lambda 函数组成的应用程序。
DevOps 工程师使用 AWS CodePipeline 和 AWS CodeBuild 构建了 CI/CD 管道，以按顺序构建、测试、打包和部署每个 Lambda 函数。管道使用 Amazon EventBridge 规则来确保在对应用程序源代码进行更改后管道尽快启动。
使用该管道几个月后，DevOps 工程师意识到它花费的时间太长了。
DevOps 工程师应该实施什么来最好地提高管道速度？

No.96
一家公司正在部署使用 Amazon EC2 实例的新应用程序。该公司需要一个解决方案来查询应用程序日志和 AWS 账户 API 活动。
哪种解决方案可以满足这些要求？

No.97
一家公司希望确保其 EC2 实例的安全。如果在我的实例上发现任何新的漏洞，我希望收到通知，并且我还希望对我的实例上的所有登录活动进行审计跟踪。
哪种解决方案可以满足这些要求？

No.109
安全团队使用 AWS CloudTrail 检测公司 AWS 账户中的敏感安全问题。 DevOps 工程师需要一个解决方案来自动修复其 AWS 账户中已禁用的 CloudTrail。
有哪些解决方案可以最大限度地减少 CloudTrail 日志传送的停机时间？

No.116
一家公司最近将旧版应用程序从本地迁移到 AWS。该应用程序托管在 Amazon API Gateway 后面的应用程序负载均衡器后面的 Amazon EC2 实例上。该公司希望在推出新版本的应用程序时尽量减少对用户的干扰。如果出现问题，我们还希望能够快速回滚更新。
什么解决方案可以满足这些要求，同时最大限度地减少对应用程序的更改？

No.137
一家公司在自己的 VPC 中管理多租户环境，并在相应的 AWS 账户中配置了 Amazon GuardDuty。该公司将所有 GuardDuty 发现发送至 AWS Security Hub。
来自可疑来源的流量正在产生大量发现。 DevOps 工程师应该实施一种解决方案，当 GuardDuty 检测到新的可疑源时，自动拒绝跨 VPC 的流量。
哪种解决方案可以满足这些要求？

No.147
AnyCompany 使用 AWS Organizations 来创建和管理多个 AWS 账户。 AnyCompany 最近收购了一家规模较小的公司 Example Corp。在收购过程中，Example Corp 的单个 AWS 账户通过组织邀请加入了 AnyCompany 的管理账户。 AnyCompany 将新成员帐户移至专供 Example Corp 使用的 OU。
AnyCompany 的 DevOps 工程师有一个 IAM 用户，该用户承担名为 OrganizationAccountAccessRole 的角色来访问成员帐户。此角色配置了完全访问策略。当 DevOps 工程师尝试使用 AWS 管理控制台在 Example Corp 的新成员账户中担任角色时，该 DevOps 工程师收到以下错误消息：“一个或多个字段包含无效信息。请验证您的信息或联系您的管理员。”
哪种解决方案为 DevOps 工程师提供了访问新成员帐户的权限？

No.152
DevOps 工程师正在 EC2 Auto Scaling 组中的一组 Amazon EC2 实例中使用 AWS CodeDeploy。与 EC2 Auto Scaling 集成的关联 CodeDeploy 部署组配置为使用 CodeDeployDefault.OneAtATime 执行就地部署。在进行新的部署时，工程师注意到，尽管整体部署已成功完成，但五个实例中有两个仍然部署了以前的应用程序修订版。其余三个实例具有最新的应用程序修订版。
什么原因导致了这个问题？

No.154
一家公司使用 AWS Organizations 为每个部门创建单独的 AWS 账户。该公司需要自动化以下任务：
• 定期使用新补丁更新Linux AMI并生成黄金映像。
• 在黄金映像上安装新版本的 Chef 代理（如果可用）
• 将新生成的AMI 交付给部门账户。

13. 哪种解决方案需要的管理开销最少？

No.155
一家公司在 AWS 上有一个使用自动扩展功能的关键任务应用程序。该公司希望部署生命周期满足以下参数：
• 应一次部署一个应用程序实例，以便剩余的资源组能够继续处理流量。
• 该应用程序占用大量CPU，应密切监控。
• 如果部署实例的 CPU 利用率超过 85%，则部署应自动回滚。
哪种解决方案可以满足这些要求？

No.167
一家公司使用 AWS Organizations 中的组织来管理其 AWS 账户。该公司的自动化账户包含一个用于创建和配置新 AWS 账户的 CI/CD 管道。
该公司拥有一组内部服务团队，为组织内部的账户提供服务。服务团队通过一组服务账户进行运作。当通过 CreateAccount API 调用创建新账户时，服务团队希望在其服务账户上接收 AWS CloudTrail 事件。
如何与服务账户共享此 CloudTrail 事件？

No.177
一家公司在两个 AWS 区域部署了一个关键应用程序。该应用程序在两个区域中都使用应用程序负载均衡器 (ALB)。该公司拥有这两个 ALB 的 Amazon Route 53 别名 DNS 记录。
该公司使用 Amazon Route 53 应用程序恢复控制器来实现应用程序在两个区域之间的故障转移。 Route 53 ARC 配置包括两个区域的路由控制。该公司使用 Route 53 ARC 执行季度灾难恢复 (DR) 测试。
在最近的 DR 测试中，一位 DevOps 工程师意外关闭了两个路由控制。您的公司应确保至少一个路由控制始终处于打开状态。

16. 哪种解决方案可以满足这些要求？

No.180
一家公司正在使用 AWS CodePipeline 部署应用程序。根据新指南，任何应用程序更改在部署到生产之前都必须经过公司安全团队的一名成员的批准。必须记录并保留批准。
哪些行动组合可以满足这些要求？ （选择两个）

No.182
一家公司有多个开发小组，使用一个共享的 AWS 账户开展工作。当资源创建接近账户的服务限制时，该集团的高级经理希望通过第三方 API 调用收到警报。
哪种解决方案能够以最少的开发工作量实现这一目标？

No.185
一家公司通过电子商务网络应用程序销售产品。该公司需要一个以饼图形式显示产品交易详情的仪表板。该公司希望将该仪表板与公司现有的 Amazon CloudWatch 仪表板集成。
哪种解决方案能够最有效地满足这些要求？

No.192
软件团队使用 AWS CodePipeline 来自动化 Java 应用程序的发布管道。管道由源阶段、构建阶段和部署阶段组成。每个阶段包含一个 runOrder 值为 1 的操作。
该团队希望将单元测试集成到他们现有的发布流程中。团队需要一个仅部署通过所有单元测试的代码更改的解决方案。
哪种解决方案可以满足这些要求？