AWS-DOP-C02 中文 - AWS練習問題集

AWS Certified DevOps Engineer – Professional 展示了在 AWS 上预置、操作和管理分布式应用程序系统方面的高级技术专长，增强了同行、同事和客户对他们的信心和信赖。拥有这些合格专业人员的组织可以确保快速交付安全、合规、高度可用且可扩展的系统。

■AWS-DOP-C02-(CN) All

/363

AWS-DOP-C02-(CN) All

1 / 363

No.1
一家公司有一个移动应用程序，可以向应用程序负载均衡器 (ALB) 发出 HTTP API 调用。 ALB 将请求路由到 AWS Lambda 函数。在任何给定时间都会使用应用程序的各种版本，包括仅由少数用户测试的版本。应用程序版本在每次向 API 发送的请求中的用户代理标头中定义。
在最近对 API 进行一系列更改之后，该公司注意到其应用程序存在问题。公司应该通过正在使用的每个应用程序版本的响应代码收集每个 API 操作的指标。 DevOps 工程师修改了 Lambda 函数，从用户代理标头和响应代码中提取 API 操作名称和版本信息。
DevOps 工程师应执行哪些额外的操作来收集所需的指标？

A.修改您的 Lambda 函数以将 API 操作名称、响应代码和版本号作为日志行写入您的 Amazon CloudWatch Logs 日志组。配置一个 CloudWatch Logs 指标过滤器，根据 API 操作名称增加指标。指定响应代码和应用程序版本作为度量维度。

B. 修改您的 Lambda 函数以将 API 操作名称、响应代码和版本号作为日志行写入您的 Amazon CloudWatch Logs 日志组。配置 CloudWatch Logs Insights 查询以从日志行填充 CloudWatch 指标。指定响应代码和应用程序版本作为度量维度。

C. 配置 ALB 访问日志以写入 Amazon CloudWatch Logs 日志组。修改您的 Lambda 函数以使用 API 操作名称、响应代码和版本号作为响应元数据来响应 ALB。配置一个 CloudWatch Logs 指标过滤器，根据 API 操作名称增加指标。指定响应代码和应用程序版本作为度量维度。

D.在您的 Lambda 函数中配置 AWS X-Ray 集成。修改您的 Lambda 函数以创建包含 API 操作名称、响应代码和版本号的 X-Ray 子分段。配置 X-Ray Insights 以提取每个 API 操作名称的聚合指标并将指标发布到 Amazon CloudWatch。指定响应代码和应用程序版本作为度量维度。

答案：A

解释

选项 A — 此选项是收集所需指标的最有效方法。它不需要额外的基础设施并且易于实施。

选项 B - 此选项比选项 A 更复杂，需要您配置 CloudWatch Logs Insights 查询。这需要时间来设置，如果查询未优化，则效率会很低。

选项 C - 此选项要求您配置 ALB 以将访问日志写入 CloudWatch Logs。这可能会增加请求的延迟。

选项 D - 此选项要求您配置 AWS X-Ray 集成。这是一个更复杂的解决方案，在这种情况下没有必要。

2 / 363

No.2
一家公司为其客户提供一款应用程序。该应用程序有一个调用 AWS Lambda 函数的 Amazon API Gateway REST API。初始化时，Lambda 函数会从 Amazon DynamoDB 表加载大量数据。数据加载过程导致冷启动时间较长，大概8-10秒。 DynamoDB 表配置了 DynamoDB Accelerator (DAX)。
客户报告说他们的应用程序偶尔需要很长时间才能响应请求。该应用程序全天接收数千个请求。在白天，您的应用程序所接收的请求数将比一天中任何其他时间多 10 倍。到了一天结束时，您的应用程序的请求量会下降到正常总量的 10％。
DevOps 工程师需要在一天中的任何时间减少其 Lambda 函数的延迟。
哪种解决方案可以满足这些要求？

A.在 Lambda 函数上配置预配置并发，并发值为 1。删除 DynamoDB 表的 DAX 集群。

B. 在您的 Lambda 函数上配置预留并发，并发值为 0。

C. 在您的 Lambda 函数上配置预配置并发。在您的 Lambda 函数上配置 AWS 应用程序自动扩展 (Auto Scaling)，预配置并发值最小为 1，最大为 100。

D.在您的 Lambda 函数上配置预留并发。使用 API 网关 API 配置 AWS 应用程序自动扩展，最大预留并发数为 100。

答案：C

解释：
为了减少 Lambda 函数全天的延迟，最好的解决方案是在 Lambda 函数上配置预配置并发数，并发值为 1，并在 Lambda 函数上配置 AWS 应用程序自动扩展，最小预配置并发数为 1，最大预配置并发数为 100（选项 C）。

预配置并发可确保您的 Lambda 函数始终具有一致数量的可用实例，从而缩短冷启动时间。将最小预配置并发数设置为 1，将最大预配置并发数设置为 100，可让您的 Lambda 函数处理突然激增的流量，并在流量较低时缩减规模，从而最大限度地降低成本。

3 / 363

No.3
一家公司采用 AWS CodeDeploy 使用 Apache Web 服务器自动执行 Java-Apache Tomcat 应用程序的应用程序部署。开发团队从概念验证开始，为开发人员环境创建了一个部署组，并在应用程序内执行功能测试。一旦完成后，团队将为暂存和生产环境创建额外的部署组。
目前，日志级别是在 Apache 配置中配置的，但团队希望能够在部署时动态更改此配置，从而允许他们根据部署组拥有不同的日志级别配置，而无需为每个组进行不同的应用程序修订。
如何以最少的管理开销满足这些要求，并且不需要为每个部署组提供不同的脚本版本？

A. 根据部署组标记 Amazon EC2 实例。然后，您在应用程序修订中放置一个脚本，该脚本调用元数据服务和 EC2 API 来识别实例属于哪个部署组。使用此信息来配置您的日志级别设置。在 appspec.yml 文件中将该脚本作为 AfterInstall 生命周期挂钩的一部分进行引用。

B. 创建一个脚本，使用 CodeDeploy 环境变量 DEPLOYMENT_GROUP_ NAME 来标识实例属于哪个部署组。使用此信息来配置您的日志级别设置。您可以在 appspec.yml 文件中将此脚本作为 BeforeInstall 生命周期挂钩的一部分进行引用。

C. 为每个环境创建 CodeDeploy 自定义环境变量。然后，在应用程序修订版中放置一个脚本，检查此环境变量以识别实例属于哪个部署组。使用此信息来配置您的日志级别设置。您可以在 appspec.yml 文件中将此脚本作为 ValidateService 生命周期挂钩的一部分进行引用。

D. 创建一个脚本，使用 CodeDeploy 环境变量 DEPLOYMENT_GROUP_ID 来识别实例所属的部署组并配置日志级别设置。您可以在 appspec.yml 文件中引用此脚本作为安装生命周期挂钩的一部分。

答案：B

解释：
文档：https://docs.aws.amazon.com/codedeploy/latest/userguide/reference-appspec-file-structure-hooks.html 指出“部署中的 Start、Install、TestTraffic、AllowTraffic 和 End 事件无法编写脚本，因此在此图中以灰色显示。”这就是为什么它不是 D。

https://aws.amazon.com/blogs/devops/using-codedeploy-environment-variables/

if [ "$DEPLOYMENT_GROUP_NAME" == "Staging" ]
then
sed -i -e 's/LogLevel warn/LogLevel debug/g' /etc/httpd/conf/httpd.conf
fi

4 / 363

No.4
一家公司要求其开发人员标记其账户中的所有 Amazon Elastic Block Store (Amazon EBS) 卷以指示其首选的备份频率。此要求还包括不需要备份的 EBS 卷。该公司使用名为 Backup_Frequency 的自定义标签，其值为 none、dally 和 weekly，与所需的备份频率相对应。在审计过程中，我们发现开发人员有时没有标记他们的 EBS 卷。
DevOps 工程师应确保所有 EBS 卷始终具有 Backup_Frequency 标签，以确保公司每周至少执行一次备份，除非指定了不同的值。
哪种解决方案可以满足这些要求？

A.在您的账户中设置 AWS Config。创建一个自定义规则，为所有未应用备份频率标签的 Amazon EC2 资源返回合规性错误。使用自定义 AWS Systems Manager Automation 运行手册配置补救措施，应用具有每周值的 Backup_Frequency 标签。

B.在您的账户中设置 AWS Config。使用托管规则，对于任何未应用备份频率标签的 EC2::Volume 资源，返回合规性失败。使用自定义 AWS Systems Manager Automation 运行手册配置补救措施，应用具有每周值的 Backup_Frequency 标签。

C. 在您的账户中打开 AWS CloudTrail。创建响应 EBS CreateVolume 事件的 Amazon EventBridge 规则。配置自定义 AWS Systems Manager Automation 运行手册，应用具有每周值的 Backup_Frequency 标签。指定运行手册作为规则的目标。

D. 在您的账户中打开 AWS CloudTrail。创建响应 EBS CreateVolume 或 EBS ModifyVolume 事件的 Amazon EventBridge 规则。配置自定义 AWS Systems Manager Automation 运行手册，应用具有每周值的 Backup_Frequency 标签。指定运行手册作为规则的目标。

答案：B

解释：

选项 A – 有效，但使用自定义规则。

选项 B - 这比选项 A 更容易，因为它使用现有的托管规则。

选项 C — 仅适用于新卷，不涉及现有资源。

选项 D——比 C 更好，但不能完全满足检查所有 EBS 卷并强制合规的要求。
最佳答案是B。

选项 B——>AWS 为 EC2::Volume 资源配置的托管规则 + 自定义 SSM 自动化文档
不是选项 A --> 因为它说的是所有 EC2::Instances 的自定义配置规则 + 托管 SSM 自动化文档
不是选项 C 和 D --> 因为它说 cloudtrail 用于记录 API 操作

5 / 363

No.5
一家公司使用 Amazon Aurora 集群作为其应用程序的数据存储。 Aurora 集群由单个数据库实例组成。您的应用程序使用集群实例的端点来执行数据库读写操作。
该公司已安排在即将到来的维护期内对集群进行更新。在维护期间，您的集群必须保持可用，并且中断最少。
DevOps 工程师应该怎么做才能满足这些要求？

A. 向 Aurora 集群添加读取器实例。更新您的应用程序以使用 Aurora 集群终端节点进行写入操作。更新 Aurora 集群的读取器终端节点以进行读取。

B. 向 Aurora 集群添加读取器实例。为您的集群创建自定义的 ANY 端点。更新您的应用程序以使用 Aurora 集群的自定义 ANY 终端节点进行读写操作。

C. 在您的 Aurora 集群上打开多可用区选项。更新您的应用程序以使用 Aurora 集群终端节点进行写入操作。更新 Aurora 集群的读取器终端节点以进行读取。

D. 在您的 Aurora 集群上打开多可用区选项。为您的集群创建自定义的 ANY 端点。更新您的应用程序以使用 Aurora 集群的自定义 ANY 终端节点进行读写操作。

答案：A

解释：
答案 B 和 D 不正确。 Aurora 集群提供了集群端点和读取器端点，但不支持创建自定义 ANY 端点。
答案 C 和 D 不正确。创建数据库实例时，必须配置 Amazon Aurora 的多可用区选项。
因此，A是正确答案。

配置后添加读取器实例相当于在创建时配置多可用区。如果主服务器发生故障，则读取器实例将自动提升为提供读取和写入服务。
此外，如果您使用集群读取器端点，您还可以使用读取器实例进行读取活动。可以向更靠近该地区的用户/应用程序提供该端点以提高性能。

6 / 363

No.6
一家公司要求账户之间共享的所有 AMI 都经过加密。 DevOps 工程师可以访问构建未加密自定义 AMI 的源账户。 DevOps 工程师还可以访问 Amazon EC2 Auto Scaling 组从 AMI 启动 EC2 实例的目标账户。 DevOps 工程师必须与目标账户共享 AMI。
该公司在源账户中创建了一个 AWS 密钥管理服务 (AWS KMS) 密钥。
DevOps 工程师应采取哪些额外步骤来满足要求？（选择三个。）

A. 在源账户中，将未加密的 AMI 复制到加密的 AMI。在复制操作中指定 KMS 密钥。

B. 在源账户中，将未加密的 AMI 复制到加密的 AMI。在复制操作中，指定默认的 Amazon Elastic Block Store (Amazon EBS) 加密密钥。

C. 在源账户中，创建一个 KMS 授权，将权限委托给目标账户中 Auto Scaling 组的服务相关角色。

D.在源账户中，修改密钥策略以在目标账户中授予创建权限。在目标账户中，创建一个 KMS 角色，将权限委托给 Auto Scaling 组的服务相关角色。

E. 在源账户中，与目标账户共享未加密的 AMI。

F. 在源账户中，与目标账户共享加密的 AMI。

答案：A、D、F

解释：

Share encrypted AMI across AWS accounts

选项 A - 无法选择 B，因为我正在使用 KMS

选项 D - 权限是临时的，必须与您的帐户共享

选项 F - 与目标共享 AMI

7 / 363

No.7
一家公司使用 AWS CodePipeline 管道来自动化应用程序发布。典型的管道由三个阶段组成：构建、测试和部署。该公司一直使用单独的 AWS CodeBuild 项目来运行每个阶段的脚本。但是，现在您想使用 AWS CodeDeploy 来处理管道的部署阶段。
该公司已将应用程序打包为 RPM 包，并需要将该应用程序部署到 Amazon EC2 实例群。 EC2 实例位于 EC2 Auto Scaling 组中，并从通用 AMI 启动。
DevOps 工程师应采取哪些步骤组合来满足这些要求？（选择两个。）

A. 创建安装了 CodeDeploy 代理的通用 AMI 的新版本。更新您的 EC2 实例的 IAM 角色以允许访问 CodeDeploy。

B. 创建安装了 CodeDeploy 代理的通用 AMI 的新版本。创建一个包含应用程序的部署脚本并允许访问 CodeDeploy 的 AppSpec 文件。

C.在 CodeDeploy 中创建一个应用程序。设置就地部署类型。指定 Auto Scaling 组作为部署目标。向您的 CodePipeline 管道添加一个步骤，以使用 EC2 Image Builder 创建新的 AMI。配置 CodeDeploy 以部署新创建的 AMI。

D.在 CodeDeploy 中创建一个应用程序。设置就地部署类型。指定 Auto Scaling 组作为部署目标。更新您的 CodePipeline 管道以使用 CodeDeploy 操作部署您的应用程序。

E.在 CodeDeploy 中创建一个应用程序。设置就地部署类型。指定从通用 AMI 启动的 EC2 实例作为您的部署目标。更新您的 CodePipeline 管道以使用 CodeDeploy 操作部署您的应用程序。

答案：A、D

解释：

选项 A - 您需要重建 AMI 并更新 EC2 实例的 IAM 角色以允许访问 CodeDeploy。

选项 B——不正确。 appspec 与权限无关。

选项 C——不正确。将新的 RPM 部署到 AMI。每次安装 RPM 时，您无需创建新的 AMI。

选项 D——针对 ASG

选项 E - 不正确，因为它指出实例位于 ASG 上。

8 / 363

No.8
一家公司的安全团队要求所有外部应用程序负载均衡器 (ALB) 和 Amazon API Gateway API 都与 AWS WAF Web ACL 关联。该公司拥有数百个 AWS 账户，全部包含在 AWS Organizations 内的单个组织内。该公司已为其组织设置了 AWS Config。在审计期间，该公司发现几个面向外部的 ALB 与 AWS WAF Web ACL 无关。
DevOps 工程师应采取哪些步骤来防止将来发生违规行为？（选择两个）

A. 将 AWS Firewall Manager 委托给安全账户。

B. 将 Amazon GuardDuty 委托给安全账户。

C. 创建 AWS Firewall Manager 策略以将 AWS WAF Web ACL 附加到新创建的 ALB 和 API 网关 API。

D. 创建 Amazon GuardDuty 策略并将 AWS WAF Web ACL 附加到新创建的 ALB 和 API 网关 API。

E.配置 AWS Config 托管规则以将 AWS WAF Web ACL 附加到新创建的 ALB 和 API 网关 API。

答案：A、C

解释：
当您看到 WAF 时，您应该想到 AWS 防火墙管理器。

由于 GuardDuty 仅发布调查结果，因此您可以筛选出调查结果。

据我所知，Config 仅提供通知。

9 / 363

No.9
一家公司使用 AWS Key Management Service (AWS KMS) 密钥和手动密钥轮换来满足监管合规性要求。如果密钥在 90 天后仍未轮换，安全团队希望收到通知。
什么解决方案可以实现这一目标？

A. 配置 AWS KMS，当密钥超过 90 天时发布到 Amazon Simple Notification Service (Amazon SNS) 主题。

B. 配置 Amazon EventBridge 事件以触发 AWS Lambda 函数，该函数调用 AWS Trusted Advisor API 并发布到 Amazon Simple Notification Service (Amazon SNS) 主题。

C. 制定自定义 AWS Config 规则，如果密钥超过 90 天，则发布到 Amazon Simple Notification Service (Amazon SNS) 主题。

D. 如果密钥超过 90 天，则配置 AWS Security Hub 以发布到 Amazon Simple Notification Service (Amazon SNS) 主题。

答案：C

解释：

选项 A - 这不适用，因为 KMS 不提供此功能。

选项 C-配置规则将通知您。

这一定是一条自定义规则。规则“access-keys-rotated”检查访问密钥，而不是 KMS 密钥。

事实上，对此有一个管理规则：
https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html
无论如何，缺乏这样的检查意味着无法使用值得信赖的顾问。此外，KMS 没有此操作，并且 Security Hub 不执行主动检查，它只对事件做出反应。

10 / 363

10.

No.10
安全审查发现，AWS CodeBuild 项目正在使用未经身份验证的请求从 Amazon S3 存储桶下载数据库填充脚本。安全团队不允许对此项目的 S3 存储桶发出未经身份验证的请求。
我怎样才能以最安全的方式解决这个问题？

A.将存储桶名称添加到 CodeBuild 项目设置的 AllowedBuckets 部分。更新构建规范以使用 AWS CLI 下载数据库填充脚本。

B. 修改您的 S3 存储桶设置以启用 HTTPS 基本身份验证并指定令牌。更新您的构建规范以使用 cURL 传递令牌来下载数据库填充脚本。

C. 使用存储桶策略从 S3 存储桶中删除未经授权的访问。修改 CodeBuild 项目的服务角色以包含 Amazon S3 访问权限。使用 AWS CLI 下载数据库填充脚本。

D.使用存储桶策略从 S3 存储桶中删除未经授权的访问。使用 AWS CLI 使用您的 IAM 访问密钥和秘密访问密钥下载数据库填充脚本。

答案：C

解释：
选项 C - 使用存储桶策略从 S3 存储桶中删除未经授权的访问。
修改 CodeBuild 项目的服务角色以包含 Amazon S3 访问权限。

11 / 363

11.

No.11
电子商务公司选择 AWS 来托管新平台。该公司的 DevOps 团队开始构建 AWS Control Tower 着陆区。 DevOps 团队将 AWS IAM Identity Center（AWS Single Sign-On）中的身份存储配置为指向外部身份提供商 (IdP)，并配置了 SAML 2.0。
DevOps 团队需要一个强大的权限模型来执行最小特权原则。这种模式要求团队只能构建和管理自己的资源。
哪些步骤组合可以满足这些要求？（选择三个）

A. 创建包含所需权限的 IAM 策略。包括 aws:PrincipalTag 条件键。

B.创建权限集。附加包含所需权限的内联策略并使用 aws:PrincipalTag 条件键来确定权限范围。

C. 在 IdP 中创建一个组。将用户分成几组。将组分配给 IAM Identity Center 中的账户和权限集。

D. 在您的 IdP 中创建一个组。将用户分成几组。将组分配给 OU 和 IAM 策略。

E. 在 IAM Identity Center 中启用访问控制属性。为用户应用标签。将标签映射为键值对。

F. 在 IAM 身份中心启用访问控制属性。将您的 IdP 的属性映射为键值对。

答案：B、C、F

解释：
我会选择 BCF。我无法对其原因发表太多评论，但我在工作中管理身份中心设置，并且我认为这些都是正确的。 IdP 具有属性，而不是标签，您需要依赖 IdP 的属性，例如：此外，由于您在大多数情况下都会处理权限集，因此有关权限集的三个答案将是一个完整的答案。它不直接使用 IAM 或标签来实现此目的。

这里明确说明了这一点：
https://aws.amazon.com/blogs/aws/new-attributes-based-access-control-with-aws-single-sign-on/
答案是 BCF - 权限集 + IDP 属性映射 + 组
例如，具有 IDP 属性 Dep/hr 的用户可以删除具有此特定标签的实例。

12 / 363

12.

No.12
电子商务公司报告称，反映其订单处理状态的订单历史页面出现延迟。订单处理系统由使用保留并发的 AWS Lambda 函数组成。 Lambda 函数处理来自 Amazon Simple Queue Service (Amazon SQS) 队列的订单消息，并将处理后的订单插入 Amazon DynamoDB 表中。 DynamoDB 表已启用读取和写入容量的自动扩展。
DevOps 工程师应采取哪些措施来解决此延迟？（选择两个）

A.检查您的 SQS 队列的 approximationAgeOfOldestMessage 指标。增加 Lambda 函数的并发限制。

B.检查 SQS 队列的 approximationAgeOfOldestMessage 指标。配置SQS队列的重新驱动策略。

C. 检查 SQS 队列的 NumberOfMessagesSent 指标。增加 SQS 队列的可见性超时。

D.检查 DynamoDB 表的 WriteThrottleEvents 指标。增加表的扩展策略中的最大写入容量单位 (WCU)。

E.检查 Lambda 函数的 Throttles 指标。增加 Lambda 函数超时。

答案：A、D

解释：

选项 A-检查 approximationAgeOfOldestMessage 并相应地增加并发性。

选项 D-检查 throttleevent（被拒绝的请求数）并相应增加最大写入量。

13 / 363

13.

No.13
一家公司拥有一个 AWS 账户，该账户在单个 AWS 区域运行数百个 Amazon EC2 实例。您的账户每小时启动和终止新的 EC2 实例。您的账户还包含已运行一周以上的现有 EC2 实例。
我公司的安全策略要求所有正在运行的 EC2 实例都使用 EC2 实例配置文件。如果 EC2 实例没有附加实例配置文件，则 EC2 实例必须使用未分配 IAM 权限的默认实例配置文件。
一位 DevOps 工程师检查了该账户，发现一个正在运行的 EC2 实例没有实例配置文件。在审查过程中，DevOps 工程师还发现，新的 EC2 实例在没有实例配置文件的情况下启动。
哪种解决方案可确保某个区域中所有现有和未来的 EC2 实例都附加有实例配置文件？

A.配置一个对 EC2 RunInstances API 调用做出反应的 Amazon EventBridge 规则。配置规则以调用 AWS Lambda 函数将默认实例配置文件附加到 EC2 实例。

B. 使用配置更改的触发类型和自动修复操作配置 ec2-instance-profile-attached AWS Config 托管规则，该规则调用 AWS Systems Manager Automation 运行手册将默认实例配置文件附加到 EC2 实例。

C. 配置响应 EC2 StartInstances API 调用的 Amazon EventBridge 规则。配置规则以调用 AWS Systems Manager Automation 运行手册，将默认实例配置文件附加到您的 EC2 实例。

D. 配置 iam-role-managed-policy-check AWS Config 托管规则，触发类型为配置变更，并配置自动补救操作以调用 AWS Lambda 函数并将默认实例配置文件附加到 EC2 实例。

答案：B

描述：使用 WS Config，特别是具有配置变更触发类型的“ec2-instance-profile-attached”托管规则。此规则可帮助您监控实例配置文件到 EC2 实例的附加情况。您可以在 AWS Config 中配置自动修复操作，以便在发现未附加实例配置文件的实例时做出响应。补救措施运行 AWS Systems Manager Automation 运行手册并将默认实例配置文件附加到这些实例。

14 / 363

14.

No.14
一位 DevOps 工程师正在为使用 AWS Lambda 函数的无服务器应用程序构建持续部署管道。该公司希望减少部署失败对客户的影响。我们也想监控这个问题。
哪个部署阶段配置满足这些要求？

A.使用 AWS 无服务器应用程序模型 (AWS SAM) 模板定义无服务器应用程序。使用 AWS CodeDeploy 以 Canary10Percent15Minutes 部署配置类型部署 Lambda 函数。使用 Amazon CloudWatch 警报监控您的功能的运行状况。

B. 使用 AWS CloudFormation 发布新的堆栈更新，以包含所有资源的 Amazon CloudWatch 警报。配置 AWS CodePipeline 批准操作，以使开发人员能够验证和批准 AWS CloudFormation 更改集。

C. 使用 AWS CloudFormation 在每次堆栈更新时发布新版本，并为所有资源包含 Amazon CloudWatch 警报。使用 AWS::Lambda::Alias 资源的 RoutingConfig 属性在堆栈更新期间更新流量路由。

D.使用 AWS CodeBuild 将示例事件负载添加到您的 Lambda 函数进行测试。发布函数的新版本并包含 Amazon CloudWatch 警报。更新生产别名以指向新版本。配置当警报处于 ALARM 状态时发生的回滚。

答案：A

解释：
认证提示：有关 Lambda 和 CloudFormation 的 99% 的问题都有 SAM 相关的答案。

减少对客户的影响：AWS CodeDeploy 使用金丝雀部署（Canary10Percent15Minutes）逐步推出新版本。最初，10% 的流量将被引导至新版本，如果一切顺利，剩余的流量将在 15 分钟内迁移完成。此次谨慎的推出将最大限度地降低对客户的风险和影响。

监控：您可以设置 Amazon CloudWatch 警报来跟踪功能错误、延迟和其他重要指标。如果出现任何问题，我们可以立即做出反应。

15 / 363

15.

No.15
为了运行该应用程序，DevOps 工程师在公共子网中启动具有公共 IP 地址的 Amazon EC2 实例。用户数据脚本检索应用程序工件并在启动时将其安装在实例上。应用程序的安全分类已发生改变，实例必须在没有互联网访问的情况下运行。实例成功启动并显示健康，但应用程序似乎未安装。
以下哪项是成功安装应用程序并遵守新规则的必需条件？

A.在附加了弹性 IP 地址的公共子网中启动实例。应用程序安装并运行后，稍后运行脚本以取消关联弹性 IP 地址。

B.配置NAT网关。将 EC2 实例部署到私有子网中。更新您的私有子网的路由表以使用 NAT 网关作为默认路由。

C. 将应用程序工件发布到 Amazon S3 存储桶并为 S3 创建 VPC 端点。为您的 EC2 实例分配一个 IAM 实例配置文件，以便它可以从您的 S3 存储桶读取应用程序工件。

D. 为应用程序实例创建一个安全组，并只允许到工件存储库的出站流量。安装完成后，删除安全组规则。

答案：C

解释：
B和C都可以使用，因为它们只需要在初始化时下载软件包。因此，不需要持续访问互联网。因此使用 S3 是便宜且最好的。

16 / 363

No.16
开发团队使用 AWS CodeCommit 对其应用程序代码进行版本控制，并使用 AWS CodePipeline 来协调软件部署。团队决定使用远程主分支作为管道集成代码更改的触发器。一名开发人员将代码更改推送到 CodeCommit 存储库，但随后发现 10 分钟后管道没有响应。

16. 您应采取下列哪种措施来解决此问题？

A. 验证是否已为主分支创建 Amazon EventBridge 规则以触发管道。

B. 验证 CodePipeline 服务角色是否有权限访问 CodeCommit 存储库。

C.验证开发人员的 IAM 角色是否有权限推送到 CodeCommit 存储库。

D.检查管道是否由于 Amazon CloudWatch Logs 中的 CodeCommit 错误而无法启动。

答案：A

解释：

选项 A - CodePipeline 不需要 EventBridge 规则即可从 CodeCommit 存储库触发。 CodePipeline 不需要 EventBridge 并且直接与 CodeCommit 集成。

选项 B——可能的原因。 CodePipeline 服务角色需要访问 CodeCommit 存储库的权限，以便在将新代码推送到存储库时启动管道执行。

选项 C - 如果开发人员可以将代码更改推送到 CodeCommit 存储库，那么与 CodeCommit 相关的 IAM 角色权限可能没问题。这不是问题。

选项 D - 如果管道无法启动，您可以从 CloudWatch Logs 获取信息。但是，只有管道实际尝试启动并失败时才会出现这些日志。如果管道没有启动，检查日志将无济于事。

17 / 363

17.

No.17
一家公司的开发人员使用 Amazon EC2 实例作为远程工作站。该公司担心用户可能能够创建或修改 EC2 安全组以允许不受限制的入站访问。
DevOps 工程师需要开发一种解决方案来检测用户何时创建不受限制的安全组规则。该解决方案应该近乎实时地检测安全组规则的变化，删除不受约束的规则，并向安全团队发送电子邮件通知。一名 DevOps 工程师创建了一个 AWS Lambda 函数，该函数从输入中检查安全组 ID、删除任何允许不受限制访问的规则，并通过 Amazon Simple Notification Service (Amazon SNS) 发送通知。
DevOps 工程师下一步应该做什么来满足要求？

A.配置一个由 SNS 主题调用的 Lambda 函数。为 SNS 主题创建 AWS CloudTrail 订阅。为安全组变更事件配置订阅过滤器。

B. 创建 Amazon EventBridge 计划规则来调用 Lambda 函数。定义一个计划模式来每小时运行一次 Lambda 函数。

C. 创建一个以默认事件总线为源的 Amazon EventBridge 事件规则。定义规则的事件模式以匹配 EC2 安全组创建和修改事件。配置规则以调用 Lambda 函数。

D. 创建一个 Amazon EventBridge 自定义事件总线，订阅来自所有 AWS 服务的事件。将您的 Lambda 函数配置为由自定义事件总线调用。

答案：C

解释：

选项 A — Lambda 必须由 Eventbridge 调用。这里使用SNS来发送活动后通知。

选项 B — 应在事件发生时采取行动，而不是按照计划采取行动。题目要求“近实时”，但是1小时并不是“近实时”。

选项 D – 订阅所有 AWS 服务的事件将产生大量成本。 AWS 事件发生在默认事件总线上，因此不需要自定义事件总线

18 / 363

18.

No.18
一名 DevOps 工程师正在创建 AWS CloudFormation 模板来部署 Web 服务。该 Web 服务在应用程序负载均衡器 (ALB) 后面的私有子网中的 Amazon EC2 实例上运行。 DevOps 工程师必须确保他们的服务可以接受来自具有 IPv6 地址的客户端的请求。
DevOps 工程师应该在 CloudFormation 模板中做什么来允许 IPv6 客户端访问 Web 服务？

A. 向 EC2 实例的 VPC 和私有子网添加 IPv6 CIDR 块。为您的 IPv6 网络创建路由表条目，使用支持 IPv6 的 EC2 实例类型，并为每个 EC2 实例分配一个 IPv6 地址。

B. 为每个 EC2 实例分配一个 IPv6 弹性 IP 地址。创建目标组并将 EC2 实例添加为目标。在 ALB 上的 443 端口上创建监听器，并将目标组与 ALB 关联。

C. 用网络负载均衡器 (NLB) 替换 ALB。向您的 VPC 和 NLB 的子网添加 IPv6 CIDR 块，并为 NLB 分配 IPv6 弹性 IP 地址。

D. 向 VPC 和 ALB 的子网添加 IPv6 CIDR 块。在端口 443 上创建监听器，并在 ALB 上指定双栈 IP 地址类型。创建目标组并将 EC2 实例添加为目标。将目标组与 ALB 关联。

答案：D

解释：
“要支持 IPv6，请使用“双栈” IP 地址类型配置您的应用程序负载均衡器或网络负载均衡器。这意味着客户端可以使用 IPv4 和 IPv6 地址与负载均衡器通信。对于双栈 IP 地址类型，负载均衡器的 DNS 名称同时提供 IPv4 和 IPv6 地址，并分别为它们创建 A 和 AAAA 记录。 “

https://docs.aws.amazon.com/whitepapers/latest/ipv6-on-aws/scaling-the-dual-stack-network-design-in-aws.html

19 / 363

19.

No.19
一家公司使用 AWS Organizations 和 AWS Control Tower 来管理公司的所有 AWS 账户。该公司正在实施企业支持计划。
一位 DevOps 工程师正在使用 Terraform 的 Account Factory (AFT) 来配置新账户。当配置新帐户时，DevOps 工程师注意到新帐户的支持计划设置为基本支持计划。 DevOps 工程师需要实施一项解决方案，以便通过企业支持计划配置新帐户。
哪种解决方案可以满足这些要求？

A.使用 AWS Config 一致性包部署 account-part-of-organizations AWS Config 规则，以自动修复不合规的账户。

B. 创建一个 AWS Lambda 函数来为 AWS Support 创建一张票，以将该账户添加到企业支持计划。授予 Lambda 函数 support:ResolveCase 权限。

C. 向 control_tower_parameters 输入添加一个值，并将 AWSEnterpriseSupport 参数设置为您组织的管理账号。

D. 在 AFT 部署输入配置中将 aft_feature_enterprise_support 功能标志设置为 True。重新部署 AFT 以应用更改。

答案：D

解释：
https://docs.aws.amazon.com/controltower/latest/userguide/aft-feature-options.html#enterprise-support-option

D. 在 AFT 部署输入配置中将 aft_feature_enterprise_support 功能标志设置为 True。重新部署 AFT 以应用更改。

AWS Organizations 是一项帮助您管理多个 AWS 账户的服务。 AWS Control Tower 是一项服务，可轻松设置和管理安全的多账户 AWS 环境。 Terraform 的账户工厂 (AFT) 是 AWS Control Tower 的一项功能，它使用 Terraform 模板配置新账户。

为了为新帐户提供企业支持计划，DevOps 工程师可以在 AFT 部署输入配置中将 aft_feature_enterprise_support 功能标志设置为 True。此标志为新配置的帐户启用企业支持计划。

20 / 363

20.

No.20
一家公司的 DevOps 工程师正在使用 AWS Systems Manager 在维护时段内执行维护任务。该公司有一些 Amazon EC2 实例在收到 AWS Health 通知后需要重新启动。 DevOps 工程师必须实施自动化解决方案来补救这些通知。 DevOps 工程师创建了 Amazon EventBridge 规则。
DevOps 工程师应该如何配置 EventBridge 规则以满足这些要求？

A. 配置一个AWS Health的事件源，EC2的一个服务，以及一个指示实例维护的事件类型。以 Systems Manager 文档为目标重新启动 EC2 实例。

B. 为 Systems Manager 配置一个事件源和一个事件类型来指示维护窗口。以 Systems Manager 文档为目标重新启动 EC2 实例。

C. 配置一个AWS Health的事件源，EC2的一个服务，以及一个指示实例维护的事件类型。瞄准新创建的 AWS Lambda 函数，该函数将注册一个自动化任务以在维护时段期间重新启动 EC2 实例。

D.配置EC2的事件源和指示实例维护的事件类型。瞄准新创建的 AWS Lambda 函数，该函数将注册一个自动化任务以在维护时段期间重新启动 EC2 实例。

答案：A

解释：
AWS 培训和认证模拟考试的正确答案是 A。

选项A看起来最合适：

将 AWS Health 配置为事件源可确保捕获与您的 EC2 实例相关的通知。

以 Systems Manager 文档为目标重新启动 EC2 实例与 Systems Manager 的自动化任务（例如重新启动实例）功能相一致。

选项 B 重点关注与维护时段相关的 Systems Manager 事件，这些事件可能与 AWS Health 为 EC2 实例维护触发的通知不直接一致。

21 / 363

21.

No.21
一家公司正在将其所有内部质量控制应用程序容器化。该公司在 Amazon EC2 实例上运行 Jenkins，需要修补和升级。合规官员已要求 DevOps 工程师开始加密构建工件，因为它们包含公司知识产权。
DevOps 工程师应该怎么做才能以最可维护的方式实现这一点？

A. 在您的 EC2 实例上使用 AWS Systems Manager 自动修补和升级，并默认加密 Amazon EBS 卷。

B. 将 Jenkins 部署到 Amazon ECS 集群并将构建工件复制到已启用默认加密的 Amazon S3 存储桶。

C. 在构建操作中利用 AWS CodePipeline 并使用 AWS Secrets Manager 加密工件。

D. 使用带有工件加密的 AWS CodeBuild 来替换在 EC2 实例上运行的 Jenkins 实例。

答案：D

解释：
在这个问题中我想知道哪种解决方案最易于维护。不要被有关当前环境的信息误导，这一点很重要。唯一重要的是他们提出的问题。问题是问哪种解决方案最“可维护”。问题并不是问是否可以轻松地从一种解决方案迁移到另一种解决方案，或者像其余环境一样利用容器。

作为一项托管服务，AWS CodeBuild 不需要修补或升级。 AWS CodeBuild 与 Amazon S3 结合提供自动工件加密。因此，该解决方案是列出的所有解决方案中最容易维护的。

https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html
https://docs.aws.amazon.com/codebuild/latest/userguide/security-encryption.html

22 / 363

22.

No.22
IT 团队构建了 AWS CloudFormation 模板，以便公司中的其他人能够快速可靠地部署和终止应用程序。该模板会创建一个 Amazon EC2 实例，其中包含一个用于安装应用程序的用户数据脚本和一个应用程序在运行时用于提供静态网页的 Amazon S3 存储桶。
当您删除 CloudFormation 堆栈时，所有资源都应被删除。然而，团队注意到CloudFormation在删除堆栈时报告了错误，并且堆栈创建的S3存储桶未被删除。
团队如何以最有效的方式解决错误，以便所有资源都被无错误地删除？

A. 将 DelelionPolicy 属性添加到值为 Delete 的 S3 存储桶资源将在删除堆栈时强制删除该存储桶。

B. 使用 AWS Lambda 函数添加自定义资源，并在 DependsOn 属性中指定 S3 存储桶和 IAM 角色。如果 RequestType 为 Delete，则编写一个 Lambda 函数来从存储桶中删除所有对象。

C. 识别未被删除的资源。手动清空然后删除 S3 存储桶。

D.用单个 AWS OpsWorks Stacks 资源替换 EC2 和 S3 存储桶资源。为您的堆栈定义自定义配方以创建和删除 EC2 实例和 S3 存储桶。

答案：B

解释：
B是正确的：
- 您需要检查 S3，因为您无法删除它
- ACF 有几种删除策略选项，包括删除、保留和快照。对于 S3，即使有删除标志，也只有在删除所有对象后才能删除 S3
答：错误 - 在删除策略中添加删除标志不会强制删除 S3
C：不要手动运行任务
D：不要切换到AWS OpsWorks

23 / 363

23.

No.23
一家公司拥有一个 AWS CodePipeline 管道，该管道在 eu-west-1 区域配置了一个 Amazon S3 存储桶。管道在同一区域部署 AWS Lambda 应用程序。管道由 AWS CodeBuild 项目构建操作和 AWS CloudFormation 部署操作组成。
CodeBuild 项目使用 aws cloudformation package AWS CLI 命令来构建包含 Lambda 函数代码的 .zip 文件和 CloudFormation 模板的工件。 CloudFormation 部署操作引用了 CodeBuild 项目的构建操作的输出工件中的 CloudFormation 模板。
该公司希望使用 eu-west-1 中的管道将 Lambda 应用程序部署到 us-east-1 区域。一名 DevOps 工程师已更新 CodeBuild 项目，以使用 aws cloudformation package 命令在 us-east-1 中生成额外的输出工件。
为了满足这些要求，DevOps 工程师应采取哪些额外步骤组合？（选择两个）

A.修改您的 CloudFormation 模板以包含 Lambda 函数代码 zip 文件位置的参数。在管道中的 us-east-1 中创建一个新的 CloudFormation 部署操作。配置新的部署操作并将 us-east-1 工件位置作为参数覆盖传入：

B. 在管道中的 us-east-1 中创建一个新的 CloudFormation 部署操作。配置新的部署操作以使用 us-east-1 输出工件中的 CloudFormation 模板。

C. 在 us-east-1 中创建一个 S3 存储桶。配置您的 S3 存储桶策略以允许 CodePipeline 读取和写入访问。

D. 在 us-east-1 中创建一个 S3 存储桶。配置从 eu-west-1 中的 S3 存储桶到 us-east-1 中的 S3 存储桶的 S3 跨区域复制 (CRR)。

E. 修改管道以将 us-east-1 中的 S3 存储桶作为工件存储包含其中。在您的管道中为 us-east-1 创建一个新的 CloudFormation 部署操作。配置新的部署操作以使用来自 us-east-1 输出工件的 CloudFormation 模板。

答案：C、E

解释：
具体如下： C，因为您需要新区域中的 S# 存储桶。我们需要将工件输出到这个新的存储桶中，所以 E。
https://docs.aws.amazon.com/codepipeline/latest/userguide/actions-create-cross-region.html

设想：
- 您在 RegionA（eu-west-1 区域）有一个管道
- RegionA（eu-west-1 区域）有一个部署操作
要求：
- 必须部署在 RegionB（us-east-1 区域）
- 继续使用上面的 RegionA 管道（eu-west-1 区域）

24 / 363

24.

No.24
一家公司在单个 Amazon EC2 实例上运行应用程序。应用程序元数据存储在 Amazon S3 中，如果重新启动实例，则必须检索它。如果实例无响应，则应重新启动或自动重启。
哪种解决方案可以满足这些要求？

A. 为 StatusCheckFailed 指标创建 Amazon CloudWatch 警报。使用恢复操作停止并启动实例。当实例重新启动并运行时，使用 S3 事件通知将元数据推送到实例。

B. 配置 AWS OpsWorks 以使用自动修复功能停止和启动实例。它使用 OpsWorks 生命周期事件从 Amazon S3 中提取元数据并在实例上更新它。

C. 使用 EC2 自动恢复在发生故障时自动停止和启动实例。当实例重新启动并运行时，使用 S3 事件通知将元数据推送到实例。

D. 使用 AWS CloudFormation 创建一个包含 EC2 资源的 UserData 属性的 EC2 实例。向 UserData 添加命令以从 Amazon S3 检索应用程序元数据。

答案：B

解释：
Amazon CloudWatch 恢复操作和 EC2 自动恢复均旨在响应系统状态检查失败，而不是实例状态检查失败。虽然系统状态检查失败表明底层硬件存在问题，但实例状态检查失败通常与实例内部的问题有关（例如操作系统级别的问题）。

如果您的要求是处理由于系统级和实例级问题导致的无响应，那么选项 A 和 C 都不能完全满足您的要求。在这种情况下，具有自动修复功能的 AWS OpsWorks（选项 B）可能是更好的选择。 OpsWorks 让您可以配置更复杂的健康检查，并且可以从系统级和实例级问题中恢复。

因此，如果您想处理这两种类型的无回应情况，选项 B 是最全面的解决方案。

B：正确。 AWS OpsWorks Auto Healing 监控您的 EC2 实例的运行状况。如果发生故障，则重新启动 EC2 并将数据从 S3 拉取到 EC2
答：这是不正确的，因为它没有提到如何触发 S3，并且 S3 不会自行触发
C：不正确，因为它没有提到如何触发 S3，并且 S3 不会自行触发
D：云形成仅用于部署，此任务与操作工作有关

25 / 363

25.

No.25
一家公司有多个 AWS 账户。该公司使用与 AWS Toolkit for Microsoft Azure DevOps 集成的 AWS IAM Identity Center（AWS Single Sign-On）。访问控制功能的属性在 IAM 身份中心中启用。
属性映射列表包含两个条目：部门键映射到${path:enterprise.department}。 costCenter 键映射到 ${path:enterprise.costCenter}。
所有现有的 Amazon EC2 实例都有与公司中的三个部门相对应的部门标签：d1、d2 和 d3。 DevOps 工程师必须根据匹配的属性创建策略。该策略应最大限度地减少管理工作量，并允许每个 Azure AD 用户仅访问标有用户各自部门名称的 EC2 实例。
DevOps 工程师应在自定义权限策略中包含哪些条件键来满足这些要求？
A.
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": ["department"]
}
}

B.
"Condition": {
"StringEquals": {
"aws:PrincipalTag/department": "$(aws:ResourceTag/department)"
}
}

C.
"Condition": {
"StringEquals": {
"ec2:ResourceTag/department": "$(aws:PrincipalTag/department)"
}
}

D.
"Condition": {
"ForAllValues:StringEquals": {
"ec2:ResourceTag/department": ["d1", "d2", "d3"]
}
}

A. "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": ["department"] } }

B. "Condition": { "StringEquals": { "aws:PrincipalTag/department": "${aws:ResourceTag/department}" } }

C. "Condition": { "StringEquals": { "ec2:ResourceTag/department": "${aws:PrincipalTag/department}" } }

D. "Condition": { "ForAllValues:StringEquals": { "ec2:ResourceTag/department": ["d1", "d2", "d3"] } }

答案：C

解释：
C 是正确答案。如果 EC2 部门标签与用户（主体标签）部门标签相同，则允许访问。
答：你的语法不正确。应该仅是 StringEquals
B：它正在检查 EC2 标签，而不是 AWS 标签。
D：通过此配置，所有案例都会匹配，并且您将可以访问所有 EC2，无论部门如何。

26 / 363

26.

No.26
一家公司在其 AWS 账户中托管一个安全审计应用程序。审计应用程序使用 IAM 角色访问其他 AWS 账户。所有账户均位于 AWS Organizations 内的同一组织中。
最近的安全审计显示，被审计的 AWS 账户中的用户可以修改或删除审计应用程序的 IAM 角色。您的公司必须阻止除受信任的管理员 IAM 角色之外的任何实体修改审计应用程序的 IAM 角色。
哪种解决方案可以满足这些要求？

A.创建一个包含用于修改审计应用程序的 IAM 角色的拒绝语句的 SCP。包括允许受信任的管理员 IAM 角色进行更改的条件。将 SCP 附加到您的组织的根目录。

B. 创建一个 SCP，其中包含允许受信任的管理员 IAM 角色修改审计应用程序的 IAM 角色的语句。包含对任何其他 IAM 主体所做的任何更改的拒绝声明。将 SCP 附加到审计应用程序具有 IAM 角色的每个 AWS 账户中的 IAM 服务。

C. 创建一个 IAM 权限边界，其中包括用于修改审计应用程序的 IAM 角色的拒绝语句。包括允许受信任的管理员 IAM 角色进行更改的条件。将权限边界附加到您想要审计的 AWS 账户。

D.创建一个 IAM 权限边界，其中包括用于修改审计应用程序的 IAM 角色的拒绝语句。包括允许受信任的管理员 IAM 角色进行更改的条件。将权限边界附加到 AWS 账户中审计应用程序的 IAM 角色。

答案：A

解释：
服务控制策略 (SCP) 是限制组织级别权限的好方法。在这种情况下，它用于限制对审计应用程序使用的 IAM 角色的更改，但仍允许受信任的管理员进行更改。选项 C 和 D 效果较差，因为 IAM 权限边界适用于 IAM 实体（用户、组和角色）而不是账户本身，并且必须适用于账户中的所有 IAM 实体。

27 / 363

27.

No.27
一家公司有一个用 Go 编写的内部部署应用程序。 DevOps 工程师需要将他们的应用程序迁移到 AWS。该公司的开发团队希望实现蓝/绿部署并执行 A/B 测试。
哪种解决方案可以满足这些要求？

A. 将您的应用程序部署到 Amazon EC2 实例并创建该实例的 AMI。使用 AMI 创建 Auto Scaling 组使用的自动扩展启动配置。使用 Elastic Load Balancing 来分配流量。当对应用程序进行更改时，将创建一个新的 AMI 并启动对 EC2 实例的更新。

B.使用 Amazon Lightsail 部署您的应用程序。将应用程序以 zip 格式保存到 Amazon S3 存储桶。您将使用此 zip 版本将应用程序的新版本部署到 Lightsail。使用 Lightsail 的部署选项来管理您的部署。

C. 使用 AWS CodeArtifact 存储您的应用程序代码。使用 AWS CodeDeploy 将您的应用程序部署到 Amazon EC2 实例队列。使用 Elastic Load Balancing 将流量分配到您的 EC2 实例。当您对应用程序进行更改时，您会将新版本上传到 CodeArtifact 并创建新的 CodeDeploy 部署。

D. 使用 AWS Elastic Beanstalk 来托管应用程序。将应用程序的压缩版本存储在 Amazon S3 中。您将使用该位置来部署应用程序的新版本。使用 Elastic Beanstalk 管理您的部署选项。

答案：D

解释：
D. 使用 AWS Elastic Beanstalk 来托管应用程序。将应用程序的压缩版本存储在 Amazon S3 中。您将使用该位置来部署应用程序的新版本。使用 Elastic Beanstalk 管理您的部署选项。

AWS Elastic Beanstalk 提供了一个部署 Web 应用程序的平台，适用于需要蓝/绿部署和 A/B 测试的用例。 Elastic Beanstalk 可以部署用多种编程语言和框架编写的应用程序，其中包括 Go。 Elastic Beanstalk 支持蓝/绿部署，允许您在切换流量之前将应用程序的新版本部署到单独的环境。这使您可以在完全部署应用程序的新版本之前对其执行 A/B 测试。 Elastic Beanstalk 还允许您管理部署选项，例如部署策略、实例类型和自动扩展选项。

28 / 363

28.

No.28
一位开发人员管理着 50 台 Amazon EC2 Linux 服务器。这些服务器是 Amazon EC2 Auto Scaling 组的一部分，也使用 Elastic Load Balancing 进行负载分配。
有时，一些应用程序服务器在 ELB HTTP 健康检查失败后会被终止。开发人员想要对问题进行根本原因分析，但服务器在他们访问应用程序日志之前终止。
如何实现日志收集自动化？

A.使用 Auto Scaling 生命周期挂钩将实例置于 Pending:Wait 状态。在 EC2 实例成功终止时创建 Amazon CloudWatch 警报，触发 AWS Lambda 函数，该函数调用 SSM Run Command 脚本来收集日志、将其推送到 Amazon S3，并在收集到日志后完成生命周期操作。

B. 使用 Auto Scaling 生命周期挂钩将实例置于 Terminating:Wait 状态。为 EC2 实例终止生命周期操作创建 AWS Config 规则，触发步骤函数，该函数调用脚本来收集日志、将其推送到 Amazon S3，并在收集到日志后完成生命周期操作。

C. 使用 Auto Scaling 生命周期挂钩将实例置于 Terminating:Wait 状态。在成功终止 EC2 实例时创建 Amazon CloudWatch 订阅过滤器，触发 CloudWatch 代理调用脚本来收集日志、将其推送到 Amazon S3，并在收集到日志后完成生命周期操作。

D. 使用 Auto Scaling 生命周期挂钩将实例置于 Terminating:Wait 状态。为 EC2 实例终止生命周期操作创建 Amazon EventBridge 规则，以触发 AWS Lambda 函数，该函数调用 SSM Run Command 脚本来收集日志、将其推送到 Amazon S3，并在收集到日志后完成生命周期操作。

答案：D

解释：
D. 使用 Auto Scaling 生命周期挂钩将实例置于 Terminating:Pending 状态。为 EC2 实例终止生命周期操作创建 Amazon EventBridge 规则，以触发 AWS Lambda 函数，该函数调用 SSM Run Command 脚本来收集日志、将其推送到 Amazon S3，并在收集到日志后完成生命周期操作。

该解决方案使用 Auto Scaling 生命周期挂钩在终止实例之前将其置于等待状态。这使您有机会在实例终止之前收集日志。该解决方案使用 Amazon EventBridge 规则对 EC2 实例终止生命周期操作进行触发，以运行 SSM Run Command 脚本的 AWS Lambda 函数。该脚本可以在完成生命周期操作并终止实例之前收集日志并将其推送到 Amazon S3。

29 / 363

29.

No.29
一家公司在 AWS Organizations 中有一个组织。该组织包含包含您的企业应用程序的工作负载账户。该公司通过生产账户集中管理用户。您不能在工作量账户中创建用户。该公司最近增加了一个运营团队，需要为运营团队成员提供每个工作负载账户的管理访问权限。
提供此访问权限需要哪些操作组合？（选择三个。）

A.在生产账户中创建 SysAdmin 角色。将 AdministratorAccess 策略附加到角色。修改信任关系以允许来自工作负载账户的 sts:AssumeRole 操作。

B. 为每个工作负载账户创建一个 SysAdmin 角色。将 AdministratorAccess 策略附加到角色。修改信任关系以允许生产账户的 sts:AssumeRole 操作。

C. 在生产账户中创建一个 Amazon Cognito 身份池。将 SysAdmin 角色附加为经过身份验证的角色。

D. 在生产账户中，为运营团队的每个成员创建一个 IAM 用户。

E. 在操作账户中，创建一个名为 SysAdmins 的 IAM 用户组。添加一个 IAM 策略，允许每个工作负载账户中的 SysAdmin 角色执行 sts:AssumeRole 操作。将所有运营团队成员添加到该组中。

F. 在操作账户中创建一个 Amazon Cognito 用户池。为每个运营团队成员创建一个 Amazon Cognito 用户。

答案：B、D、E

解释：
所有与 Cognito 相关的事情。可以安全删除（仅用于应用程序身份管理）
步骤 1：在每个工作负载账户中创建每个角色。信任关系仅通过操作账户中的操作用户为 sts:AssumeRole 设置
第 2 步：不言自明：用户承担角色后设置所有必要的权限
步骤 3：完成

30 / 363

30.

No.30
一家公司在 AWS Organizations 的一个组织内拥有多个账户。当您组织中的任何账户关闭 Amazon S3 存储桶的阻止公共访问功能时，您公司的 SecOps 团队需要接收 Amazon Simple Notification Service (Amazon SNS) 通知。 DevOps 工程师必须在不影响您的 AWS 账户运行的情况下实施此更改。您的实施不得允许组织内的个人成员帐户关闭通知。
哪种解决方案可以满足这些要求？

A.指定一个账户作为委派的 Amazon GuardDuty 管理员账户。为您组织内的所有账户启用 GuardDuty。在 GuardDuty 管理员账户中，创建一个 SNS 主题。将您的 SecOps 团队的电子邮件地址订阅 SNS 主题。在同一账户中，创建一个 Amazon EventBridge 规则，该规则使用来自 GuardDuty 发现结果和 SNS 主题目标的事件模式。

B. 创建一个 AWS CloudFormation 模板，创建一个 SNS 主题并将 SecOps 团队的电子邮件地址订阅到该 SNS 主题。在您的模板中，包含一个 Amazon EventBridge 规则，该规则使用 s3:PutBucketPublicAccessBlock 的 CloudTrail 活动事件模式和您的 SNS 主题的目标。使用 CloudFormation StackSets 将堆栈部署到您组织的所有账户。

C. 在您的组织内启用 AWS Config。在委派管理员账户中，创建一个 SNS 主题。将您的 SecOps 团队的电子邮件地址订阅 SNS 主题。在每个账户中使用 s3-bucket-level-public-access-prohibited AWS Config 托管规则并部署一个一致性包，该一致性包使用 AWS Systems Manager 文档将事件发布到 SNS 主题以通知您的 SecOps 团队。

D. 在您的组织内启用 Amazon Inspector。在 Amazon Inspector 委派管理员账户中，创建一个 SNS 主题。将您的 SecOps 团队的电子邮件地址订阅 SNS 主题。在同一账户中，使用事件模式创建 Amazon EventBridge 规则，用于 S3 存储桶的公共网络公开，并将事件发布到 SNS 主题以通知 SecOps 团队。

答案：C

解释：
* AWS AWS Systems Manager Automation 为 Amazon Simple Notification Service 提供预定义运行手册（例如 AWS-PublishSNSNotification）- https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-publishsnsnotification.html
* 在多个 AWS 区域和账户中运行自动化（https://docs.aws.amazon.com/systems-manager/latest/userguide/running-automations-multiple-accounts-regions.html）

B 似乎是旧方法。使用 CloudFormation 堆栈集时，可能会出现偏差，因为每个帐户都可以修改资源配置（例如 SNS）。因此，选择 C，它使用 AWS Systems Manager 自动化充分利用跨多个区域的 AWS Organizations，并利用具有委派管理员账户（或管理账户）的多个账户。

31 / 363

31.

No.31
一家公司希望将其基于容器的应用程序迁移到 Amazon EKS 并建立自动电子邮件通知。发送到每个电子邮件地址的通知用于与 EKS 组件相关的特定活动。该解决方案包括一个 Amazon SNS 主题和一个 AWS Lambda 函数，用于评估传入的日志事件并将消息发布到适当的 SNS 主题。
哪种日志解决方案支持这些要求？

A.启用 Amazon CloudWatch Logs 来记录 EKS 组件。为每个组件创建一个 CloudWatch 订阅过滤器，并以 Lambda 作为订阅源目标。

B. 启用 Amazon CloudWatch Logs 来记录 EKS 组件。创建一个 CloudWatch Logs Insights 查询，该查询链接到调用 Lambda 的 Amazon EventBridge 事件。

C. 为 EKS 组件启用 Amazon S3 日志记录。为每个组件配置一个 Amazon CloudWatch 订阅过滤器，并使用 Lambda 作为订阅源目标。

D. 为 EKS 组件启用 Amazon S3 日志记录。配置 S3 PUT 对象事件通知，以 AWS Lambda 作为目标。

答案：A

解释：
Amazon EKS 与 CloudWatch Logs 集成，提供有关集群中服务运行状况和执行情况的详细日志。您可以使用 CloudWatch 订阅过滤器将特定日志事件从 CloudWatch Logs 组路由到 Lambda 函数。然后，Lambda 函数可以处理该事件并将通知发布到适当的 Amazon SNS 主题。

32 / 363

32.

No.32
一家公司已经实施了 Amazon Elastic Container Service (Amazon ECS) 集群来运行其工作负载。在我们公司的架构中，我们在一个集群上运行多个ECS服务。该架构包括前端的应用程序负载均衡器，以使用多个目标组来路由流量。
DevOps 工程师需要收集应用程序和访问日志。然后，DevOps 工程师需要将日志发送到 Amazon S3 存储桶进行近乎实时的分析。
DevOps 工程师应采取哪些步骤组合来满足这些要求？（选择三个。）

A.从 AWS 下载 Amazon CloudWatch Logs 容器实例。将此实例配置为一项任务。更新应用程序服务定义以包含日志记录任务。

B. 在 ECS 实例上安装 Amazon CloudWatch Logs 代理。将 ECS 任务定义中的日志驱动程序更改为 awslogs。

C. 使用 Amazon EventBridge 安排每 60 秒运行一次的 AWS Lambda 函数并运行 Amazon CloudWatch Logs create-export-task 命令。然后，将输出直接发送到日志 S3 存储桶。

D. 在 ALB 上启用访问日志记录。然后，将 ALB 直接指向日志记录 S3 存储桶。

E. 在您的 ECS 服务使用的目标组上启用访问日志记录。然后它将日志直接发送到日志 S3 存储桶。

F.创建一个 Amazon Kinesis Data Firehose 传输流，以日志记录 S3 存储桶为目标。接下来，为 Kinesis Data Firehose 创建 Amazon CloudWatch Logs 订阅过滤器。

答案：B、D、F

解释：
选项B正确。如果您将 ECS 任务定义中的日志记录驱动程序更改为 awslogs，则您的日志将被发送到 Amazon CloudWatch Logs。然后，您可以将日志转发到 Amazon S3 存储桶。

选项D正确。您可以在应用程序负载均衡器 (ALB) 上启用访问日志记录，以收集可直接发送到 S3 存储桶的访问日志。

选项F正确。您可以创建 Amazon Kinesis Data Firehose 传输流，该传输流可以近乎实时地将日志从 CloudWatch Logs 直接传输到 Amazon S3 存储桶。

33 / 363

33.

No.33
一家使用电子健康记录的公司正在运行一批搭载 Amazon Linux 操作系统的 Amazon EC2 实例。作为患者隐私要求的一部分，该公司必须确保在其 EC2 实例上运行的操作系统和应用程序持续遵守补丁程序。
如何使用默认和自定义存储库自动部署操作系统和应用程序补丁？

A. 使用 AWS Systems Manager 创建包含自定义存储库的新补丁基准。使用运行命令执行 AWS-RunPatchBaseline 文档来验证并安装补丁。

B. 使用 AWS Direct Connect 集成您的公司存储库，使用 Amazon CloudWatch 计划事件部署补丁，然后使用 CloudWatch 仪表板进行报告。

C. 使用 yum-config-manager 在 /etc/yum.repos.d 下添加自定义存储库，然后运行 yum-config-manager-enable 来激活该存储库。

D. 使用 AWS Systems Manager 创建包含公司存储库的新补丁基线。使用运行命令运行 AWS-AmazonLinuxDefaultPatchBaseline 文档来验证并安装补丁。

答案：A

解释：
AWS-AmazonLinuxDefaultPatchBaseline：定义要应用哪些补丁以及要避免使用哪些补丁。
AWS-RunPatchBaseline：提供在您的实例上实际运行修补过程的命令。
D：AWS-AmazonLinuxDefaultPatchBaseline：此基线名称中包含“default”。这是预定义的基线，不适用于自定义存储库。

34 / 363

No.34
一家公司使用 AWS CodePipeline 来自动化其发布管道。该管道使用 AWS CodeDeploy 通过蓝/绿部署模型将应用程序部署到 Amazon Elastic Container Service (Amazon ECS)。该公司希望在迁移流量之前实现一个脚本来测试应用程序的绿色版本。这些脚本只需不到 5 分钟即可完成。如果在这些测试中发现任何错误，则必须回滚该应用程序。

34. 哪种策略可以满足这些要求？

A. 在源阶段和部署阶段之间向 CodePipeline 管道添加一个阶段。使用 AWS CodeBuild 创建运行时环境并在 buildspec 文件中构建命令来调用您的测试脚本。如果发现任何错误，请使用 aws deploy stop-deployment 命令停止部署。

B. 在源阶段和部署阶段之间向 CodePipeline 管道添加一个阶段。使用此阶段调用运行测试脚本的 AWS Lambda 函数。如果发现任何错误，请使用 aws deploy stop-deployment 命令停止部署。

C.向 CodeDeploy AppSpec 文件添加一个钩子部分。使用 AfterAllowTestTraffic 生命周期事件调用 AWS Lambda 函数来运行您的测试脚本。如果发现任何错误，Lambda 函数将因错误终止并启动回滚。

D.向 CodeDeploy AppSpec 文件添加一个钩子部分。使用 AfterAllowTraffic 生命周期事件来调用您的测试脚本。如果发现任何错误，请使用 aws deploy stop-deployment CLI 命令停止部署。

答案：C

解释：
将钩子部分添加到您的 CodeDeploy AppSpec 文件。 AppSpec 文件是一个 YAML 文件，描述如何使用 CodeDeploy 将应用程序部署到 Amazon ECS。您可以使用 AfterAllowTestTraffic 生命周期事件来运行测试脚本。此事件在应用程序的新版本部署之后但在流量转移到新版本之前触发。

AfterAllowTestTraffic 生命周期事件调用 AWS Lambda 函数来运行测试脚本。 Lambda 函数可以用 Lambda 支持的任何编程语言编写，包括 Python、Node.js 和 Java。

如果您的测试脚本检测到错误，它会使用错误代码终止 Lambda 函数。这将导致部署失败并且 CodeDeploy 启动回滚。

C 是正确的。对于高级功能，您可以使用 Lambda 来启动脚本。
A和B不正确。两者均在部署阶段之前触发测试脚本。
D 不正确。它只是停止部署，不会将其回滚。

35 / 363

35.

No.35
一家公司在由多个资源使用的 Amazon S3 存储桶前面以文件网关模式使用 AWS Storage Gateway。当早上开始工作时，用户将看不到前一天晚上由第三方处理的对象。如果 DevOps 工程师直接检查 S3 存储桶，数据就在那里，但在 Storage Gateway 中不可见。
哪种解决方案可以确保所有更新的第三方文件在早上可用？

A. 配置夜间 Amazon EventBridge 事件以调用 AWS Lambda 函数来运行 Storage Gateway RefreshCache 命令。

B. 指示第三方使用 AWS Transfer for SFTP 将数据放入您的 S3 存储桶。

C.修改存储网关以在卷网关模式下运行。

D. 使用 S3 同区域复制将 S3 存储桶中直接所做的更改复制到存储网关。

答案：A

解释：
AWS Storage Gateway 的文件网关模式在您的本地服务器和 Amazon S3 之间架起了一座桥梁。文件网关在您的本地环境中缓存经常访问的文件，以提供低延迟访问。但是，如果您的 S3 存储桶中的数据被其他服务更改，则缓存不会自动更新。因此，为了确保所有更新的第三方文件在早上可用，您可以使用由 Amazon EventBridge 触发的 AWS Lambda 函数来运行 Storage Gateway 的 RefreshCache 命令。这将使用您的最新更改来更新缓存。

36 / 363

36.

No.36
DevOps 工程师需要使用 S3 跨区域复制功能来备份具有私有存储桶策略的 S3 存储桶中存储的敏感 Amazon S3 对象。必须将对象复制到不同 AWS 区域和账户中的目标存储桶。
必须采取哪些操作组合才能实现此复制？（选择三项）

A. 在源账户中创建复制 IAM 角色

B.在目标账户中创建复制 I AM 角色。

C. 向源存储桶策略添加一条语句，以允许复制 IAM 角色复制对象。

D. 向目标存储桶策略添加一条语句，以允许复制 IAM 角色复制对象。

E. 在源存储桶上创建复制规则以启用复制。

F. 在目标存储桶上创建复制规则以启用复制。

答案：A、D、E

解释：
S3 跨区域复制 (CRR) 会自动在不同 AWS 区域的存储桶之间复制数据。要启用 CRR，您需要向源存储桶添加复制配置，指定目标存储桶、IAM 角色和加密类型（可选）。您还需要授予 IAM 角色在源存储桶和目标存储桶上执行复制操作的权限。此外，您还可以选择目标存储类并启用其他复制选项，例如 S3 复制时间控制 (S3 RTC) 和 S3 批量复制。

37 / 363

37.

No.37
一家公司拥有多个成员账户，这些账户属于 AWS Organizations 中某个组织的一部分。您的安全团队应该检查所有 Amazon EC2 安全组及其入站和出站规则。安全团队希望使用组织管理账户中的 AWS Lambda 函数以编程方式从成员账户中检索此信息。
哪种访问修改组合可以满足这些要求？（选择三项）

A.创建信任关系，允许成员账户中的用户承担管理账户中的 IAM 角色。

B.创建信任关系，允许管理账户中的用户承担成员账户中的 IAM 角色。

C. 在每个有权访问 AmazonEC2ReadOnlyAccess 托管策略的成员账户中创建一个 IAM 角色。

D. 在每个成员账户中创建一个 IAM 角色，以允许在管理账户中对 IAM 角色的 ARN 执行 sts:AssumeRole 操作。

E. 在管理账户中，创建一个 I AM 角色，允许对成员账户中 IAM 角色的 ARN 执行 sts:AssumeRole 操作。

F. 在管理账户中，创建一个有权访问 AmazonEC2ReadOnlyAccess 托管策略的 IAM 角色。

答案：B、C、E

解释：
（B）信任关系允许 IAM 实体（用户、组或角色）承担某个角色。在这种情况下,管理帐户中的实体必须在会员帐户中承担角色。

（C）每个成员账户中的 IAM 角色必须附加允许对 EC2 实例进行只读访问的策略。 AmazonEC2ReadOnlyAccess 托管策略提供此访问权限。

（E）您必须在管理账户中创建一个 IAM 角色，并授予其对成员账户中 IAM 角色的 ARN 执行 sts:AssumeRole 操作的权限。这允许承担该角色的实体切换到成员账户中的角色并根据这些角色的权限执行操作。

38 / 363

38.

No.38
一家太空探索公司接收来自多颗卫星的遥测数据。它通过 Amazon API Gateway 接收小数据包并将其直接放入 Amazon Simple Queue Service (Amazon SQS) 标准队列中。自定义应用程序订阅队列并将数据转换为标准格式。
卫星生成的数据可能存在不一致，从而阻止应用程序解释数据。在这种情况下，消息仍保留在 SQS 队列中。 DevOps 工程师必须开发一种解决方案来保存失败的消息，以便科学家可以审查它们并用于未来的处理。
哪种解决方案可以满足这些要求？

A. 配置 AWS Lambda 以轮询 SQS 队列并调用 Lambda 函数来检查队列消息是否有效。如果验证失败，我们会将无效数据的副本发送到 Amazon S3 存储桶，以便科学家可以审查和更正数据。一旦数据被更正，请使用重放 Lambda 函数和更正后的数据来更正 SQS 队列中的消息。

B. 将 SQS 标准队列转换为 SQS FIFO 队列。配置 AWS Lambda，使用 Amazon EventBridge 计划每 10 分钟轮询一次 SQS 队列。调用 Lambda 函数来识别 SentTimestamp 值超过 5 分钟的消息，将数据推送到与应用程序相同的输出位置，并从队列中删除消息。

C.创建 SQS 死信队列。通过添加重新驱动策略来修改现有队列，该策略将最大接收数量设置为 1，并将死信队列 ARN 设置为新创建队列的 ARN。指导您的科学家使用死信队列来检查无效数据。这些数据稍后将被重新处理。

D.配置 API 网关以将消息发送到以每个卫星命名的不同 SQS 虚拟队列。更新您的应用程序以使用新的虚拟队列来处理任何无法转换的数据，然后将消息发送到新的虚拟队列。指导科学家使用虚拟队列审查无效数据。这些数据稍后将被重新处理。

答案：C

解释：
创建 SQS 死信队列。通过包含重新驱动策略来修改现有队列，该策略将最大接收数量设置为 1，并将死信队列 ARN 设置为新创建队列的 ARN。指导您的科学家使用死信队列来检查无效数据。这些数据稍后将被重新处理。

39 / 363

39.

No.39
一家公司希望使用 AWS CloudFormation 进行基础设施部署。该公司对标记和资源有严格的要求，并希望将部署限制在两个地区。开发人员需要部署同一个应用程序的多个版本。
哪种解决方案可以确保资源按照公司政策进行部署？

A.创建 AWS Trusted Advisor 检查以查找并修复未经授权的 CloudFormation StackSets。

B. 创建云形成漂移检测操作来查找和修复未经授权的 CloudFormation StackSets。

C. 使用已批准的 CloudFormation 模板创建 CloudFormation StackSets。

D. 使用已批准的 CloudFormation 模板创建 AWS Service Catalog 产品。

答案：D

解释：
AWS Service Catalog 使您能够集中管理云资源并实现使用 CloudFormation 或 Terraform 配置编写的基础设施即代码 (IaC) 模板的大规模治理。 AWS Service Catalog 可让您帮助客户快速部署所需的云资源，同时满足合规性要求。
https://aws.amazon.com/servicecatalog/

其他答案中的所有其他服务均不相关。

40 / 363

No.40
一家公司需要提高其内部网络应用程序的可用性。该架构由一个 Amazon EC2 Web 服务器实例和一个 NAT 实例组成，提供出站 Internet 访问以进行更新和访问公共数据。

40. 公司应进行哪些架构调整组合才能实现高可用性？（选择两个）

A.将 NAT 实例添加到跨多个可用区域的 EC2 Auto Scaling 组。更新路由表。

B.跨多个可用区域创建额外的 EC2 实例。添加应用程序负载均衡器来在它们之间分配负载。

C. 在 EC2 实例前面配置一个应用程序负载均衡器。配置 Amazon CloudWatch 警报以便在发生主机故障时恢复您的 EC2 实例。

D. 将每个可用区域内的 NAT 实例替换为 NAT 网关。更新路由表。

E.用跨多个可用区域的 NAT 网关替换 NAT 实例。更新路由表。

答案：B、D

解释：
NAT网关不能跨越多个AZ。必须为每个 AZ 创建 HA。

41 / 363

41.

No.41
DevOps 工程师使用 AWS CodePipeline 构建多阶段管道，用于构建、验证、暂存、测试和部署应用程序。测试和部署阶段之间需要手动批准阶段。开发团队使用支持 webhook 的自定义聊天工具，需要近乎实时的通知。
DevOps 工程师如何设置聊天工具来发布管道活动和批准请求的状态更新？

A.创建一个 Amazon CloudWatch Logs 订阅，用于筛选 CodePipeline 管道执行状态的变化。订阅将事件发布到 Amazon Simple Notification Service (Amazon SNS) 主题。将聊天 webhook URL 订阅到 SNS 主题并完成订阅验证。

B. 创建一个由 AWS CloudTrail 事件调用的 AWS Lambda 函数。当 CodePipeline 检测到管道执行状态改变事件时，它会将事件详细信息发送到聊天 webhook URL。

C. 创建一个 Amazon EventBridge 规则，过滤 CodePipeline 管道执行状态的变化。将事件发布到 Amazon Simple Notification Service (Amazon SNS) 主题。创建一个 AWS Lambda 函数，将事件详细信息发送到聊天 webhook URL。将函数订阅到 SNS 主题。

D. 修改管道代码，在每个阶段结束时将事件详细信息发送到聊天 webhook URL。参数化 URL，以便每个管道可以根据管道环境发送到不同的 URL。

答案：C

解释：
DevOps 工程师需要创建 Amazon EventBridge 规则来过滤 CodePipeline 管道执行状态变化，并将管道活动和批准请求的状态更新发布到聊天工具。您必须创建一个 AWS Lambda 函数，将事件发布到 Amazon Simple Notification Service (Amazon SNS) 主题并将事件详细信息发送到聊天 webhook URL。该函数必须订阅 SNS 主题。选项C正确。

选项 A 不正确，因为它建议使用 CloudWatch Logs 而不是 EventBridge。对于这种用例来说，这不是最好的解决方案。选项 B 不正确，因为它建议使用 CloudTrail 而不是 CodePipeline 事件。这不相关。选项 D 不正确，因为它不需要对管道代码进行任何更改并且增加了不必要的复杂性。

考试提示：如果您认为这个问题与事件或行动有关 --> EventBridge

42 / 363

No.42
一家公司的应用程序开发团队使用基于 Linux 的 Amazon EC2 实例作为堡垒主机。对堡垒主机的入站 SSH 访问仅限于关联安全组中定义的特定 IP 地址。公司的安全团队希望在安全组规则更改为允许从任何 IP 地址进行 SSH 访问时收到通知。

42. DevOps 工程师应该怎么做才能满足这一要求？

A. 创建一个 Amazon EventBridge 规则，来源为 aws.cloudtrail，事件名称为 AuthorizeSecurityGroupIngress。将 Amazon Simple Notification Service (Amazon SNS) 主题定义为目标。

B. 启用 Amazon GuardDuty 并在 AWS Security Hub 中查看安全组发现的结果。使用与 GuardDuty 事件匹配的自定义模式配置 Amazon EventBridge 规则并产生 NON_COMPLIANT 的输出。将 Amazon Simple Notification Service (Amazon SNS) 主题定义为目标。

C. 创建具有受限 SSH 托管规则的 AWS Config 规则，以检查您的安全组是否不允许不受限制的入站 SSH 流量。配置自动修复以将消息发布到 Amazon Simple Notification Service (Amazon SNS) 主题。

D.启用 Amazon Inspector。通过包含 Common Vulnerabilities and Exposures-1.1 规则包来检查与堡垒主机相关的安全组。您可以配置 Amazon Inspector 以将消息发布到 Amazon Simple Notification Service (Amazon SNS) 主题。

答案：C

解释：

选项 C - A 将发送安全组中的任何更改的通知。问题明确指出，仅当允许 0.0.0.0/0 时才发送通知。因此应该是C。

43 / 363

43.

No.43
DevOps 团队管理在本地运行并作为 Amazon API Gateway 端点后端的 API。客户抱怨响应延迟过高，开发团队使用 Amazon CloudWatch 中的 API 网关延迟指标验证了这一点。为了确定原因，团队需要收集相关数据，而不会引入额外的延迟。
为了实现这一目标你应该采取什么行动？（选择两个。）

A.在服务器端安装CloudWatch代理，并配置代理将相关日志上传到CloudWatch。

B. 在 API Gateway 中启用 AWS X-Ray 跟踪并修改您的应用程序以捕获请求段并在每次请求期间将这些段上传到 X-Ray。

C. 在 API Gateway 中启用 AWS X-Ray 跟踪，修改您的应用程序以捕获请求段，并使用 X-Ray 守护程序将段上传到 X-Ray。

D. 修改您的本地应用程序，以便将每次请求的日志信息发送回 API 网关。

E. 修改本地应用程序以计算与 API 服务请求相关的统计数据并将其上传到 CloudWatch 指标。

答案：A、C

解释：

A 和 C：使用 CloudWatch Logs Agent 收集应用程序日志，使用 AWS X-ray 收集有关请求（跟踪）的信息。

B 不正确。如果您修改应用程序以直接向 X-RAY 发送消息，则应用程序的延迟会增加。更好的解决方案是使用 X-RAY 守护进程来执行该任务。

44 / 363

44.

No.44
一家公司有一个应用程序，使用与 MySQL 兼容的 Amazon Aurora Multi-AZ DB 集群作为其数据库。创建跨区域只读副本是为了实现灾难恢复目的。在发生故障时，DevOps 工程师希望自动将副本提升为主数据库实例。
哪种解决方案可以实现这一目标？

A. 配置基于延迟的 Amazon Route 53 CNAME 并进行运行状况检查以指向主端点和副本端点。订阅来自 AWS CloudTrail 的 Amazon RDS 故障通知的 Amazon SNS 主题，然后使用该主题调用将副本实例提升为主实例的 AWS Lambda 函数。

B. 创建指向主数据库实例的 Aurora 自定义端点。配置您的应用程序以使用此端点。配置 AWS CloudTrail 以运行 AWS Lambda 函数，该函数提升副本实例并更改自定义终端节点以指向新提升的实例。

C. 修改应用程序的 AWS CloudFormation 模板以提升副本，通过应用模板更新堆栈，并创建一个将应用程序指向新提升的实例的 AWS Lambda 函数。创建一个 Amazon CloudWatch 警报，在发生故障事件后调用此 Lambda 函数。

D.将 Aurora 端点存储在 AWS Systems Manager 参数存储中。创建一个 Amazon EventBridge 事件，该事件检测数据库故障并执行 AWS Lambda 函数，该函数提升副本实例并更新存储在 AWS Systems Manager 参数存储中的终端节点 URL。如果数据库连接失败，请对应用程序进行编码以从 Parameter Store 重新加载端点。

答案：D

解释：
为了在发生故障时自动将只读副本提升为主实例，您必须检测故障并调用 AWS Lambda 函数来提升副本实例。这可以使用 Amazon EventBridge 实现。

选项A不正确。如果您在健康检查中使用 CNAME，则您的只读副本无法自动提升。此外，从 AWS CloudTrail 订阅 Amazon SNS 主题到 Amazon RDS 故障通知不支持提升副本。

选项B不正确。这是因为您不需要自定义端点来提升只读副本。此外，使用 AWS CloudTrail 运行 AWS Lambda 函数来提升副本实例不会自动更新应用程序终端节点以指向新提升的实例。

45 / 363

45.

No.45
一家公司使用由 Amazon EBS 存储支持的 Amazon EC2 实例托管暂存网站。如果他们的 EC2 实例遇到网络连接问题或电源中断，公司希望最大限度地减少数据丢失并快速恢复。
哪种解决方案可以满足这些要求？

A.将实例添加到 EC2 Auto Scaling 组，并将最小容量、最大容量和所需容量设置为 1。

B. 将实例添加到具有生命周期挂钩的 EC2 Auto Scaling 组，以便在 EC2 实例关闭或终止时分离 EBS 卷。

C. 为 StatusCheckFailed 系统指标创建 Amazon CloudWatch 警报并选择 EC2 操作来恢复实例。

D. 为 StatusCheckFailed 实例指标创建 Amazon CloudWatch 警报并选择 EC2 操作来重启实例。

答案：C

解释：

Amazon CloudWatch 提供系统范围内的资源利用率、应用程序性能和运行状况的可见性。如果系统状态检查失败，则表明底层 EC2 系统存在问题，补救可能需要 AWS 参与。如果您的实例由于潜在问题而损坏，系统状态检查中的“恢复此实例”操作会自动恢复您的实例。

46 / 363

No.46
一家公司希望使用 AWS 开发工具来替换其当前的 bash 部署脚本。目前，该公司在应用程序负载均衡器 (ALB) 后面的一组 Amazon EC2 实例上部署了 LAMP 应用程序。在部署期间，公司对提交的应用程序进行单元测试，停止和启动服务，向负载均衡器取消注册和重新注册实例，并更新文件权限。该公司希望通过过渡到使用 AWS 服务来保持相同的部署能力。

46. 哪种解决方案可以满足这些要求？

A.使用 AWS CodeBuild 测试您的应用程序。使用 AWS CodeDeploy appspec.yml 文件调用的 bash 脚本重新启动服务并向 ALB 取消注册和注册实例。使用 appspec.yml 文件来更新文件权限，而无需使用自定义脚本。

B. 使用 AWS CodePipeline 将应用程序从 AWS CodeCommit 存储库移动到 AWS CodeDeploy。使用 CodeDeploy 中的部署组测试您的应用程序，向 ALB 取消注册并重新注册实例，然后重新启动服务。使用 appspec.yml 文件来更新文件权限，无需自定义脚本。

C. 使用 AWS CodePipeline 将您的应用程序源代码从 AWS CodeCommit 存储库移动到 AWS CodeDeploy。使用 CodeDeploy 测试您的应用程序。使用 CodeDeploy appspec.yml 文件重新启动服务并更新权限，无需自定义脚本。使用 AWS CodeBuild 向 ALB 取消注册并重新注册实例。

D. 使用 AWS CodePipeline 触发 AWS CodeBuild 来测试应用程序。使用 AWS CodeDeploy 中的 appspec.yml 文件调用的 bash 脚本重新启动服务。使用 ALB 取消注册并重新注册 AWS CodeDeploy 部署组中的实例。更新 appspec.yml 文件以更新文件权限，无需任何自定义脚本。

答案：D

解释：

选项 D – D 比 A 更好。要将执行从 CodeBuild 移至 CodeDeploy，您必须包含 CodePipeline。

选项D也是一个可行的解决方案。他们建议使用 AWS CodePipeline 触发 AWS CodeBuild 来测试您的应用程序，然后使用 AWS CodeDeploy 中的 appspec.yml 文件调用的 bash 脚本重新启动服务、向 ALB 取消注册和重新注册实例以及更新文件权限。这种方法还涵盖了您的公司所需的所有部署功能。

47 / 363

47.

No.47
一家公司在 Amazon EC2 和本地配置上运行其应用程序。 DevOps 工程师需要在两个环境中标准化修补。公司政策规定修补只能在工作时间之外进行。
哪些行动组合可以满足这些要求？（选择三个。）

A. 使用 Systems Manager Hybrid Activation 将物理机添加到 AWS Systems Manager。

B. 将 IAM 角色附加到 EC2 实例，以便 AWS Systems Manager 可以对其进行管理。

C. 创建 IAM 访问密钥以允许本地机器与 AWS Systems Manager 交互。

D. 每小时运行一次 AWS Systems Manager Automation 文档来修补系统。

E.使用 Amazon EventBridge 计划事件来安排修补窗口。

F.使用 AWS Systems Manager 维护窗口来安排修补窗口。

答案：A、B、F

解释：

答：在 AWS Systems Manager 中启用混合

B：为 Systems Manager 创建 IAM 角色来管理 EC2 实例

F：使用维护时段来安排非工作时间的修补

C：这是不正确的，因为您没有本地部署的 IAM 访问密钥

D：不要每小时打补丁一次

E：AWS 有自己的修补计划服务，因此不要使用 Eventbridge

48 / 363

48.

No.48
一家公司选择 AWS 来托管新应用程序。该公司需要实施多账户策略。 DevOps 工程师在 AWS Organizations 中创建新的 AWS 账户和组织。 DevOps 工程师还为组织创建了 OU 结构并使用 AWS Control Tower 设置了着陆区。
DevOps 工程师需要实施一种解决方案，该解决方案可在用户通过 AWS Control Tower 账户工厂创建的新账户中自动部署资源。当用户创建新账户时，解决方案应通过应用为 OU 或账户定制的 AWS CloudFormation 模板和 SCP 自动部署与该账户相关的所有资源。所有 OU 均已注册到 AWS Control Tower。
哪种解决方案能够以最自动化的方式满足这些要求？

A.将 AWS Service Catalog 与 AWS Control Tower 结合使用。在 AWS Service Catalog 中创建产品组合和产品。授予细粒度的权限来配置这些资源。使用 AWS CLI 和 JSON 文档部署 SCP。

B. 使用所需模板部署 CloudFormation 堆栈集。启用自动部署。将堆栈实例部署到所需的账户。要部署 SCP，您需要将 CloudFormation 堆栈集部署到您组织中的管理账户。

C. 创建 Amazon EventBridge 规则来检测 CreateManagedAccount 事件。将 AWS Service Catalog 配置为将资源部署到新账户的目标。使用 AWS CLI 和 JSON 文档部署 SCP。

D. 部署 AWS Control Tower (CfCT) 解决方案的定制。使用 AWS CodeCommit 存储库作为源。在您的存储库中，创建一个包含 CloudFormation 模板和 SCP JSON 文档的自定义包。

答案：D

解释：
CfCT 解决方案的设计正是为了满足问题中提出的目标。它通过提供一种自动化资源配置并将自定义配置应用于在 Control Tower 环境中创建的所有 AWS 账户的方法来扩展 AWS Control Tower 的功能。这允许公司在通过控制塔账户工厂配置新账户时实施额外的账户定制。

CloudFormation 模板和 SCP 可以添加到 CodeCommit 存储库，并在创建新账户时自动部署。这提供了一种高度自动化的解决方案，不需要人工干预即可将资源和 SCP 部署到新帐户。

https://docs.aws.amazon.com/controltower/latest/userguide/cfct-overview.html

49 / 363

49.

No.49
这家总部位于美国的在线零售商计划在未来六个月内扩展到欧洲和亚洲。目前，他们的产品在应用程序负载均衡器后面的 Amazon EC2 实例上运行。这些实例在跨多个可用区域的 Amazon EC2 Auto Scaling 组中运行。所有数据都存储在 Amazon Aurora 数据库实例中。
如果产品部署在多个地区，公司希望所有地区都有一个单一的产品目录，但出于合规原因，每个地区的客户信息和购买情况必须保存。
如何通过对应用程序进行最少的修改来满足这些要求？

A. 使用 Amazon Redshift 存储产品目录，使用 Amazon DynamoDB 表存储客户信息和购买情况。

B. 使用 Amazon DynamoDB 全局表来存储产品目录，使用区域表来存储客户信息和购买情况。

C. 使用 Aurora 只读副本存储产品目录，并在每个区域使用额外的本地 Aurora 实例存储客户信息和购买信息。

D. 使用 Aurora 存储产品目录，使用 Amazon DynamoDB 全局表存储客户信息和购买情况。

答案：C

解释：

选项 C - 具有产品目录读取副本的 Aurora 允许您在所有区域拥有单一产品目录。您可以在不同的区域配置 Aurora 只读副本，以便从每个区域提供对您的产品目录的低延迟访问。此外，通过在每个区域部署额外的本地 Aurora 实例来存储客户信息和购买情况，公司可以遵守在每个区域保留客户数据和购买情况的要求。

50 / 363

No.50
一家公司已经将精心设计的结构实施到可全局访问的 API 堆栈中。该设计必须确保北美和欧洲用户的高可靠性和快速响应时间。

50. API 堆栈包括三层：

Amazon API 网关 -

AWS Lambda -

亚马逊 DynamoDB -

哪种解决方案符合您的要求？

A. 将 Amazon Route 53 指向北美和欧洲的 API 网关 API，并进行健康检查。配置您的 API 以将请求转发到该区域中的 Lambda 函数。配置您的 Lambda 函数以检索和更新与 Lambda 函数位于同一区域的 DynamoDB 表中的数据。

B. 配置 Amazon Route 53 以指向北美和欧洲的 API 网关 API，使用基于延迟的路由和健康检查。配置您的 API 以将请求转发到该区域中的 Lambda 函数。配置 Lambda 函数以检索和更新 DynamoDB 全局表中的数据。

C. 配置 Amazon Route 53 以指向北美的 API 网关，在欧洲创建灾难恢复 API，并配置两个 API 以将请求转发到该地区的 Lambda 函数。从 DynamoDB 全局表中检索数据。部署一个 Lambda 函数，每 5 分钟检查一次北美 API 的运行状况。如果发生灾难，请更新 Route 53 以指向灾难恢复 API。

D. 使用基于延迟的路由配置 Amazon Route 53 以指向北美的 API 网关 API。配置您的 API 以将请求转发到最靠近用户的区域中的 Lambda 函数。配置 Lambda 函数以检索和更新 DynamoDB 表中的数据。

答案：B

解释：
要求是确保北美和欧洲用户的高可靠性和快速响应时间。为了满足此要求，我们使用基于延迟的路由的 Amazon Route 53 将用户引导到最近的 API 网关端点。此外，您可以使用健康检查来监控每个端点的健康状况，并将流量引导出不健康的端点。

为了保持高可靠性，您可以使用 AWS Lambda 来处理 API 请求。 Lambda 会自动扩展，因此您不必担心配置或维护基础设施。您还可以使用 DynamoDB 作为数据库，因为它提供低延迟访问和自动扩展。

51 / 363

51.

No.51
一家快速发展的公司希望根据开发人员对 AWS 开发环境的需求进行扩展。在 AWS 管理控制台中手动创建开发环境。网络团队使用 AWS CloudFormation 管理网络基础设施，为 Amazon VPC 和所有子网导出堆栈输出值。开发环境具有通用标准，例如应用程序负载均衡器、Amazon EC2 Auto Scaling 组、安全组和 Amazon DynamoDB 表。
为了满足需求，DevOps 工程师希望自动创建开发环境。支持您的应用程序所需的基础设施预计会增长，因此您需要一种简单的方法来更新已部署的基础设施。使用 CloudFormation 为您的开发环境创建模板。
哪种方法可以满足这些要求并快速为您的开发人员提供一致的 AWS 环境？

A.使用模板资源部分中的 Fn::ImportValue 内部函数来获取虚拟私有云 (VPC) 和子网值。将 CloudFormation StackSets 用于开发环境，并使用 Count 输入参数指定所需的环境数量。使用 UpdateStackSet 命令更新现有的开发环境。

B. 使用嵌套堆栈来定义常见的基础设施组件。要访问导出的值，请使用 TemplateURL 引用网络团队模板。要获取虚拟私有云 (VPC) 和子网值，请使用路由模板的参数部分中的 Fn::ImportValue 内部函数。使用 CreateChangeSet 和 ExecuteChangeSet 命令来更新现有的开发环境。

C. 使用嵌套堆栈来定义常见的基础设施组件。对嵌套堆栈中的资源使用 Fn::ImportValue 内部函数来获取虚拟私有云 (VPC) 和子网值。使用 CreateChangeSet 和 ExecuteChangeSet 命令来更新现有的开发环境。

D. 使用路由模板的参数部分中的 Fn::ImportValue 内部函数获取虚拟私有云 (VPC) 和子网值。定义在 CloudFormation 嵌套堆栈中创建开发资源的顺序。使用 CreateChangeSet 和 ExecuteChangeSet 命令来更新现有的开发环境。

答案：C

解释：

选项 A——没有提到嵌套堆栈。

选项 B - 根据 AWS 文档，B 是不正确的，因为您不能在参数中使用内部函数。

https://repost.aws/knowledge-center/cloudformation-template-validation

选项 C - 在嵌套堆栈和嵌套堆栈中的资源上使用 Fn::ImportValue 内部函数。

选项 D - Fn::ImportValue 内部函数用于子模板从父模板导入值。因此，您不应该在根模板中使用它，根模板是所有其他模板的通用父模板。

52 / 363

52.

No.52
一家公司使用 AWS Organizations 来管理多个账户。您的信息安全策略要求将所有未加密的 Amazon EBS 卷标记为不合规。 DevOps 工程师需要自动部署解决方案并确保始终存在此合规性检查。
哪种解决方案可以实现这一目标？

A. 创建一个 AWS CloudFormation 模板，定义一个 AWS Inspector 规则，检查是否启用了 EBS 加密。将此模板保存在公司内所有账户共享的 Amazon S3 存储桶中。更新您的帐户创建脚本以指向 Amazon S3 的 CloudFormation 模板。

B. 创建一个 AWS Config 组织规则，检查是否启用了 EBS 加密，然后使用 AWS CLI 部署该规则。创建并应用 SCP 以防止在整个组织中停止和删除 AWS Config。

C. 在组织中创建 SCP。使用条件表达式配置策略，以防止启动没有加密 EBS 卷的 Amazon EC2 实例。将 SCP 应用于所有 AWS 账户。使用 Amazon Athena 分析 AWS CloudTrail 输出并查找拒绝 ec2:RunInstances 操作的事件。

D.从单个受信任的账户将 IAM 角色部署到所有账户。使用 AWS CodePipeline，您将构建一个管道，其中包含一个阶段，供 AWS Lambda 承担 IAM 角色并列出账户中的所有 EBS 卷。将报告发布到 Amazon S3。

答案：B

解释：
当您部署具有 ConfigRuleName 属性中指定的加密卷的 CloudFormation 模板时，AWS Config 会自动扫描您的环境以查找未加密的 EBS 卷。

选项A不正确。 AWS Inspector 规则用于分析 EC2 实例上的应用程序行为，并且不检查 EBS 卷加密。

53 / 363

53.

No.53
一家公司对多个账户的所有 Amazon EC2 实例运行漏洞扫描。该账户位于 AWS Organizations 内的组织内。每个账户中的 VPC 都连接到共享的传输网关。 VPC 通过中央出口 VPC 将流量发送到 Internet。该公司已在委派管理员账户上启用了 Amazon Inspector，并启用了对所有成员账户的扫描。
一位 DevOps 工程师发现一些 EC2 实例列在 Amazon Inspector 的“未扫描”选项卡中。
DevOps 工程师应采取哪些措施组合来解决此问题？（选择三个。）

A.验证 AWS Systems Manager 代理是否已安装并正在 Amazon Inspector 未扫描的任何 EC2 实例上运行。

B.将目标 EC2 实例与允许与端口 443 上的 AWS Systems Manager 服务端点进行出站通信的安全组关联。

C. 授予 inspector:StartAssessmentRun 权限给您的 DevOps 工程师使用的 IAM 角色。

D. 为 Amazon Inspector 未扫描的 EC2 实例配置 EC2 实例连接。

E.将目标 EC2 实例与授予与 AWS Systems Manager 通信权限的实例配置文件关联。

F.创建托管实例激活。使用激活码和激活ID来注册您的EC2实例。

答案：A、B、E

解释：
https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html

选项 C 建议授予您的 DevOps 工程师使用的 IAM 角色 inspector:StartAssessmentRun 权限。但是，这可能与 Amazon Inspector 未扫描您的实例的问题无关，因为您的 IAM 角色可能默认已经具有所需的权限。

所以，在这种情况下，A、B 和 E 是更好的选择。这包括确保您的实例可以与 AWS Systems Manager 通信所需的步骤，这是 Amazon Inspector 扫描您的实例所必需的。

54 / 363

54.

No.54
开发团队使用 AWS CodeCommit 进行应用程序版本控制。开发团队使用 AWS CodePipeline、AWS CodeBuild 和 AWS CodeDeploy 作为其 CI/CD 基础设施。在 CodeCommit 中，一个开发团队最近合并了其代码库中的拉取请求，但该请求未通过长期运行的测试。开发团队必须回滚代码库的分支，从而浪费时间和精力。
DevOps 工程师需要在 CodeCommit 中自动测试拉取请求，以便审阅者可以更轻松地在拉取请求审阅过程中看到自动测试的结果。
DevOps 工程师应该怎么做才能满足这一要求？

A. 创建一个响应 pullRequestStatusChanged 事件的 Amazon EventBridge 规则。创建一个 AWS Lambda 函数，该函数使用 CodeBuild 操作调用 CodePipeline 管道并为您的应用程序运行测试。编写一个 Lambda 函数，将 CodeBuild 徽章作为拉取请求的评论发布，以便开发人员可以在他们的代码审查中看到该徽章。

B. 创建一个响应 pullRequestCreated 事件的 Amazon EventBridge 规则。创建一个 AWS Lambda 函数，该函数使用 CodeBuild 操作调用 CodePipeline 管道并为您的应用程序运行测试。测试完成后，对 Lambda 函数进行编程，将 CodeBuild 测试结果作为评论发布在拉取请求中。

C. 创建一个对 pullRequestCreated 和 pullRequestSourceBranchUpdated 事件做出反应的 Amazon EventBridge 规则。创建一个 AWS Lambda 函数，该函数使用 CodeBuild 操作调用 CodePipeline 管道并为您的应用程序运行测试。编写一个 Lambda 函数，将 CodeBuild 徽章作为拉取请求的评论发布，以便开发人员可以在他们的代码审查中看到该徽章。

D. 创建一个对 pullRequestStatusChanged 事件做出反应的 Amazon EventBridge 规则。创建一个 AWS Lambda 函数，该函数使用 CodeBuild 操作调用 CodePipeline 管道并为您的应用程序运行测试。测试结果完成后，对 Lambda 函数进行编程，将 CodeBuild 测试结果作为评论发布在拉取请求中。

答案：C

解释：
请参阅下文第 3 点。
https://container-devsecops.awssecworkshops.com/04-testing/

C 是答案，它使代码审阅者更容易在拉取请求审阅中看到自动化测试的结果
每当拉取请求的状态发生变化时，就会触发 pullRequestStatusChanged 事件。这包括以下转换：从“打开”到“关闭”（拉取请求已合并或标记为“关闭”）
Closed to Open（拉取请求已重新打开）
每当在 CodeCommit 存储库中创建新的拉取请求时，就会触发 pullRequestCreated 事件。
每次将更新（新的提交）推送到打开的拉取请求的源分支时，都会触发 pullRequestSourceBranchUpdated 事件。

55 / 363

55.

No.55
一家公司已将应用程序部署到单个 AWS 账户中的生产 VPC 中。这个应用程序很受欢迎并且使用率很高。该公司的安全团队希望在其应用程序部署中添加额外的安全性，例如 AWS WAF。然而，该应用程序的产品经理担心成本，除非安全团队能够证明额外的安全性是必要的，否则不愿意批准这一更改。
安全团队认为，该应用程序的部分需求可能来自 IP 地址在拒绝列表中的用户。安全团队向 DevOps 工程师提供拒绝列表。如果拒绝列表中的任何 IP 地址访问该应用程序，安全团队希望近乎实时地收到自动通知，以便他们可以记录该应用程序需要额外的安全性。 DevOps 工程师为生产 VPC 创建 VPC 流日志。
DevOps 工程师应采取哪些额外步骤才能最经济有效地满足这些要求？

A.在 Amazon CloudWatch Logs 中创建一个日志组。配置 VPC 流日志以捕获授权流量并将数据发送到日志组。为拒绝列表中的 IP 地址创建 Amazon CloudWatch 指标过滤器。创建以指标过滤器作为输入的 CloudWatch 警报。设置周期为5分钟，报警数据点为1个。使用 Amazon Simple Notification Service (Amazon SNS) 主题向您的安全团队发送警报通知。

B. 为日志文件创建一个 Amazon S3 存储桶。配置 VPC 流日志以捕获所有流量并将数据发送到 S3 存储桶。配置 Amazon Athena 以返回 S3 存储桶中拒绝列表中的 IP 地址的所有日志文件。配置 Amazon QuickSight 以接受来自 Athena 的数据，并将数据显示为您的安全团队可以访问的仪表板。将成功访问阈值警报设置为 1。配置警报以便在达到警报阈值时尽可能频繁地自动通知您的安全团队。

C. 为日志文件创建一个 Amazon S3 存储桶。配置 VPC 流日志以捕获授权流量并将数据发送到 S3 存储桶。为您的日志文件配置 Amazon OpenSearch Service 集群和域。创建一个 AWS Lambda 函数来从 S3 存储桶中检索日志、格式化日志并将其加载到 OpenSearch 服务集群中。安排 Lambda 函数每 5 分钟运行一次。在 OpenSearch 服务中设置警报和条件，当检测到来自拒绝名单上的 IP 地址的访问时，通过 Amazon Simple Notification Service (Amazon SNS) 主题向您的安全团队发出警报。

D. 在 Amazon CloudWatch Logs 中创建日志组。创建一个 Amazon S3 存储桶来保存查询结果。配置 VPC 流日志以捕获所有流量并将数据发送到日志组。在 AWS Lambda 上部署 Amazon Athena CloudWatch 连接器。将连接器附加到日志组。配置 Athena 以定期查询来自拒绝列表中的 IP 地址的所有接受流量，并将结果存储在 S3 存储桶中。配置 S3 事件通知，当新对象添加到您的 S3 存储桶时，通过 Amazon Simple Notification Service (Amazon SNS) 主题自动通知您的安全团队。

答案：A

解释：
为了以最具成本效益的方式满足要求，DevOps 工程师应该在 Amazon CloudWatch Logs 中创建一个日志组，并配置 VPC 流日志以捕获授权流量并将该数据发送到日志组。然后，为拒绝列表中的 IP 地址创建 Amazon CloudWatch 指标过滤器，并以指标过滤器作为输入创建 CloudWatch 警报。将周期设置为 5 分钟，并将要报警的数据点设置为 1。最后，我们使用 Amazon Simple Notification Service (Amazon SNS) 主题向我们的安全团队发送警报通知。

选项A正确。我们提供经济高效的解决方案来满足您的要求。当检测到来自拒绝名单上的 IP 地址的流量时，CloudWatch 警报会近乎实时地通知您的安全团队。这使得安全团队能够记录应用程序需要额外的安全性。该解决方案不需要额外的服务或工具；它只是使用贵公司已经使用的 AWS 服务。

56 / 363

56.

No.56
DevOps 工程师使用 AWS CodePipeline 通过以下步骤自动部署 Web 服务：
1. AWS CodeBuild 项目编译部署工件并运行单元测试。
2. AWS CodeDeploy 部署组将 Web 服务部署到暂存环境中的 Amazon EC2 实例。
3.CodeDeploy部署组将Web服务部署到生产环境中的EC2实例。
质量保证 (QA) 团队需要获得权限才能在将构建工件部署到生产之前对其进行检查。 QA 团队希望运行内部渗透测试工具来执行手动测试。该工具通过 REST API 调用来调用。
DevOps 工程师应采取哪些行动组合来满足此请求？（选择两个。）

A. 在管道中的测试和部署操作之间插入手动批准操作。

B. 修改编译阶段的 buildspec.yml 文件，要求在完成前进行手动批准。

C.CodeDeploy 部署组将更新，需要手动批准才能继续。

D.更新管道以直接调用渗透测试工具的 REST API。

E. 更新管道以调用调用渗透测试工具的 REST API 的 AWS Lambda 函数。

答案：A、E

解释：
手动批准操作（A）允许您的 QA 团队在继续部署生产之前检查构建工件并运行内部渗透测试工具。

AWS Lambda 函数 (E) 可用于自动调用渗透测试工具的 REST API。这使您可以在管道内自动运行测试。这是有益的，因为它可以确保测试过程的一致性，并减少手动步骤，因为它可以通过编程完成。

57 / 363

57.

No.57
一家公司在 AWS 区域托管一个 Web 应用程序。为了灾难恢复目的，第二个区域被用作备用区域。灾难恢复要求要求会话数据在各个区域之间近乎实时地复制，并且 1% 的请求被路由到辅助区域以持续验证系统功能。此外，如果主区域出现服务中断，流量应自动路由到次要区域，次要区域应能够扩展以处理所有流量。
DevOps 工程师应该如何满足这些要求？

A. 将应用程序部署到 AWS Elastic Beanstalk，并使用 Amazon DynamoDB 全局表来存储两个区域中的会话数据。使用带有健康检查的 Amazon Route 53 加权路由策略来跨区域分配流量。

B. 在两个区域的 Auto Scaling 组中启动应用程序并使用 DynamoDB 存储会话数据。使用带有健康检查的 Route 53 故障转移路由策略来跨区域分配流量。

C. 在两个区域中由 Amazon API Gateway 公开的 AWS Lambda 上部署应用程序，并使用 Amazon RDS for PostgreSQL 进行跨区域复制以存储会话数据。部署具有客户端逻辑的 Web 应用程序以直接调用 API 网关。

D. 在两个区域的 Auto Scaling 组中启动应用程序，并使用 DynamoDB 全局表来存储会话数据。启用 Amazon CloudFront 跨区域加权分配。将您的 Amazon Route 53 DNS 记录指向您的 CloudFront 分发。

答案：A

解释：
CloudFront 可以进行故障转移，但不能进行加权路由。有关 CloudFront 中自动故障转移工作原理的更多信息，请参阅以下链接：

https://disaster-recovery.workshop.aws/en/services/networking/cloudfront/cloudfront-origin-group.html

B 和 C 不是 DynamoDB 全局表

D - 不要使用 Route53

58 / 363

58.

No.58
一家公司在 Amazon EC2 实例上运行应用程序。该公司使用一系列 AWS CloudFormation 堆栈来定义其应用程序资源。开发人员在笔记本电脑上构建和测试应用程序，并通过将构建输出和 CloudFormation 堆栈模板上传到 Amazon S3 来执行更新。在开发人员运行 CloudFormation 堆栈更新并在 EC2 实例上安装新版本的应用程序之前，开发人员的同事会检查这些更改。
当开发人员使用新应用程序更新每个 EC2 实例时，部署过程容易出错且耗时。该公司希望尽可能地实现应用程序部署流程的自动化，同时在进行任何应用程序或资源更改之前仍保留最终的手动批准步骤。
该公司已将其应用程序源代码和 CloudFormation 模板迁移到 AWS CodeCommit。您还可以创建一个 AWS CodeBuild 项目来构建和测试您的应用程序。
哪些步骤组合能够满足公司的要求？（选择两个。）

A. 在 AWS CodeDeploy 中创建一个应用程序组和一个部署组。在 EC2 实例上安装 CodeDeploy 代理。

B. 在 AWS CodeDeploy 中创建应用程序修订和部署组。在 CodeDeploy 中创建环境。将 EC2 实例注册到您的 CodeDeploy 环境。

C. 使用 AWS CodePipeline 调用 CodeBuild 作业，执行 CloudFormation 更新，并暂停手动批准步骤。批准后，AWS CodeDeploy 部署开始。

D. 使用 AWS CodePipeline 调用 CodeBuild 作业来为每个应用程序堆栈创建 CloudFormation 变更集并暂停以进行手动批准步骤。一旦获得批准，它将执行 CloudFormation 变更集并启动 AWS CodeDeploy 部署。

E. 使用 AWS CodePipeline 调用 CodeBuild 作业来为每个应用程序堆栈创建 CloudFormation 变更集并暂停以进行手动批准步骤。批准后，AWS CodeDeploy 部署开始。

答案：A、D

解释：

选项 A — 在此步骤中，您将设置环境以使用 AWS CodeDeploy 进行应用程序部署。 CodeDeploy 使用安装在 EC2 实例上的代理来执行部署任务。

选项 D - 在此选项中，您使用 CodePipeline 来协调流程。 CodeBuild 用于构建和测试应用程序。 CloudFormation 用于将基础设施更新准备为变更集。在应用更改之前会插入手动批准步骤。批准后，应用 CloudFormation 变更集并调用 CodeDeploy 将新版本的应用程序部署到 EC2 实例。

59 / 363

59.

No.59
一名 DevOps 工程师正在管理在应用程序负载均衡器 (ALB) 后面的 Amazon EC2 实例上运行的 Web 应用程序。这些实例在跨多个可用区域的 EC2 Auto Scaling 组中运行。工程师应实施以下部署策略：
启动具有与原始队列相同容量的第二个实例队列。
在第二舰队下水时，保持原有舰队不变。
待第二舰队全面部署后，将流量转移至第二舰队。
迁移后一小时，原有舰队将自动终止。
哪种解决方案可以满足这些要求？

A.使用 AWS CloudFormation 模板，将 ALB 保留策略设置为 1 小时。更新您的 Amazon Route 53 记录以反映新的 ALB。

B. 使用两个 AWS Elastic Beanstalk 环境从原始环境到新环境执行蓝/绿部署。创建应用程序版本生命周期策略，在一小时内终止原始环境。

C. 使用配置了蓝/绿部署配置的部署组的 AWS CodeDeploy 选择该选项以等待一小时的时间来终止部署组中的原始实例。

D.使用具有不可变配置的 AWS Elastic Beanstalk。创建一个带有 Resources 键的 .ebextension，将 ALB 的删除策略设置为 1 小时，然后部署您的应用程序。

答案：C

解释：

选项 B - 如果您使用两个 AWS Elastic Beanstalk 环境从原始环境到新环境执行蓝/绿部署，则第二组实例不会启动。相反，会创建一个新的环境并将应用程序版本部署在那里。此外，您必须使用应用程序版本生命周期策略在一小时内终止原始环境。

选项 D - 如果您使用配置设置为 Immutable 的 AWS Elastic Beanstalk，并创建一个将 ALB 的删除策略设置为 1 小时的 .ebextension，则不会启动第二个实例队列，并且在启动第二个队列时原始队列将保持不变。此外，.ebextension 方法不是在 AWS 中删除资源的推荐方法。

因此正确选项为C。也就是说，使用配置了蓝/绿部署设置的部署组 AWS CodeDeploy，并选择在部署组中等待一小时并终止原始实例的选项。

60 / 363

60.

No.60
一家视频共享公司将视频存储在 Amazon S3 上。该公司发现视频访问请求激增，但尚不清楚哪些视频最受欢迎。公司需要确定视频文件的典型访问模式。这些模式包括在特定日期访问特定文件的用户数量和针对特定文件的拉取请求数量。
如何以最小的努力满足这些要求？

A.启用 S3 服务器访问日志。将访问日志导入 Amazon Aurora 数据库。使用 Aurora SQL 查询分析访问模式。

B.启用 S3 服务器访问日志。使用 Amazon Athena 创建包含日志文件的外部表。使用 Athena 分析访问模式。

C. 针对所有 S3 对象访问事件调用 AWS Lambda 函数。配置 Lambda 函数以将文件访问信息（例如用户、S3 存储桶和文件密钥）写入 Amazon Aurora 数据库。使用 Aurora SQL 查询分析访问模式。

D. 记录所有 S3 对象访问事件的 Amazon CloudWatch Logs 日志消息。配置 CloudWatch Logs 日志流以将文件访问信息（例如用户、S3 存储桶和文件密钥）写入 Amazon Kinesis Data Analytics for SQL 应用程序。执行滑动窗口分析。

答案：B

解释：
Athena 是为这些用例而设计的，所以这就是答案。
AWS Athena 是一种无服务器交互式查询服务，可让您使用标准 SQL 分析存储在 Amazon Simple Storage Service (S3) 中的数据。

61 / 363

61.

No.61
开发团队希望使用 AWS CloudFormation 堆栈部署他们的应用程序。但是，开发人员 IAM 角色没有配置 AWS CloudFormation 模板中指定的资源所需的权限。 DevOps 工程师需要实施使开发人员能够部署堆栈的解决方案。解决方案应该遵循最小特权原则。
哪种解决方案可以满足这些要求？

A.创建一个允许开发人员配置所需资源的 IAM 策略。将策略附加到开发人员 IAM 角色。

B. 创建允许完全访问 AWS CloudFormation 的 IAM 策略。将策略附加到开发人员 IAM 角色。

C. 创建具有所需权限的 AWS CloudFormation 服务角色。授予开发人员 IAM 角色 cloudformation:* 操作。部署堆栈时使用新的服务角色。

D.创建具有所需权限的 AWS CloudFormation 服务角色。向开发人员 IAM 角色授予 iam:PassRole 权限。部署堆栈时使用新的服务角色。

答案：D

解释：
D 是正确答案。您需要创建具有所需权限的 Cloud Formation 角色。接下来，为 dev IAM 角色添加 iam:PassRole 权限，以便该角色可以传递给 CF。
答：ACF 中没有提到创建必要的权限。此外，您不应向开发人员授予权限。
B：允许完全访问违反最小特权策略。
没有提及授予 C: dev iam:PassRole 权限。

62 / 363

62.

No.62
生产账户有一个要求，即任何手动登录的 Amazon EC2 实例必须在 24 小时内终止。生产账户中的所有应用程序都使用配置了 Amazon CloudWatch Logs 代理的 Auto Scaling 组。
我怎样才能使这个过程自动化？

A.为您的 AWS Step Functions 应用程序创建 CloudWatch Logs 订阅。配置 AWS Lambda 函数，为生成登录事件的 EC2 实例添加标签并将该实例标记为退役。创建一个 Amazon EventBridge 规则，每天调用第二个 Lambda 函数一次，终止带有此标签的所有实例。

B. 创建由登录事件触发的 Amazon CloudWatch 警报。向您的运营团队订阅的 Amazon Simple Notification Service (Amazon SNS) 主题发送通知，并让运营团队在 24 小时内终止 EC2 实例。

C. 创建由登录事件触发的 Amazon CloudWatch 警报。配置要发送到 Amazon Simple Queue Service (Amazon SQS) 队列的警报。一组工作实例用于处理来自队列的消息并安排要调用的 Amazon EventBridge 规则。

D. 创建对 AWS Lambda 函数的 CloudWatch Logs 订阅。配置函数为生成登录事件的 EC2 实例添加标签，并将该实例标记为退役。创建一个 Amazon EventBridge 规则，每天调用一个 Lambda 函数来终止带有此标签的所有实例。

答案：D

解释：
D. 创建对 AWS Lambda 函数的 CloudWatch Logs 订阅。配置函数为生成登录事件的 EC2 实例添加标签，并将该实例标记为退役。创建一个 Amazon EventBridge 规则，每天调用一个 Lambda 函数来终止带有此标签的所有实例。

答：如果您使用 Step Functions，则无需包含调用第二个 Lambda 函数的 Amazon EventBridge 规则。
B：使用此方法，违反策略的 Ec2 将被手动终止，并且我们无法保证它们会在 24 小时内终止。
C：没有提到终止实例

63 / 363

63.

No.63
一家公司已启用 AWS Organizations 中的所有组织功能。该组织有 10 个 AWS 账户。该公司已为所有账户启用了 AWS CloudTrail。该公司预计，明年其组织内的 AWS 账户数量将增长到 500 个。该公司计划为这些账户使用多个 OU。
该公司已在其组织中每个现有的 AWS 账户中启用了 AWS Config。 DevOps 工程师需要实施一项解决方案，为组织中创建的所有未来 AWS 账户自动启用 AWS Config。
哪种解决方案可以满足这一要求？

A. 在您组织的托管账户中，创建一个响应 CreateAccount API 调用的 Amazon EventBridge 规则。您可以配置此规则来调用 AWS Lambda 函数，从而为您的组织提供对 AWS Config 的可信访问。

B. 在您组织的管理账户中，创建一个启用 AWS Config 的 AWS CloudFormation 堆栈集。配置堆栈集以在通过组织创建账户时自动部署。

C. 在您组织的管理账户中，创建一个允许适当的 AWS Config API 调用的 SCP，以启用 AWS Config。将 SCP 应用于根级 OU。

D. 在组织的托管账户中，创建响应 CreateAccount API 调用的 Amazon EventBridge 规则。配置规则以调用 AWS Systems Manager Automation 运行手册来在您的账户中启用 AWS Config。

答案：B

解释：
该问题要求提供一个解决方案，以便为所有未来帐户“自动启用 AWS Config”。 AWS Organizations 使用 ACF 在其他账户中配置或配置资源

A、C、D：未提及 ACF

选项 B 是正确的解决方案，可为您组织中创建的所有未来 AWS 账户自动启用 AWS Config。在您组织的管理账户中，创建一个 AWS CloudFormation 堆栈集以启用 AWS Config。配置您的堆栈集以在通过组织创建账户时自动部署。

选项C不正确。虽然它建议通过创建允许适当的 AWS Config API 调用的 SCP 来启用 AWS Config，然后将该 SCP 应用于根级 OU，但它并没有明确说明 AWS Config 将为您组织中创建的所有未来 AWS 账户自动启用。

64 / 363

64.

No.64
一个公司有很多应用程序。公司内部的各个团队使用多种语言和框架开发应用程序。应用程序在内部和具有不同操作系统的不同服务器上运行。每个团队都有自己的发布协议和流程。该公司希望降低发布和维护这些应用程序的复杂性。
该公司正在将其技术堆栈（包括这些应用程序）迁移到 AWS。该公司希望集中源代码管理、一致的自动交付流程以及尽可能少的底层基础设施维护任务。
DevOps 工程师应该怎么做才能满足这些要求？

A. 为您的所有应用程序创建一个 AWS CodeCommit 存储库。将每个应用程序的代码放在不同的分支中。合并分支并使用 AWS CodeBuild 构建应用程序。使用 AWS CodeDeploy 将您的应用程序部署到一个集中式应用程序服务器。

B. 为每个应用程序创建一个 AWS CodeCommit 存储库。使用 AWS CodeBuild 逐个构建您的应用程序。使用 AWS CodeDeploy 将您的应用程序部署到一个集中式应用程序服务器。

C. 为每个应用程序创建一个 AWS CodeCommit 存储库。使用 AWS CodeBuild 逐个构建您的应用程序，为每个服务器创建一个 AMI。使用 AWS CloudFormation StackSets 使用这些 AMI 自动配置和停用您的 Amazon EC2 队列。

D. 为每个应用程序创建一个 AWS CodeCommit 存储库。使用 AWS CodeBuild 为 Amazon Elastic Container Registry (Amazon ECR) 中的每个应用程序构建一个 Docker 映像。使用 AWS CodeDeploy 将应用程序部署到由 AWS Fargate 管理的基础设施上的 Amazon Elastic Container Service (Amazon ECS)。

答案：D

解释：
选项 D 是满足集中源代码管理、一致的自动交付流程和最少维护任务的要求的最佳选择。
选项 D 是最佳选择，因为每个应用程序都可以拥有自己的存储库和构建流程，同时使用容器化来创建一致的自动化交付管道，并且可以轻松部署到由 AWS Fargate 管理的基础设施上的 Amazon ECS。这种方法还提供了可扩展性和易于维护性。

65 / 363

65.

No.65
一家公司的应用程序当前部署在单个 AWS 区域中。最近，该公司在另一个大陆开设了一个新办事处。新办公室的用户遇到了较高的延迟。该公司的应用程序在应用程序负载均衡器 (ALB) 后面的 Amazon EC2 实例上运行，并使用 Amazon DynamoDB 作为数据库层。这些实例在跨多个可用区域的 EC2 Auto Scaling 组中运行。 DevOps 工程师的任务是最大限度地缩短应用程序响应时间并提高两个地区用户的可用性。
应采取哪些措施组合来解决延迟问题？（选择三项）

A.在新区域中创建一个新的 DynamoDB 表，并启用跨区域复制。

B. 创建新的 ALB 和 Auto Scaling 组全局资源，并配置新的 ALB 以将流量引导至新的 Auto Scaling 组。

C. 在新区域中创建新的 ALB 和 Auto Scaling 组资源，并配置新的 ALB 以将流量引导至新的 Auto Scaling 组。

D. 创建 Amazon Route 53 记录、健康检查和基于延迟的路由策略以路由到 ALB。

E. 创建 Amazon Route 53 别名、健康检查和故障转移路由策略以路由到 ALB。

F.将 DynamoDB 表转换为全局表。

答案：C、D、F

解释：
C. 在新区域中创建新的 ALB 和 Auto Scaling 组资源，并配置新的 ALB 以将流量引导至新的 Auto Scaling 组。这减少了用户和应用程序服务器之间的网络跳数，从而允许新区域中的用户以更低的延迟访问您的应用程序。

D. 创建 Amazon Route 53 记录、健康检查和基于延迟的路由策略以路由到 ALB。这使得 Route 53 能够根据用户和 ALB 之间的延迟将用户流量路由到最近的健康 ALB。

F.将 DynamoDB 表转换为全局表。这使得对两个区域中的表的读取和写入具有低延迟，从而提高了应用程序的总体响应时间。

66 / 363

66.

No.66
DevOps 工程师需要将一组核心安全控制应用于现有的一组 AWS 账户。该账户位于 AWS Organizations 内的组织内。各个团队使用 AdministratorAccess AWS 托管策略管理其各自的帐户。适用于所有帐户。应在所有提供 AWS CloudTrail 和 AWS Config 的 AWS 区域中启用它们。个人账户管理员不能编辑或删除基线资源。但是，个人账户管理员应该能够编辑或删除他们自己的 CloudTrail 跟踪和 AWS Config 规则。
哪种解决方案可以最有效地管理这些要求？

A.创建一个定义标准账户资源的 AWS CloudFormation 模板。使用 CloudFormation StackSets 将模板从组织的管理账户部署到所有账户。设置堆栈策略以拒绝更新：删除操作。

B.启用 AWS Control Tower。将现有账户注册到 AWS Control Tower。授予个人账户管理员访问 CloudTrail 和 AWS Config 的权限。

C. 指定 AWS Config 管理账户。使用 AWS CloudFormation StackSets 在所有账户中创建 AWS Config 记录器。使用 AWS Config 管理账户将 AWS Config 规则部署到您的组织。在您组织的管理账户中创建 CloudTrail 组织跟踪。使用 SCP 拒绝修改或删除 AWS Config 记录器。

D. 创建一个定义标准账户资源的 AWS CloudFormation 模板。使用 Cloud Formation StackSets 将模板从组织的管理员帐户部署到所有帐户。创建一个 SCP，以防止对 CloudTrail 或 AWS Config 资源进行任何更新或删除，除非委托人是您组织中托管账户的管理员。

答案：D
对于为选项 C 或 D 而争论不休的人来说：

选项 D 是更好的选择，因为它使用 CloudFormation StackSets 在每个账户中部署了所有必需的基线资源（包括 CloudTrail 和 AWS Config），然后使用 SCP 将其锁定。这种设置确保只有管理帐户的管理员才能更改或删除这些核心安全控制。
同时，单个账户管理员仍可管理他们自己创建的任何额外 CloudTrail 轨迹或 Config 规则。

但是，选项 C 主要侧重于 AWS 配置记录器，并没有明确涵盖 CloudTrail，因此不能为我们提供完整的解决方案。

67 / 363

67.

No.67
一家公司在 AWS Organizations 内的组织中拥有 AWS 账户。 AWS Config 在每个 AWS 账户中手动配置。该公司需要实施一项解决方案，为组织中的所有账户集中配置 AWS Config。该解决方案还要求将资源变化记录在中央账户中。
DevOps 工程师应采取哪些行动组合来满足这些要求？（选择两个。）

A.为 AWS Config 设置委派管理员账户。在您的组织中启用对 AWS Config 的可信访问。

B. 为 AWS Config 配置委派管理员账户。在您组织的管理账户中为 AWS Config 创建服务相关角色。

C. 创建 AWS CloudFormation 模板以创建 AWS Config 聚合器。配置 CloudFormation 堆栈集以将模板部署到组织中的所有账户。

D.在组织的管理账户中创建 AWS Config 组织聚合器。配置从组织中的所有 AWS 账户和所有 AWS 区域收集数据。

E. 在委派管理员账户中创建 AWS Config 组织聚合器。配置从组织中的所有 AWS 账户和所有 AWS 区域收集数据。

答案：A、E

解释：
https://aws.amazon.com/blogs/mt/org-aggregator-delegated-admin/
答 - 启用信任会创建与服务相关的角色，但反之则不然。
E - 委托账户是管理 AWS 配置的账户，因此需要集中收集所有数据。

68 / 363

68.

No.68
一家公司希望将其托管在 Amazon EC2 上的内容共享 Web 应用程序迁移到无服务器架构。该公司目前正在通过创建一个新的 EC2 实例 Auto Scaling 组和一个新的 Elastic Load Balancer，并使用 Amazon Route 53 加权路由策略移动流量来对其应用程序进行更改。
该公司计划将 Amazon API Gateway 和 AWS Lambda 用于其新的无服务器应用程序。公司将需要更新他们的部署流程来适应新的应用程序。您还需要保留与少数用户测试新功能的能力，然后再将其推广到整个用户群。
哪种部署策略可以满足这些要求？

A.使用 AWS CDK 部署 API 网关和 Lambda 函数。如果需要更改代码，您可以更新 AWS CloudFormation 堆栈并部署 API 和 Lambda 函数的新版本。对于金丝雀发布策略，使用 Route 53 故障转移路由策略。

B. 使用 AWS CloudFormation 部署 API 网关和使用 Lambda 函数版本的 Lambda 函数。如果需要更改代码，请使用新的 Lambda 代码更新 CloudFormation 堆栈，并使用金丝雀发布策略更新 API 版本。测试完成后，推广新版本。

C. 使用 AWS Elastic Beanstalk 部署 API 网关和 Lambda 函数。如果您需要更改代码，请部署新版本的 API 和 Lambda 函数。使用 Elastic Beanstalk 蓝/绿部署逐步转移流量。

D. 使用 AWS OpsWorks 在服务层部署 API 网关，在自定义层部署 Lambda 函数。如果需要更改代码，请使用 OpsWorks 执行蓝/绿部署以逐步转移流量。

答案：B

解释：

选项 A - 错误：不要使用 Canary 或 Blue/Green。

选项 B - 选项 B 为公司新的无服务器架构提供了部署策略。这使得公司能够在向整个用户群推出新功能之前，先与少数用户测试新功能。使用 AWS CloudFormation，公司可以使用 Lambda 函数版本部署 API 网关和 Lambda 函数。如果需要更改代码，您可以使用新的 Lambda 代码更新您的 CloudFormation 堆栈，并使用金丝雀发布策略更新 API 版本。测试完成后，您可以推广新版本。

选项 C - 错误：Beanstalk 不是无服务器部署平台

选项 D — 错误：没关系。 OpsWork 是一个配置管理平台，情况需要应用程序部署/AWS 资源配置平台。

69 / 363

69.

No.69
开发团队使用 AWS CodeCommit、AWS CodePipeline 和 AWS CodeBuild 来开发和部署应用程序。代码更改通过拉取请求提交。开发团队审查并合并拉取请求，然后管道构建并测试应用程序。
随着时间的推移，拉取请求的数量不断增加。管道经常由于测试失败而被堵塞。为了防止这种阻塞，开发团队希望在合并之前对每个拉取请求运行单元和集成测试。
哪种解决方案可以满足这些要求？

A. 创建一个 CodeBuild 项目来运行单元和集成测试。创建 CodeCommit 批准规则模板。配置您的模板以要求成功调用 CodeBuild 项目。将批准规则附加到项目的 CodeCommit 存储库。

B. 创建与来自 CodeCommit 的 pullRequestCreated 事件匹配的 Amazon EventBridge 规则。创建 CodeBuild 项目来运行单元和集成测试。将您的 CodeBuild 项目配置为 EventBridge 规则的目标，该规则包含自定义事件负载，其中包含来自事件的 CodeCommit 存储库和分支信息。

C. 创建与来自 CodeCommit 的 pullRequestCreated 事件匹配的 Amazon EventBridge 规则。如果构建是从拉取请求发起的，则修改现有的 CodePipeline 管道以不运行部署步骤。配置 EventBridge 规则以运行具有自定义负载的管道，该负载包含来自事件的 CodeCommit 存储库和分支信息。

D.创建一个 CodeBuild 项目来运行单元和集成测试。创建一个与拉取请求的创建或更新时间匹配的 CodeCommit 通知规则。配置通知规则并启动您的 CodeBuild 项目。

答案：B

解释：
为了在合并之前对每个拉取请求运行单元和集成测试，监听 pullRequestCreated 事件并运行 CodeBuild 项目来运行测试的解决方案是最合适的选择。

选项 B 描述了一种解决方案，您可以创建一条与来自 CodeCommit 的 pullRequestCreated 事件匹配的 Amazon EventBridge 规则，配置一个 CodeBuild 项目来运行单元和集成测试，并将来自事件的 CodeCommit 存储库和分支信息作为自定义负载传递。

因此，选项B正确。

70 / 363

70.

No.70
一家公司有一个在 Amazon EC2 实例群上运行的应用程序。应用程序需要频繁重启。如果需要重新启动，应用程序日志将包含错误消息。应用程序日志发布到 Amazon CloudWatch Logs 中的日志组。
如果日志包含许多与重启相关的错误消息，Amazon CloudWatch 警报会通过 Amazon Simple Notification Service (Amazon SNS) 主题通知应用程序工程师。应用工程师收到SNS主题的通知后，手动在实例上重启应用程序。
DevOps 工程师需要实施一个解决方案，无需重新启动实例即可自动重启实例上的应用程序。
哪种解决方案能够以最具运营效率的方式满足这些要求？

A. 配置一个 AWS Systems Manager Automation 运行手册，运行脚本来重新启动实例上的应用程序。配置 SNS 主题来触发运行手册。

B. 创建一个 AWS Lambda 函数，重新启动实例上的应用程序。将 Lambda 函数配置为 SNS 主题的事件目标。

C. 配置一个 AWS Systems Manager Automation 运行手册，执行脚本来重新启动实例上的应用程序。创建一个启动运行手册的 AWS Lambda 函数。将 Lambda 函数配置为 SNS 主题的事件目标。

D. 配置一个 AWS Systems Manager Automation 运行手册，执行脚本来重新启动实例上的应用程序。配置 Amazon EventBridge 规则以在 CloudWatch 警报进入 ALARM 状态时做出反应。指定运行手册作为规则的目标。

答案：D

解释：
C 和 D 都是有争议的，因为它们在各自的方式中都是正确和简单的，但让我们看看每种方法的组件数量：

C: CW -> SNS -> LAMBDA -> SSM （4）

D：CW->EVENTBRIDGE->SSM (3)

C 有一个需要维护的附加组件（SNS），并且此选项涉及的一些编码也需要维护。

即使您已经在选项 C 中创建了 SNS，您也需要去那里删除通知并配置 Lambda 调用。

选项 D 的组件较少，需要的定制也较少。

71 / 363

71.

No.71
一家公司的 DevOps 工程师正在支持所有用户使用 AWS IAM Identity Center（AWS Single Sign-On）的 AWS 环境。该公司希望立即撤销新 IAM 用户的凭证并通知其安全团队。
DevOps 工程师应采取哪些步骤组合来满足这些要求？（选择三个。）

A. 创建一个响应 AWS CloudTrail 中的 IAM CreateUser API 调用的 Amazon EventBridge 规则。

B. 创建一个响应 AWS CloudTrail 中的 IAM GetLoginProfile API 调用的 Amazon EventBridge 规则。

C. 创建一个 AWS Lambda 函数，作为 EventBridge 规则的目标。配置 Lambda 函数以禁用访问密钥并删除与 IAM 用户关联的登录配置文件。

D.创建一个 AWS Lambda 函数，作为 EventBridge 规则的目标。配置 Lambda 函数以删除与 IAM 用户关联的登录配置文件。

E. 创建一个 Amazon Simple Notification Service (Amazon SNS) 主题，作为 EventBridge 规则的目标。使用您的安全团队的群组电子邮件地址订阅该主题。

F. 创建一个 Amazon Simple Queue Service (Amazon SQS) 队列作为 Lambda 函数的目标。将您的安全团队的群组电子邮件地址排队。

答案：A、C、E

解释：
ACE 是正确的。 <禁用新 IAM 用户的凭证> 表示禁用与该用户关联的所有访问密钥和配置文件。 <安全团队将收到通知> 表示 SNS
B：GetLoginProfile API 与创建新用户不同
D：您必须删除与用户关联的所有访问密钥和配置文件，而不仅仅是配置文件
F：需要 SNS，而不是 SQS

72 / 363

72.

No.72
一家公司想要建立一条持续交付管道。该公司将其应用程序代码存储在私人 GitHub 存储库中。该公司需要在 Amazon Elastic Container Service (Amazon ECS)、Amazon EC2 和 AWS Lambda 上部署应用程序组件。管道必须支持手动批准操作。
哪种解决方案可以满足这些要求？

A. 使用 AWS CodePipeline 以及 Amazon ECS、Amazon EC2 和 Lambda 作为部署提供程序。

B. 使用 AWS CodePipeline 和 AWS CodeDeploy 作为部署提供程序。

C. 使用 AWS CodePipeline 和 AWS Elastic Beanstalk 作为部署提供程序。

D. 使用与 GitHub 集成的 AWS CodeDeploy 部署应用程序。

答案：B

解释：
因为有这么一个术语：“管道必须支持手动审批操作”。
如果没有管道，这是不可能的。

使用 codePipeline 和 codeDeploy 的 ECS 部署解决方案

创建 CodeDeploy 应用程序和部署组（ECS 计算平台）

https://docs.aws.amazon.com/codepipeline/latest/userguide/tutorials-ecs-ecr-codedeploy.html#tutorials-ecs-ecr-codedeploy-deployment

73 / 363

73.

No.73
一家公司有一个在 Auto Scaling 组中的 Amazon EC2 实例上运行的应用程序。当您的应用程序启动时，它需要处理来自 Amazon S3 存储桶的数据，然后才能开始处理请求。
S3 存储桶中存储的数据大小正在增加。当 Auto Scaling 组添加新实例时，需要几分钟时间下载并处理数据，然后应用程序才能处理请求。该公司需要减少新的 EC2 实例可用于处理请求所需的时间。
提高应用程序启动时间最具成本效益的方法是什么？

A.为您的 Auto Scaling 组配置一个热池并配置已停止、已加热的 EC2 实例。在您的 Auto Scaling 组上配置 autoscaling:EC2_INSTANCE_LAUNCHING 生命周期挂钩。当您的应用程序准备好处理请求时，修改您的应用程序以完成生命周期挂钩。

B.增加 Auto Scaling 组的最大实例数。在您的 Auto Scaling 组上配置 autoscaling:EC2_INSTANCE_LAUNCHING 生命周期挂钩。当您的应用程序准备好处理请求时，修改您的应用程序以完成生命周期挂钩。

C. 为 Auto Scaling 组配置一个热池，其中已预热的 EC2 实例处于运行状态。在您的 Auto Scaling 组上配置 autoscaling:EC2_INSTANCE_LAUNCHING 生命周期挂钩。当您的应用程序准备好处理请求时，修改您的应用程序以完成生命周期挂钩。

D.增加 Auto Scaling 组的最大实例数。在您的 Auto Scaling 组上配置 autoscaling:EC2_INSTANCE_LAUNCHING 生命周期挂钩。修改您的应用程序以完成生命周期挂钩，并在您的应用程序准备好处理请求时将新实例置于待机状态。

答案：A

解释：
选项A是最具成本效益的解决方案。通过配置已停止的 EC2 实例的热池，公司可以减少新实例可用于处理请求所需的时间。当 Auto Scaling 组启动新实例时，它可以从热池中连接已停止的 EC2 实例。然后，您可以立即启动实例，而不必等待数据下载和处理。这可以缩短应用程序的整体启动时间。

选项 C 也是一种使用 EC2 实例温池的解决方案，但实例处于运行状态。这意味着实例虽然当前没有为请求提供服务，但已经正在运行并产生费用。这不是一个具有成本效益的解决方案。

74 / 363

74.

No.74
一家公司使用 AWS CodeBuild 项目来构建和打包应用程序。这些包被复制到共享的 Amazon S3 存储桶中，然后部署到多个 AWS 账户。
buildspec.yml 文件包含以下内容：

版本：0.2
阶段：
建造：
命令：
- 构建-o myapp
构建后：
命令：
-aws s3 cp --acl authenticated-read myapp s3://artifacts/

DevOps 工程师意识到任何拥有 AWS 账户的人都可以下载这些工件。
DevOps 工程师应采取什么措施来阻止这种情况发生？

A. 修改 post_build 命令以使用 --acl public-read 并配置仅允许对关联 AWS 账户进行读取访问的存储桶策略。

B. 为 S3 存储桶配置一个默认 ACL，将经过身份验证的用户集定义为仅关联的 AWS 账户并允许只读访问。

C.创建一个 S3 存储桶策略，授予对关联 AWS 账户的读取访问权限，并拒绝对主体“*”的读取访问权限。

D. 修改 post_build 命令以删除 --acl authenticated-read，并设置仅允许对关联 AWS 账户进行读取访问的存储桶策略。

答案：D

解释：
“--acl authenticated-read”表示任何经过身份验证的用户都可以读取 S3 存储桶。您必须将其删除并设置明确允许访问的存储桶策略。

75 / 363

75.

No.75
一家公司开发了一个托管在 AWS 上的无服务器 Web 应用程序。该应用程序包括 Amazon S3、Amazon API Gateway、多个 AWS Lambda 函数以及 Amazon RDS for MySQL 数据库。该公司使用 AWS CodeCommit 来存储其源代码。源代码是 AWS 无服务器应用程序模型 (AWS SAM) 模板和 Python 代码的组合。
安全审计和渗透测试表明，数据库身份验证的用户名和密码在 CodeCommit 存储库中是硬编码的。 DevOps 工程师应该实施自动检测和防止硬编码秘密的解决方案。
满足这些要求的最安全的解决方案是什么？

A.启用 Amazon CodeGuru Profiler。使用 @with_lambda_profiler() 装饰你的处理函数。手动审查建议报告。将密钥作为安全字符串写入 AWS Systems Manager 参数存储。更新您的 SAM 模板和 Python 代码以从参数存储中检索机密。

B.将 CodeCommit 存储库与 Amazon CodeGuru Reviewer 关联。手动审查代码审查中的建议。选择保护您的秘密的选项。更新您的 SAM 模板和 Python 代码以从 AWS Secrets Manager 检索机密。

C.启用 Amazon CodeGuru Profiler。使用 @with_lambda_profiler() 装饰你的处理函数。手动审查建议报告。选择保护您的秘密的选项。更新您的 SAM 模板和 Python 代码以从 AWS Secrets Manager 检索机密。

D.将 CodeCommit 存储库与 Amazon CodeGuru Reviewer 关联。手动审查代码审查中的建议。将密钥作为字符串写入 AWS Systems Manager 参数存储。更新您的 SAM 模板和 Python 代码以从参数存储中检索机密。

答案：B

解释：
满足您自动检测和防止硬编码机密的要求的最安全的解决方案是使用 AWS CodeGuru Reviewer 检查您的代码中是否存在硬编码机密，然后更新您的 SAM 模板和 Python 代码以从 AWS Secrets Manager 中检索机密。

正确答案是选项B。通过将您的 CodeCommit 存储库与 Amazon CodeGuru Reviewer 关联，您可以在代码审查期间检查代码中是否存在硬编码机密。当检测到硬编码密钥时，CodeGuru Reviewer 建议更新您的代码以从安全存储服务（例如 AWS Secrets Manager）检索密钥。 DevOps 工程师可以选择保护机密的选项并更新他们的 SAM 模板和 Python 代码以从 AWS Secrets Manager 检索机密，而不是在代码中对其进行硬编码。

76 / 363

76.

No.76
一家公司使用 Amazon S3 存储桶来存储重要文件。该公司发现其部分 S3 存储桶未加密。目前，贵公司的 IAM 用户可以创建不加密的新 S3 存储桶。我的公司正在实施一项新要求，即所有 S3 存储桶都必须加密。
DevOps 工程师必须实施解决方案，以确保所有现有和所有新的 S3 存储桶都启用了服务器端加密。您必须在创建 S3 存储桶后立即在新的 S3 存储桶上启用加密。默认加密类型必须是 256 位高级加密标准 (AES-256)。
哪种解决方案可以满足这些要求？

A. 创建一个 AWS Lambda 函数，该函数由 Amazon EventBridge 中的计划规则定期调用。编写一个 Lambda 函数来扫描所有当前 S3 存储桶的加密状态，并将 AES-256 设置为所有没有加密配置的 S3 存储桶的默认加密。

B. 配置并激活 s3-bucket-server-side-encryption-enabled AWS Config 托管规则。配置规则以使用 AWS-EnableS3BucketEncryption AWS Systems Manager Automation 运行手册作为补救措施。手动运行重新评估过程以确保您现有的 S3 存储桶符合要求。

C. 创建一个由 Amazon EventBridge 事件规则调用的 AWS Lambda 函数。定义一条与新 S3 存储桶的创建相匹配的事件模式的规则。编写一个 Lambda 函数来解析 EventBridge 事件，从事件中确定 S3 存储桶配置，并将 AES-256 设置为默认加密。

D.配置一个 IAM 策略，如果 s3：x-amz-server-side-encryption 条件键的值不是 AES-256，则拒绝 s3：CreateBucket 操作。为您公司的所有 IAM 用户创建一个 IAM 组。将 IAM 策略附加到 IAM 组。

答案：B

解释：
B 既对应现有的 bucket，也对应新的 bucket。

C 在创建新存储桶时触发；现有存储桶不会被事件处理。

77 / 363

No.77
一位 DevOps 工程师正在为公司在 AWS 上运行的软件即服务 (SaaS) Web 应用程序设计持续开发策略。出于应用程序和安全原因，订阅此应用程序的用户分布在多个应用程序负载均衡器 (ALB) 中，每个都有自己的 Auto Scaling 组和 Amazon EC2 实例群。应用程序不需要构建阶段。当应用程序提交给 AWS CodeCommit 时，它应该触发向所有 ALB、Auto Scaling 组和 EC2 队列的同时部署。

77. 哪种架构可以以最少的配置满足这些要求？

A. 创建单个 AWS CodePipeline 管道来并行部署应用程序，并为每个 ALB-Auto Scaling 组对创建唯一的 AWS CodeDeploy 应用程序和部署组。

B. 创建单个 AWS CodePipeline 管道，使用单个 AWS CodeDeploy 应用程序和单个部署组部署应用程序。

C. 对于每个 ALB-Auto Scaling 组对，创建一个 AWS CodePipeline 管道，该管道使用单个 AWS CodeDeploy 应用程序和唯一的部署组并行部署应用程序。

D. 对于每个 ALB-Auto Scaling 组对，创建一个 AWS CodePipeline 管道，该管道使用为同一 ALB-Auto Scaling 组对创建的 AWS CodeDeploy 应用程序和部署组来部署应用程序。

答案：C

解释：

选项 C - 在这种情况下，您可以拥有一个 CodeDeploy 应用程序和多个部署组。

C 是正确的：<应用程序必须触发并发部署>表示并行部署

B和D：没有提到并行部署

答：<为每个 ALB-Auto Scaling 组对创建唯一的 AWS CodeDeploy 应用程序和部署组> 意味着每个站点有多个 AWS CodeDeploy 应用程序和部署组，这是不必要的。

78 / 363

78.

No.78
一家公司从 Amazon S3 存储桶托管静态网站。该网站由 example.com 向客户提供。该公司使用 Amazon Route 53 加权路由策略，TTL 为 1 天。该公司决定用动态网络应用程序取代其现有的静态网站。动态 Web 应用程序在 Amazon EC2 实例组前面使用应用程序负载均衡器 (ALB)。
在向客户发布产品当天，该公司会创建一个额外的 Route 53 加权 DNS 记录条目，指向 ALB，权重为 255，TTL 为 1 小时。两天后，这位 DevOps 工程师注意到客户在导航到 example.com 时有时会看到之前的静态网站。
DevOps 工程师如何确保他们的公司仅为 example.com 提供动态内容？

A.从包含静态网站内容的 S3 存储桶中删除所有对象（包括以前的版本）。

B. 更新加权 DNS 记录条目以指向 S3 存储桶。将权重应用到 0。要使更改立即生效，请指定域重置选项。

C. 使用重定向到您的 ALB 的主机名为您的 S3 存储桶配置网页重定向请求。

D.从 example.com 托管区域中删除指向您的 S3 存储桶的加权 DNS 记录条目。等待 DNS 传播完成。

答案：D

解释：B 不正确。

Route 53 最初仅考虑具有非零权重的记录（如果有）。

如果所有权重大于 0 的记录都是不健康的，Route 53 会考虑权重为零的记录。

79 / 363

79.

No.79
一家公司正在实施 AWS CodePipeline 来自动化其测试流程。我希望在执行状态失败时收到通知，因此我在 Amazon EventBridge 中使用了以下自定义事件模式：

{
"source": [
"aws.codepipeline"
],
"detail-type": [
"CodePipeline Action Execution State Change"
],
"detail": {
"state" [
"FAILED"
],
"type": {
"category": ["Approval"]
}
}
}
哪些类型的事件与此事件模式匹配？

A. 部署并构建所有管道中失败的操作

B. 所有管道中被拒绝或失败的所有审批操作

C. 所有管道中的所有事件

D. 每条管道的审批行动

答案：B

解释：
使用此示例事件模式来捕获所有管道中被拒绝或失败的所有批准操作。

https://docs.aws.amazon.com/codepipeline/latest/userguide/detect-state-changes-cloudwatch-events.html

80 / 363

No.80
在 Auto Scaling 组中的一组 Amazon EC2 实例上运行的应用程序需要配置文件才能运行。使用 AWS CloudFormation 创建和维护实例。 DevOps 工程师希望在启动实例时使用最新的配置文件，并且当 CloudFormation 模板更新时，配置文件的更改会以最小的延迟传播到所有实例。公司政策要求应用程序配置文件与 AWS 基础设施配置文件一起在源代码控制中维护。

80. 哪些解决方案可以实现这一点？

A. 在您的 CloudFormation 模板中，添加一条 AWS Config 规则。将配置文件的内容放在规则的 InputParameters 属性中，并将 Scope 属性设置为 EC2 Auto Scaling 组。要轮询配置更新，请将 AWS Systems Manager 资源数据同步资源添加到模板中。

B. 在您的 CloudFormation 模板中，添加 EC2 启动模板资源。将配置文件的内容放在启动模板中。配置 cfn-init 脚本在实例启动时运行，并配置 cfn-hup 脚本以轮询配置更新。

C. 在您的 CloudFormation 模板中，添加 EC2 启动模板资源。将配置文件的内容放在启动模板中。要轮询配置更新，请将 AWS Systems Manager 资源数据同步资源添加到模板中。

D. 在您的 CloudFormation 模板中，添加 CloudFormation 初始化元数据。将配置文件的内容放入元数据中。配置 cfn-init 脚本在实例启动时运行，并配置 cfn-hup 脚本以轮询配置更新。

答案：D

解释：
使用 AWS::CloudFormation::Init 类型在您的 cfn-init 帮助程序脚本中包含您的 Amazon EC2 实例的元数据。如果您的模板调用 cfn-init 脚本，该脚本将查找以 AWS::CloudFormation::Init 元数据键为根的资源元数据。参考：
https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-init.html

81 / 363

No.81
一家公司管理一个将日志存储在 Amazon CloudWatch Logs 中的应用程序。该公司希望将日志存档到 Amazon S3 存储桶。 90 天后日志很少被访问，必须保留 10 年。

81. DevOps 工程师应采取哪些步骤组合来满足这些要求？（选择两个。）

A.配置 CloudWatch Logs 订阅过滤器以使用 AWS Glue 将所有日志转发到 S3 存储桶。

B. 配置 CloudWatch Logs 订阅过滤器，以使用 Amazon Kinesis Data Firehose 将所有日志流式传输到 S3 存储桶。

C. 配置 CloudWatch Logs 订阅过滤器以将所有日志流式传输到 S3 存储桶。

D. 为您的 S3 存储桶配置生命周期策略，以便在 90 天后将日志转换到 S3 Glacier，并在 3,650 天后使日志过期。

E. 为您的 S3 存储桶配置生命周期策略，以便将日志在 90 天后转换为减少冗余，并在 3,650 天后使日志过期。

答案：BD

解释：
Amazon Kinesis Data Firehose 简化了将流数据加载到 S3 的过程，并提供自动扩展、缓冲和重试功能。

82 / 363

No.82
一家公司正在开发一款新的应用程序。此应用程序使用 AWS Lambda 函数作为计算层。公司应该使用金丝雀部署来更改 Lambda 函数。如果报告失败，则应执行自动回滚。

82. 公司的 DevOps 团队需要为该解决方案创建基础设施即代码 (IaC) 和 CI/CD 管道。

哪些步骤组合可以满足这些要求？（选择三个）

A.为您的应用程序创建一个 AWS CloudFormation 模板。您可以使用 AWS::Lambda::Function 资源类型定义模板中的每个 Lambda 函数。在您的模板中，使用 AWS::Lambda::Version 资源类型来包含您的 Lambda 函数的版本。声明 CodeSha256 属性。配置一个指向您的 Lambda 函数最新版本的 AWS::Lambda::Alias 资源。

B. 为应用程序创建 AWS 无服务器应用程序模型 (AWS SAM) 模板。您可以使用 AWS::Serverless::Function 资源类型定义模板中的每个 Lambda 函数。对于每个功能，包括 AutoPublishAlias 和 DeploymentPreference 属性的设置。将部署配置类型设置为 LambdaCanary10Percent10Minutes。

C.创建 AWS CodeCommit 存储库。创建 AWS CodePipeline 管道。在启动管道的新源阶段中使用 CodeCommit 存储库。创建 AWS CodeBuild 项目以部署 AWS 无服务器应用程序模型 (AWS SAM) 模板。将模板和源代码上传到 CodeCommit 存储库。在您的 CodeCommit 存储库中，创建一个 buildspec.yml 文件，其中包含用于构建和部署 SAM 应用程序的命令。

D.创建 AWS CodeCommit 存储库。创建 AWS CodePipeline 管道。在启动管道的新源阶段中使用 CodeCommit 存储库。创建一个为金丝雀部署配置的 AWS CodeDeploy 部署组，其 DeploymentPreference 类型为 Canary10Percent10Minutes。将 AWS CloudFormation 模板和源代码上传到 CodeCommit 存储库。在您的 CodeCommit 存储库中，创建一个 appspec.yml 文件，其中包含用于部署 CloudFormation 模板的命令。

E. 为所有 Lambda 函数创建 Amazon CloudWatch 复合警报。配置 Lambda 的评估期和维度。配置警报，如果检测到错误或数据不足则进入 ALARM 状态。

F. 为每个 Lambda 函数创建一个 Amazon CloudWatch 警报。如果检测到错误，则设置警报进入 ALARM 状态。将评估期内的命名空间设置为 AWS/Lambda，将每个 Lambda 函数和版本的维度以及错误指标设置为。

答案：BCF

解释：
BCF 是正确的：
图像 A 是不正确的：<应该创建基础设施即代码 (IaC)> 意味着更喜欢 AWS SAM 而不是 ACF。 ACF用于部署AWS实例，而不是IaC
D 不正确：未提及 AWS SAM
E 不正确：<Amazon CloudWatch 为所有 Lambda 函数设置复合警报> 但我想要为每个 Lambda 函数设置一个警报，而不是为所有 Lambda 函数设置一个警报

83 / 363

83.

No.83
一位 DevOps 工程师正在将公司应用程序的新版本部署到与 Amazon EC2 实例关联的 AWS CodeDeploy 部署组。一段时间后，部署失败。工程师注意到与特定部署 ID 相关的所有事件都处于“已跳过”状态，并且尚未将任何代码部署到与部署组相关的实例。
导致这次失败的正当理由是什么？（选择两个。）

A.您的网络配置不允许您的 EC2 实例通过 NAT 网关或 Internet 网关访问互联网以到达 CodeDeploy 终端节点。

B. 触发应用程序部署的 IAM 用户没有权限与 CodeDeploy 端点交互。

C. 目标 EC2 实例未正确注册到 CodeDeploy 端点。

D. 具有正确权限的实例配置文件未附加到目标 EC2 实例。

E. appspec.yml 文件未包含在应用程序修订版中。

答案：A.D.

解释：

一个。
为了使 CodeDeploy 正常工作，您的 EC2 实例需要能够到达 CodeDeploy 端点并下载部署工件。如果您的 EC2 实例的网络配置不允许其通过 NAT 网关或 Internet 网关访问互联网，则该实例将无法到达 CodeDeploy 终端节点，并且部署将失败。

84 / 363

No.84
一家公司有一条指导方针，即所有 Amazon EC2 实例都必须从该公司安全团队创建的 AMI 启动。每个月，安全团队都会向所有开发团队发送一封电子邮件，其中包含最新批准的 AMI。

84. 开发团队使用 AWS CloudFormation 部署应用程序。当开发人员启动一项新服务时，他们需要在其电子邮件中搜索安全部门发送的最新 AMI。 DevOps 工程师希望自动化安全团队向开发团队提供 AMI ID 的过程。

满足这些要求的最具可扩展性的解决方案是什么？

A.指示您的安全团队使用 CloudFormation 创建 AMI 的新版本，并将 AMI ARN 列在加密的 Amazon S3 对象中作为堆栈输出部分的一部分。指导您的开发人员使用跨堆栈引用加载加密的 S3 对象以获取最新的 AMI ARN。

B. 指示您的安全团队使用 CloudFormation 堆栈创建 AWS CodePipeline 管道以构建新的 AMI，并将最新的 AMI ARN 放在加密的 Amazon S3 对象中作为管道输出的一部分。指导您的开发人员在他们自己的 CloudFormation 模板中使用跨堆栈引用来获取 S3 对象位置和最新的 AMI ARN。

C. 指示您的安全团队使用 Amazon EC2 Image Builder 创建一个新的 AMI，并将 AMI ARN 作为参数放在 AWS Systems Manager 参数存储中。指导您的开发人员在其 CloudFormation 堆栈中指定 SSM 类型的参数，以从参数存储中检索最新的 AMI ARN。

D. 指示您的安全团队使用 Amazon EC2 Image Builder 创建一个新的 AMI，并创建一个 Amazon Simple Notification Service (Amazon SNS) 主题，以便所有开发团队都可以收到通知。当您的开发团队收到通知时，指示他们创建一个 AWS Lambda 函数，使用最新的 AMI ARN 更新您的 CloudFormation 堆栈。

答案：C

解释：
C 是正确的：<自动化安全团队用于向开发团队提供 AMI ID 的过程> 和 <最具可扩展性的解决方案> 意味着您需要一个管道（映像生成器）来构建 AMI 并自动共享它们
A 和 B：没有提及 EC2 Image Builder，但它比 Code Pipeline 更适合构建 EC2 映像
D：您需要手动执行此操作

85 / 363

85.

No.85
您的应用程序在应用程序负载均衡器 (ALB) 后面的 Amazon EC2 实例上运行。一位 DevOps 工程师正在使用 AWS CodeDeploy 发布新版本。部署在 AllowTraffic 生命周期事件期间失败，但部署日志未指示失败的原因。
可能是什么原因造成的？

A. 您的 appspec.yml 文件包含在 AllowTraffic 生命周期挂钩中运行的无效脚本。

B. 启动部署的用户没有与 ALB 交互所需的权限。

C. 为 ALB 目标组指定的健康检查配置不正确。

D. ALB 目标组的一部分的 EC2 实例没有安装 CodeDeploy 代理。

答案：C

解释：
答案是 C。
请参阅此处：https://docs.aws.amazon.com/codedeploy/latest/userguide/troubleshooting-deployments.html#troubleshooting-deployments-allowtraffic-no-logs

86 / 363

86.

No.86
某公司有20个服务团队。每个服务团队负责自己的微服务。每个服务团队为其微服务使用单独的 AWS 账户，并使用具有 192.168.0.0/22 CIDR 块的 VPC。我的公司在 AWS Organizations 中管理其 AWS 账户。
每个服务团队在应用程序负载均衡器后面的多个 Amazon EC2 实例上托管他们的微服务。微服务通过公共互联网相互通信。该公司的安全团队发布了新的指导方针，规定微服务之间的所有通信都必须通过私有网络连接使用 HTTPS，并且绝不能穿越公共互联网。
DevOps 工程师必须实施履行这些义务的解决方案并尽量减少每个服务团队的变更次数。
哪种解决方案可以满足这些要求？

A.在 AWS Organizations 中创建一个新的 AWS 账户。在此账户中创建一个 VPC，并使用 AWS Resource Access Manager 与您的组织共享此 VPC 的一个私有子网。指示您的服务团队启动使用共享私有子网的新网络负载均衡器 (NLB) 和 EC2 实例。使用 NLB DNS 名称进行微服务之间的通信。

B. 在每个微服务 VPC 中创建一个网络负载均衡器 (NLB)。使用 AWS PrivateLink 为每个 AWS 账户中的 NLB 创建一个 VPC 终端节点。在您的其他每个 AWS 账户中创建对每个 VPC 终端节点的订阅。微服务之间的通信使用 VPC 端点 DNS 名称。

C. 在每个微服务 VPC 中创建一个网络负载均衡器 (NLB)。在每个微服务 VPC 之间创建 VPC 对等连接。要使用对等链接，请更新每个 VPC 的路由表。使用 NLB DNS 名称进行微服务之间的通信。

D.在 AWS Organizations 中创建一个新的 AWS 账户。在此账户中创建一个中转网关，并使用 AWS Resource Access Manager 与您的组织共享。在每个微服务 VPC 中，创建到共享传输网关的传输网关附件。要使用传输网关，请更新每个 VPC 的路由表。在每个微服务 VPC 中创建一个网络负载均衡器 (NLB)。使用 NLB DNS 名称进行微服务之间的通信。

答案：B

解释：
B 是正确的。我们在不同的 AWS 账户中有 20 个服务团队，它们都使用相同的 CIDR 块，因此导致 CIDR 重叠。

D 表示他需要更新每个 VPC 的路由表以使用 Transit Gateway，但他无法继续，因为它们都具有相同的 CIDR 块。正如 Arnaud92 链接中所分享的，使用 Transit Gateway 的先决条件是“VPC 之间不重叠的 CIDR 块”。

87 / 363

87.

No.87
我有一个在 VPC 中运行的 Amazon EC2 实例，我需要从受限的 Amazon S3 存储桶下载对象。当 DevOps 工程师尝试下载对象时，他们会收到 AccessDenied 错误。
导致此错误的可能原因有哪些？（选择两个。）

A.S3 存储桶已启用默认加密。

B. S3存储桶策略有错误。

C. 对象被移动到 S3 Glacier。

D.您的 IAM 角色配置有错误。

E. S3 版本控制已启用。

答案：BD

解释：
但这不是一个错误。这是一个配置错误。

88 / 363

88.

No.88
一家公司希望在 AWS 上使用网格系统来存储其自己的企业内存数据存储。该系统可以在任何基于Linux发行版的多个服务器节点上运行。每当添加或删除节点时，系统必须能够重新配置整个集群。当您添加或删除节点时，您必须更新 /etc/cluster/nodes.config 文件以列出集群当前节点成员的 IP 地址。
一家公司希望自动执行向集群添加新节点的任务。
DevOps 工程师可以做些什么来满足这些要求？

A.使用 AWS OpsWorks Stacks 对该集群中的服务器节点进行分层。创建一个 Chef 配方，输入 /etc/cluster/nodes.config 文件的内容并使用该层的当前成员重新启动服务。将该配方分配给配置生命周期事件。

B.将文件nodes.config放入版本控制中。根据集群节点的Amazon EC2标签值创建AWS CodeDeploy部署配置和部署组。如果向集群添加新节点，请更新所有标记实例上的文件并将其提交到版本控制中。部署新文件并重新启动服务。

C. 创建一个 Amazon S3 存储桶并上传 /etc/cluster/nodes.config 文件的版本。创建一个 crontab 脚本，轮询该 S3 文件并频繁下载它。使用进程管理器（例如 Monit 或 systemd）在检测到新文件发生更改时重新启动集群服务。当您向集群添加节点时，请编辑最新成员的文件。将新文件上传到您的 S3 存储桶。

D. 创建一个用户数据脚本，列出集群当前安全组的所有成员，并在向集群添加新实例时自动更新 /etc/cluster/nodes.config 文件。

答案：A

解释：
我们还使用配置管理工具。在这种情况下，Opsworks（Chef/Puppet）。

89 / 363

89.

No.89
一名 DevOps 工程师正在开展数据存档项目，将本地数据迁移到 Amazon S3 存储桶。 DevOps 工程师开发脚本，将一个月前的本地数据逐步存档到 Amazon S3。一旦数据传输到 Amazon S3，它就会从您的本地位置删除。该脚本使用 S3 PutObject 操作。
在代码审查期间，一名 DevOps 工程师发现该脚本并未检查数据是否已成功复制到 Amazon S3。 DevOps 工程师必须更新脚本以确保数据在传输过程中不会损坏。在删除本地数据之前，脚本应该使用 MD5 校验和验证数据完整性。
哪些脚本解决方案满足这些要求？（选择两个。）

A.检查返回的响应中的VersionId。将返回的 VersionId 与 MD5 校验和进行比较。

B. 在 Content-MD5 参数中包含 MD5 校验和。检查操作调用的返回状态，查看是否返回了错误。

C. 将校验和摘要作为 URL 查询参数包含在标记参数中。

D.检查返回的响应中的ETag。将返回的 ETag 与 MD5 校验和进行比较。

E. 将校验和摘要作为名称-值对包含在元数据参数中。上传后，使用 S3 HeadObject 操作从对象中检索元数据。

答案：BD

解释：
B.描述：当您使用S3 PutObject操作时，您可以在请求的Content-MD5参数中包含对象的MD5校验和。 Amazon S3 计算对象的 MD5 校验和并将其与您提供的校验和进行比较。如果校验和不匹配，Amazon S3 将返回错误响应，表示数据完整性检查失败。这样，您就可以确保您的数据已成功复制到 Amazon S3 且没有损坏。

D. 解释：当您使用 S3 PutObject 操作时，响应中会返回一个 ETag。这是存储在 Amazon S3 中的对象的 MD5 校验和。执行上传后，您可以将返回的 ETag 与本地计算的 MD5 校验和进行比较。如果匹配，则表示数据已成功传输，且没有任何损坏。不匹配表明数据完整性存在问题，因此可以采取适当的措施。

90 / 363

90.

No.90
一家公司使用 AWS CodePipeline 管道每周几次向其 Amazon API Gateway API 部署更新。作为更新过程的一部分，该公司从 API 网关控制台导出 API 的 JavaScript SDK，并将 SDK 上传到 Amazon S3 存储桶。
该公司已建立了使用 S3 存储桶作为源的 Amazon CloudFront 分发。然后，Web 客户端使用 CloudFront 分发的端点下载 SDK。 DevOps 工程师需要实施一个解决方案，使得在部署新 API 期间能够自动使用新的 SDK。
哪种解决方案可以满足这些要求？

A. 在 API 的部署阶段之后立即创建 CodePipeline 操作。配置操作以调用 AWS Lambda 函数。配置一个 Lambda 函数以从 API 网关下载 SDK，将 SDK 上传到 S3 存储桶，并为 SDK 路径创建 CloudFront 无效化。

B. 在 API 的部署阶段之后立即创建 CodePipeline 操作。配置一项操作，使用 CodePipeline 和 API Gateway 集成将 SDK 导出到 Amazon S3。创建另一个操作，使用 CodePipeline 与 Amazon S3 集成来使 SDK 路径的缓存无效。

C. 创建一个对来自 aws.apigateway 的 UpdateStage 事件做出反应的 Amazon EventBridge 规则。配置一条规则来调用 AWS Lambda 函数从 API 网关下载 SDK，将 SDK 上传到 S3 存储桶，然后调用 CloudFront API 为 SDK 路径创建无效化。

D. 创建一个对来自 aws.apigateway 的 CreateDeployment 事件做出反应的 Amazon EventBridge 规则。配置规则以调用 AWS Lambda 函数从 API 网关下载 SDK、将 SDK 上传到 S3 存储桶，并调用 S3 API 以使 SDK 路径的缓存无效。

答案：A

解释：
A 是正确的：<使用 AWS CodePipeline 管道> 表示您需要 CodePipeline。

C 和 D：没有提到 CodePipeline。

B：<配置操作以使用 CodePipeline 与 API Gateway 集成将 SDK 导出到 Amazon S3>：CodePipeline 需要调用其他工具来执行任务。没有与 API 网关集成。

91 / 363

91.

No.91
一家公司开发了一个 AWS Lambda 函数来处理通过 API 收到的订单。该公司使用 AWS CodeDeploy 部署 Lambda 函数作为其 CI/CD 管道的最后一步。
一位 DevOps 工程师注意到，订购 API 在部署后会间歇性地失败几秒钟。经过一番调查，DevOps 工程师认为这是由于在调用 Lambda 函数之前数据库更改未完全传播造成的。
DevOps 工程师该如何克服这个问题？

A.将 BeforeAllowTraffic 挂钩添加到您的 AppSpec 文件，以便在流量流向新版本的 Lambda 函数之前测试并等待必要的数据库更改。

B. 向您的 AppSpec 文件添加一个 AfterAllowTraffic 挂钩，使流量等待待处理的数据库更改，然后才允许您的新版本的 Lambda 函数做出响应。

C. 将 BeforeInstall 挂钩添加到您的 AppSpec 文件，以便在部署新版本的 Lambda 函数之前测试并等待任何所需的数据库更改。

D. 将 ValidateService 挂钩添加到您的 AppSpec 文件以检查传入流量，如果依赖服务（如数据库）尚未准备就绪，则拒绝负载。

答案：A

解释：
根据我的研究，Lambda 部署只有两个 CodeDeploy AppSpec ifecycle 事件挂钩。
BeforeAllowTraffic # 用于在流量转移到已部署的 Lambda 函数版本之前运行任务。
AfterAllowTraffic # 用于在所有流量转移到已部署的 Lambda 函数版本后运行任务。

答：（是）在做好准备之前不要改变交通路线
B：（否）阻止流量，直到准备就绪
C：（否）Lambda 事件挂钩不适用
D：（否）Lambda 事件挂钩不适用

92 / 363

92.

No.92
一家公司使用单个 AWS 账户在 Amazon EC2 实例上测试应用程序。该公司在其 AWS 账户中开启了 AWS Config，并启用了 restricted-ssh AWS Config 管理规则。
该公司需要一种自动监控解决方案，当其账户内的安全组不符合限制 ssh 规则时，提供实时、定制的通知。您的自定义通知应包括不合规安全组的名称和 ID。
DevOps 工程师在其账户中创建一个 Amazon Simple Notification Service (Amazon SNS) 主题并让适当的人员订阅该主题。
为了满足这些要求，DevOps 工程师下一步应该做什么？

A. 创建一个 Amazon EventBridge 规则，该规则与 AWS Config 对 restricted-ssh 规则的 NON_COMPLIANT 评估结果相匹配。为 EventBridge 规则配置输入转换器。配置 EventBridge 规则以将通知发布到 SNS 主题。

B. 配置 AWS Config 以将所有 restricted-ssh 规则评估的结果发送到 SNS 主题。为 SNS 主题配置过滤策略，以便仅向通知中包含文本 NON_COMPLIANT 的订阅者发送通知。

C. 创建 Amazon EventBridge 规则并验证 restricted-ssh 规则的 AWS Config 评估结果是否为 NON_COMPLIANT。配置 EventBridge 规则以在 SNS 主题上调用 AWS Systems Manager Run Command、自定义通知并将通知发布到 SNS 主题。

D. 创建 Amazon EventBridge 规则并验证 AWS Config 评估结果是否为 NON_COMPLIANT。为 restricted-ssh 规则配置输入转换器：配置 EventBridge 规则以将通知发布到 SNS 主题。

答案：A

解释：
A 是正确的：<我需要一个提供定制通知的自动监控解决方案> 并且 <创建一个 Amazon Simple Notification Service (Amazon SNS) 主题> 意味着您已经拥有 SNS。我需要在 eventbridge 中触发警报并向 SNS 发送通知
B：没有提到 Event Bridge。
C：使用 AWS Systems Manager Run Command 和 SNS 主题来自定义通知。此步骤不是必需的
D：<所有 AWS Config 评估均符合 NON_COMPLIAN>：只有受限的 SSH 规则才应符合 NON_COMPLIANT

93 / 363

93.

No.93
企业需要其数据和应用程序的一致 RPO 为 2 小时，RTO 为 10 分钟。该应用程序使用 MySQL 数据库和 Amazon EC2 网络服务器。开发团队需要故障转移和灾难恢复策略。
哪种部署策略组合可以满足这些要求？（选择两个）

A. 在跨多个区域的单个可用区域中创建 Amazon Aurora 集群并将其用作数据存储。如果发生灾难，请使用 Aurora 的自动恢复功能。

B. 在两个区域创建一个 Amazon Aurora 全局数据库作为数据存储。如果发生停电，我们会将辅助区域提升为您的应用程序的主要区域。

C. 创建一个跨多个区域的 Amazon Aurora 多主集群并将其用作数据存储。使用网络负载均衡器来平衡不同区域之间的数据库流量。

D. 在两个区域中设置应用程序，并使用指向两个区域中的应用程序负载均衡器的基于故障转移的 Amazon Route 53 路由。使用健康检查来确定特定区域的可用性。使用每个区域中的 Auto Scaling 组根据需求调整容量。

E.在两个区域中设置应用程序，并使用应用程序负载均衡器后面的多区域自动扩展组根据需求管理容量。发生灾难时，通过调整 Auto Scaling 组所需的实例数量来增加故障转移区域中的基线容量。

答案：BD

解释：
答案 B 和 D 正确。 <需要故障转移和灾难恢复策略> 表示全局表或数据库集群和 Route53 故障转移策略
A 和 C：这些选项指的是将您的 Amazon Aurora 集群跨越多个区域。这是不正确的。集群可以跨越多个可用区 (AZ)，但不能跨越多个区域。唯一能够跨越多个区域的 Aurora 解决方案是具有多个集群的全局表。
E：没有提及基于 Route 53 故障转移的路由

94 / 363

94.

No.94
一家公司有一个由五个独立的 AWS Lambda 函数组成的应用程序。
DevOps 工程师使用 AWS CodePipeline 和 AWS CodeBuild 构建了 CI/CD 管道，以按顺序构建、测试、打包和部署每个 Lambda 函数。管道使用 Amazon EventBridge 规则来确保在对应用程序源代码进行更改后管道尽快启动。
使用该管道几个月后，DevOps 工程师意识到它花费的时间太长了。
DevOps 工程师应该实施什么来最好地提高管道速度？

A.修改管道中的 CodeBuild 项目以使用具有更多可用网络吞吐量的计算类型。

B. 创建一个自定义的 CodeBuild 执行环境，其中包括一个对称多处理配置，以并行运行构建。

C.修改您的 CodePipeline 配置以并行运行每个 Lambda 函数的操作，并指定相同的 runOrder。

D. 修改每个 CodeBuild 项目以在 VPC 内运行并使用专用实例来增加吞吐量。

答案：C

解释：
并行执行：
通过修改 CodePipeline 配置以使用相同的 runOrder 并行执行每个 Lambda 函数的操作，您现在可以同时构建和部署多个 Lambda 函数，从而显著提高管道的整体速度。

运行顺序：
CodePipeline 中的 runOrder 参数使您能够指定执行操作的顺序。如果多个操作具有相同的 runOrder，则它们可以并行运行。

95 / 363

95.

No.95
一家公司使用 AWS CloudFormation 堆栈来部署其应用程序的更新。堆栈由不同的资源组成。这些资源包括 AWS Auto Scaling 组、Amazon EC2 实例、应用程序负载均衡器 (ALB) 以及启动和维护独立堆栈所需的其他资源。不允许在更新 CloudFormation 堆栈之外修改应用程序资源。
最近，该公司尝试使用 AWS CLI 更新其应用程序堆栈。堆栈更新失败，出现以下错误消息： “错误：部署和 CloudFormation 堆栈回滚均失败。部署失败，因为以下资源无法更新：[AutoScalingGroup]。”
堆栈状态保持为UPDATE_ROLLBACK_FAILED。
您将使用哪种解决方案来解决这个问题？

A. 更新为 ALB 配置的子网映射。运行 aws cloudformation update-stack-set AWS CLI 命令。

B. 使用所需的权限更新 IAM 角色以更新堆栈。运行 aws cloudformation continue-update-rollback AWS CLI 命令。

C.提交请求以增加您账户的 EC2 实例数量配额。运行 aws cloudformation cancel-update-stack AWS CLI 命令。

D.删除 Auto Scaling 组资源。运行 aws cloudformation rollback-stack AWS CLI 命令。

答案：B

解释：
https://repost.aws/knowledge-center/cloudformation-update-rollback-failed
如果堆栈在更新失败后卡在 UPDATE_ROLLBACK_FAILED 状态，则您只能在堆栈上执行 ContinueUpdateRollback 或 DeleteStack 操作。

96 / 363

96.

No.96
一家公司正在部署使用 Amazon EC2 实例的新应用程序。该公司需要一个解决方案来查询应用程序日志和 AWS 账户 API 活动。
哪种解决方案可以满足这些要求？

A.使用 Amazon CloudWatch 代理将日志从您的 EC2 实例发送到 Amazon CloudWatch Logs。配置 AWS CloudTrail 以将 API 日志传送至 Amazon S3。使用 CloudWatch 查询两组日志。

B. 使用 Amazon CloudWatch 代理将日志从您的 EC2 实例发送到 Amazon CloudWatch Logs。配置 AWS CloudTrail 以将 API 日志传送到 CloudWatch Logs。使用 CloudWatch Logs Insights 查询两组日志。

C. 使用 Amazon CloudWatch 代理将日志从 EC2 实例发送到 Amazon Kinesis。配置 AWS CloudTrail 以将 API 日志传送至 Kinesis。使用 Kinesis 将数据加载到 Amazon Redshift。使用 Amazon Redshift 查询两组日志。

D. 使用 Amazon CloudWatch 代理将日志从您的 EC2 实例发送到 Amazon S3。使用 AWS CloudTrail 将 API 日志传送至 Amazon S3。使用 Amazon Athena 查询 Amazon S3 中的两组日志。

答案：B

解释：
B 是正确答案
A - 错误，因为 CloudWatch 不是查询工具。
C - 不正确，因为 CloudWatch 代理无法直接将日志发送到 Kinesis。必须从 CloudWatch Logs 发送
D - 不正确，因为 CloudWatch 代理无法直接将日志发送到 S3。我需要将 CloudWatch 日志发送到 firehorse，然后发送到 S3

97 / 363

97.

No.97
一家公司希望确保其 EC2 实例的安全。如果在我的实例上发现任何新的漏洞，我希望收到通知，并且我还希望对我的实例上的所有登录活动进行审计跟踪。
哪种解决方案可以满足这些要求？

A. 使用 AWS Systems Manager 检测您的 EC2 实例中的漏洞。安装 Amazon Kinesis Agent 以捕获系统日志并将其传送到 Amazon S3。

B. 使用 AWS Systems Manager 检测您的 EC2 实例中的漏洞。安装 Systems Manager Agent 以捕获系统日志并在 CloudTrail 控制台中查看日志活动。

C. 配置 Amazon CloudWatch 以检测 EC2 实例中的漏洞。安装 AWS Config 守护程序以捕获系统日志并在 AWS Config 控制台中查看它们。

D. 配置 Amazon Inspector 以检测 EC2 实例中的漏洞。安装 Amazon CloudWatch 代理以捕获系统日志并将其记录在 Amazon CloudWatch Logs 中。

答案：D

解释：
Amazon Inspector 可近乎实时地检测 AWS 工作负载（包括 Amazon EC2、AWS Lambda 函数和 Amazon ECR）中的软件漏洞和意外的网络暴露。

98 / 363

98.

No.98
一家公司在 Auto Scaling 组中的 Amazon EC2 实例上运行应用程序。最近，我遇到了一个问题，我的 EC2 实例无法正常启动，我们的支持团队花了几个小时才发现这个问题。每当 EC2 实例无法成功启动时，支持团队都希望通过电子邮件收到通知。
您可以采取什么行动来实现这一目标？

A.向您的 Auto Scaling 组添加运行状况检查，以便在实例状态受到损害时调用 AWS Lambda 函数。

B. 配置 Auto Scaling 组，以便每当实例启动失败时向 Amazon SNS 主题发送通知。

C. 创建一个 Amazon CloudWatch 警报，当 AttachInstances Auto Scaling API 调用失败时调用 AWS Lambda 函数。

D. 在 Amazon EC2 中创建状态检查警报，每当发生状态检查失败时，就会向 Amazon SNS 主题发送通知。

答案：B

解释：
可能是 B：
https://aws.amazon.com/blogs/aws/auto-scaling-notifications-recurrence-and-more-control/
“EC2_INSTANCE_LAUNCH_ERROR”

99 / 363

99.

No.99
一家公司使用 AWS Organizations 来集中管理其 AWS 账户。该公司使用 AWS CloudFormation StackSets 在每个成员账户中启用 AWS Config。该公司已在 Organizations 中为 AWS Config 设置了受信任的访问，并将成员账户配置为 AWS Config 中的委派管理员账户。
DevOps 工程师必须实施新的安全政策。该策略应要求所有当前和未来的 AWS 成员账户使用 AWS Config 规则的通用基线，并从中央账户管理补救措施。具有成员账户访问权限的非管理员用户不得修改部署到每个成员账户的 AWS Config 规则的通用基线。
哪种解决方案可以满足这些要求？

A.创建一个包含 AWS Config 规则和补救措施的 CloudFormation 模板。使用 CloudFormation StackSets 从 Organizations 管理账户部署模板。

B. 创建包含 AWS Config 规则和补救措施的 AWS Config 一致性包。使用 CloudFormation StackSets 从您的 Organizations 管理账户部署该包。

C. 创建包含 AWS Config 规则和补救措施的 CloudFormation 模板。使用 AWS Config 从委派管理员账户部署模板。

D. 创建包含 AWS Config 规则和补救措施的 AWS Config 一致性包。使用 AWS Config 从委派管理员账户部署该包。

答案：D

解释：
选项 D. 创建包含 AWS Config 规则和补救措施的 AWS Config 一致性包。使用 AWS Config 从委派管理员账户部署该包。

一致性包是 AWS Config 规则和补救措施的集合，可以轻松地作为单个实体跨账户和区域以及跨 AWS Organizations 中的组织进行部署。这些包是由中央账户创建和管理的，有助于为您的账户建立安全和合规的状态。非管理员用户可以查看一致性包中的 AWS Config 规则，但不能修改它们。因此，AWS Config 一致性包非常适合实现所需的控制和安全策略。

其他选项虽然可用于部署配置规则，但本质上并不能阻止成员账户中的非管理员修改基线 AWS Config 规则。

100 / 363

100.

No.100
一位 DevOps 工程师管理着一个在 Amazon EC2 上运行的大型商业网站。该网站使用 Amazon Kinesis Data Streams 收集和处理网络日志。一名 DevOps 工程师正在管理在 Amazon EC2 上运行的 Kinesis 消费者应用程序。
当数据突然增加时，Kinesis 消费者应用程序会落后，并且 Kinesis 数据流会在处理记录之前将其丢弃。 DevOps 工程师需要实施改进流处理的解决方案。
哪种解决方案能够最有效地满足这些要求？

A.修改您的 Kinesis 消费者应用程序以将日志持久存储在 Amazon S3 中。使用 Amazon EMR 直接在 Amazon S3 中处理数据以获取客户洞察。将结果存储在 Amazon S3 中。

B.通过根据 Amazon CloudWatch GetRecords.IteratorAgeMilliseconds 指标添加 EC2 实例来水平扩展您的 Kinesis 消费者应用程序。增加 Kinesis 数据流的保留期。

C.将 Kinesis 消费者应用程序转换为 AWS Lambda 函数运行。将 Kinesis 数据流配置为 Lambda 函数的事件源来处理数据流。

D.增加 Kinesis 数据流中的分片数量以增加总体吞吐量并使消费者应用程序能够更快地处理数据。

答案：B

解释：
答案是 B。原因：
几个小时前我刚刚完成 DOP-C02 考试。
我的分数是1000分。
这个问题出现了。选择 B。

101 / 363

101.

No.101
一家公司最近在 AWS Organizations 的一个新组织中创建了一个新的 AWS Control Tower 登陆区。您的着陆区必须符合 AWS Foundations 的互联网安全中心 (CIS) 基准。
贵公司的安全团队希望使用 AWS Security Hub 来审查所有账户的合规性。只有您的安全团队可以查看汇总的安全中心发现结果。此外，某些用户应该能够查看组织中自己帐户的调查结果。创建账户后，您必须在 Security Hub 中注册所有账户。
哪些步骤组合能够以最自动化的方式满足这些要求？（选择三个。）

A. 在您组织的管理账户中启用 Security Hub 的可信访问。使用 AWS Control Tower 创建新的安全账户。将新的安全账户配置为 Security Hub 的委派管理员账户。新的安全账户为 Security Hub 中的 AWS Foundations 标准提供了 CIS 基准。

B. 在您组织的管理账户中启用 Security Hub 的可信访问。从您的管理账户，向 Security Hub 提供 AWS Foundations 标准的 CIS 基准。

C. 创建包含所需权限的 AWS IAM Identity Center（AWS Single Sign-On）权限集。使用 CreateAccountAssignment API 操作将安全团队中的用户与权限集和委派安全帐户关联。

D. 创建一个 SCP，明确拒绝安全团队以外的任何人访问 Security Hub。

E. 在安全中心，打开自动启用功能。

F. 在您组织的托管账户中，创建一个响应 CreateManagedAccount 事件的 Amazon EventBridge 规则。创建一个 AWS Lambda 函数，该函数使用 Security Hub CreateMembers API 操作将新账户添加到 Security Hub。配置 EventBridge 规则以调用您的 Lambda 函数。

答案：ACE

解释：
为什么答案是ACE：
几个小时前我刚刚完成 DOP-C02 考试。
我的分数是1000分。
当这个问题出现时，我选择ACE。

102 / 363

102.

No.102
一家公司在位于 AWS Organizations 内的组织内的 AWS 账户中运行其应用程序。该应用程序使用 Amazon EC2 实例和 Amazon S3。
该公司希望检测所有现有和未来的 AWS 账户中可能受到损害的 EC2 实例、可疑的网络活动以及异常 API 活动。当您的公司检测到其中一个事件时，您需要使用现有的 Amazon Simple Notification Service (Amazon SNS) 主题向您的运营支持团队发送通知以进行调查和补救。
根据 AWS 最佳实践，哪种解决方案满足这些要求？

A. 在您组织的管理账户中，将一个 AWS 账户配置为 Amazon GuardDuty 管理员账户。在 GuardDuty 管理员账户中，将您公司的现有 AWS 账户添加为 GuardDuty 的成员。在 GuardDuty 管理员账户中，创建一个 Amazon EventBridge 规则，其事件模式与 GuardDuty 事件匹配，并将匹配的事件转发到 SNS 主题。

B. 在您组织的管理账户中，配置 Amazon GuardDuty 以通过邀请添加新创建的 AWS 账户并向现有 AWS 账户发送邀请。接受 GuardDuty 邀请并创建一个用于创建 Amazon EventBridge 规则的 AWS CloudFormation 堆栈集。配置与 GuardDuty 事件匹配的事件模式的规则，并将匹配的事件转发到 SNS 主题。配置 CloudFormation 堆栈集以部署到组织中的所有 AWS 账户。

C. 在组织的管理账户中，创建 AWS CloudTrail 组织跟踪。为您组织中的所有 AWS 账户激活组织跟踪。创建一个 SCP，以在组织中的每个账户中启用 VPC 流日志。为您的组织配置 AWS Security Hub。创建具有与 Security Hub 事件匹配的事件模式的 Amazon EventBridge 规则，并将匹配的事件转发到 SNS 主题。

D. 在您组织的管理账户中，将一个 AWS 账户设置为 AWS CloudTrail 管理员账户。在 CloudTrail 管理员账户中，创建 CloudTrail 组织跟踪。将您公司的现有 AWS 账户添加到您的组织跟踪。创建一个 SCP，以在组织中的每个账户中启用 VPC 流日志。为您的组织配置 AWS Security Hub。创建具有与 Security Hub 事件匹配的事件模式的 Amazon EventBridge 规则，并将匹配的事件转发到 SNS 主题。

答案：A

解释：
一个：
该解决方案满足所有要求：

检测可能受到损害的 EC2 实例、可疑网络活动和异常 API 活动：Amazon GuardDuty 是一种威胁检测服务，可持续监控恶意或未经授权的行为。我们分析来自 AWS CloudTrail、Amazon VPC Flow Logs 和 DNS 日志的事件来检测此类活动。

向您的运营支持团队发送通知：您可以创建与 GuardDuty 发现结果相匹配的 Amazon EventBridge 规则并将其转发到 SNS 主题，以便在检测到可疑活动时生成通知。

未来 AWS 账户的覆盖范围：在 AWS Organizations 中指定一个 GuardDuty 管理员账户将能够管理您所有现有和未来的 AWS 账户中的 GuardDuty。这可确保您组织中创建的任何新账户都自动受到 GuardDuty 的覆盖。

103 / 363

103.

No.103
一家公司的 DevOps 工程师在多账户环境中工作。该公司使用 AWS Transit Gateway 将所有出站流量路由到其网络运营账户。在网络操作帐户中，所有帐户流量在发送到 Internet 网关之前都会经过防火墙设备进行检查。
防火墙设备将日志发送到 Amazon CloudWatch Logs，并包含以下事件严重性：CRITICAL、HIGH、MEDIUM、LOW、INFO。当严重事件发生时，安全团队希望收到警报。
DevOps 工程师应该怎么做才能满足这些要求？

A. 创建 Amazon CloudWatch Synthetics 金丝雀来监控防火墙健康状况。如果防火墙达到 CRITICAL 状态或记录 CRITICAL 事件，请使用 CloudWatch 警报将通知发布到 Amazon Simple Notification Service (Amazon SNS) 主题。将您的安全团队的电子邮件地址订阅到该主题。

B. 使用对 CRITICAL 事件的搜索创建 Amazon CloudWatch 指标过滤器。针对您的发现公开自定义指标。使用基于自定义指标的 CloudWatch 警报并将通知发布到 Amazon Simple Notification Service (Amazon SNS) 主题。使用您的安全团队的电子邮件地址订阅该主题。

C. 在网络运营账户中启用 Amazon GuardDuty。配置 GuardDuty 来监控您的流日志。创建由 CRITICAL 的 GuardDuty 事件触发的 Amazon EventBridge 事件规则。将 Amazon Simple Notification Service (Amazon SNS) 主题定义为目标。使用您的安全团队的电子邮件地址订阅该主题。

D.使用 AWS Firewall Manager 在所有账户中实施一致的策略。创建由关键的防火墙管理器事件触发的 Amazon EventBridge 事件规则。将 Amazon Simple Notification Service (Amazon SNS) 主题定义为目标。使用您的安全团队的电子邮件地址订阅该主题。

答案：B

解释：
防火墙设备的日志已被发送到 Amazon CloudWatch Logs。因此，满足指定要求的最佳方法是创建一个带有 CRITICAL 事件搜索的 Amazon CloudWatch 指标过滤器。

104 / 363

104.

No.104
公司分为不同的团队。每个团队都有一个 AWS 账户，所有账户均位于 AWS Organizations 内的组织内。每个团队必须对其 AWS 账户拥有完全的管理控制权。此外，每个团队应该只能访问公司批准他们使用的 AWS 服务。 AWS 服务必须通过请求和批准流程获得批准。
DevOps 工程师应如何配置他们的帐户以满足这些要求？

A.使用 AWS CloudFormation StackSets 在每个账户中配置 IAM 策略以拒绝访问受限的 AWS 服务。在每个账户中，配置一个 AWS Config 规则，以便将策略附加到账户中的 IAM 主体。

B.使用 AWS Control Tower 将账户配置到您组织内的 OU。配置 AWS Control Tower 并启用 AWS IAM Identity Center（AWS Single Sign-On）。配置 IAM 身份中心以提供管理访问权限。在用户角色中包含针对受限 AWS 服务的拒绝策略。

C. 将所有账户置于组织中的新顶级 OU 下。创建 SCP 以拒绝访问受限的 AWS 服务。将 SCP 附加到 OU。

D.创建仅允许访问经批准的 AWS 服务的 SCP。将 SCP 附加到您组织的根 OU。从组织的根 OU 中删除 FullAWSAccess SCP。

答案：D

解释：
A = 本地帐户管理员可以更改此设置。
B = 本地管理员具有管理权限。情况很复杂。
C = 对其他一切的隐含许可 = 违反要求。
D = 您想要授权每项服务，因此您需要基于白名单的 SCP 配置。
答案是 D。

105 / 363

105.

No.105
DevOps 工程师使用 AWS CloudFormation 自定义资源设置了 AD 连接器。我的 AWS Lambda 函数运行并创建了 AD 连接器，但 CloudFormation 尚未从 CREATE_IN_PROGRESS 转换为 CREATE_COMPLETE。
工程师应采取什么措施来解决这个问题？

A.验证您的 Lambda 函数代码是否成功终止。

B.验证您的 Lambda 函数代码是否返回对预签名 URL 的响应。

C.确保 Lambda 函数 IAM 角色在堆栈 ARN 上具有 cloudformation:UpdateStack 权限。

D.验证 Lambda 函数 IAM 角色是否具有您的 AWS 账户的 ds:ConnectDirectory 权限。

答案：B

解释：
B.验证您的 Lambda 函数代码是否返回对预签名 URL 的响应。
解释：
当使用 CloudFormation 的自定义资源时，负责处理资源创建的 AWS Lambda 函数必须向 CloudFormation 提供的预签名 URL 发送响应。此响应告知 CloudFormation 自定义资源创建过程的完成状态。

在这种情况下，Lambda 函数成功创建了 AD 连接器，工程师必须确保 Lambda 函数代码包含向预签名 URL 发送响应的逻辑。响应应显示成功状态和相关数据，例如已创建的 AD 连接器的 ARN 和其他详细信息。

106 / 363

106.

No.106
一家公司使用 AWS CodeCommit 进行源代码控制。开发人员将更改应用于各个功能分支，当更改准备好投入生产时，他们会创建一个拉取请求以将这些更改移动到主分支。
开发人员不应该能够将更改直接推送到主分支。该公司将 AWSCodeCommitPowerUser 托管策略应用于开发人员的 IAM 角色，允许他们将更改直接推送到其 AWS 账户中所有存储库的主分支。
作为一家公司，您应该做些什么来限制开发人员将更改直接推送到主分支的能力？

A. 创建一个包含针对 GitPush 和 PutFile 操作的拒绝规则的附加策略。在您的政策声明中，包含对特定存储库的限制以及引用主分支的条件。

B. 删除 IAM 策略并添加 AWSCodeCommitReadOnly 托管策略。在您的策略声明中，为特定存储库添加一条允许 GitPush 和 PutFile 操作的规则，条件是它引用主分支。

C.修改IAM策略。在您的策略声明中，包含针对特定存储库的 GitPush 和 PutFile 操作的拒绝规则，其中的条件是引用主分支。

D. 创建一个包含 GitPush 和 PutFile 操作允许规则的附加策略。在您的政策声明中，包含对特定存储库的限制以及引用功能分支的条件。

答案：A

解释：

有可能！
如果您认为 C 是正确的，那么您应该知道 AWS 管理的策略无法修改。

107 / 363

107.

No.107
一家公司管理在应用程序负载均衡器 (ALB) 后面的 Amazon EC2 实例上运行的 Web 应用程序。 EC2 实例在跨多个可用区域的 Auto Scaling 组中运行。该应用程序使用 Amazon RDS for MySQL DB 实例来存储数据。该公司为 Amazon Route 53 配置了指向 ALB 的别名记录。
该公司的新指南要求地理位置隔离的灾难恢复 (DR) 站点的 RTO 为 4 小时，RPO 为 15 分钟。
哪种 DR 策略能够满足这些要求，同时最大限度地减少对应用程序堆栈的更改？

A.在单独的可用区域启动所有非 Amazon RDS 副本环境。在新的可用区中创建 RDS 只读副本，并配置新的堆栈以指向本地 RDS DB 实例。通过配置带有运行状况检查的故障转移路由策略，将新堆栈添加到 Route 53 记录集。

B. 在另一个 AWS 区域中启动除 Amazon RDS 之外的所有副本环境。在新区域中创建 RDS 只读副本并配置新堆栈以指向本地 RDS DB 实例。配置具有健康检查的延迟路由策略，并将新堆栈添加到 Route 53 记录集。

C. 在另一个 AWS 区域中启动除 Amazon RDS 之外的所有副本环境。如果发生中断，请通过将最新的 RDS 快照从主区域复制到 DR 区域来进行恢复。调整 Route 53 记录集以指向 DR 区域中的 ALB。

D. 在另一个 AWS 区域中启动除 Amazon RDS 之外的所有副本环境。在新区域中创建 RDS 只读副本并配置新环境以指向本地 RDS DB 实例。配置具有运行状况检查的故障转移路由策略，并将新堆栈添加到 Route 53 记录集。如果发生中断，则将只读副本提升为主副本。

答案：D

解释：
D 是正确答案。故障转移策略将流量路由至备份区域中的 ALB。

108 / 363

108.

No.108
大型企业在 AWS 上部署其 Web 应用程序。您的应用程序在应用程序负载均衡器后面的 Amazon EC2 实例上运行。实例在跨多个可用区域的 Auto Scaling 组中运行。该应用程序将数据存储在 Amazon RDS for Oracle DB 实例和 Amazon DynamoDB 中。有用于开发、测试和生产的单独环境。
在部署期间获取密码凭证最安全、最灵活的方法是什么？

A.从 AWS Systems Manager SecureString 参数获取访问密钥以访问 AWS 服务。从 Systems Manager SecureString 参数检索数据库凭证。

B. 使用 EC2 IAM 角色启动 EC2 实例来访问 AWS 服务。从 AWS Secrets Manager 检索数据库凭证。

C. AWS Systems Manager 从纯文本参数中检索访问密钥以访问 AWS 服务。从 Systems Manager SecureString 参数检索数据库凭证。

D. 使用 EC2 IAM 角色启动 EC2 实例来访问 AWS 服务。将数据库密码与应用程序工件一起存储在加密配置文件中。

答案：B

解释：
B 是正确答案。 <获取密码凭证> 意味着您应该考虑 AWS SSM 和 Secrets Manager。但是，<最安全> 意味着您应该选择 Secrets Manager。秘密管理器更昂贵，但更安全
A、C、D：没有提及Secret Manager

109 / 363

109.

No.109
安全团队使用 AWS CloudTrail 检测公司 AWS 账户中的敏感安全问题。 DevOps 工程师需要一个解决方案来自动修复其 AWS 账户中已禁用的 CloudTrail。
有哪些解决方案可以最大限度地减少 CloudTrail 日志传送的停机时间？

A. 为 CloudTrail StopLogging 事件创建 Amazon EventBridge 规则。使用 AWS SDK 创建一个 AWS Lambda 函数，该函数使用调用 StopLogging 的资源的 ARN 调用 StartLogging。将 Lambda 函数的 ARN 添加为 EventBridge 规则中的目标。

B. 部署 AWS 管理的支持 CloudTrail 的 AWS Config 规则并配置一小时的定期间隔。为 AWS Config 规则合规性变更创建 Amazon EventBridge 规则。使用 AWS SDK 创建一个 AWS Lambda 函数，该函数使用调用 StopLogging 的资源的 ARN 调用 StartLogging。将 Lambda 函数的 ARN 添加为 EventBridge 规则中的目标。

C. 为每 5 分钟安排一次的事件创建 Amazon EventBridge 规则。创建一个 AWS Lambda 函数，该函数使用 AWS SDK 在您的 AWS 账户中的 CloudTrail 跟踪上调用 StartLogging。将 Lambda 函数的 ARN 添加为 EventBridge 规则中的目标。

D. 使用每 5 分钟运行一次的脚本启动 t2.nano 实例并使用 AWS SDK 查询当前账户的 CloudTrail。如果 CloudTrail 跟踪被禁用，该脚本将重新启用该跟踪。

答案：A

解释：
一个。
古老但有价值的链接：
https://aws.amazon.com/blogs/mt/monitor-changes-and-auto-enable-logging-in-aws-cloudtrail/

110 / 363

110.

No.110
一家公司使用 AWS CodeArtifact 集中存储 Python 包。 CodeArtifact 存储库配置了以下存储库策略：
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"codeartifact:DescribePackageVersion",
"codeartifact:DescribeRepository",
"codeartifact:GetPackageVersionReadme",
"codeartifact:GetRepositoryEndpoint",
"codeartifact:ListPackageVersionAssets",
"codeartifact:ListPackageVersionDependencies",
"codeartifact:ListPackageVersions",
"codeartifact:ListPackages",
"codeartifact:ReadFromRepository"
],
"Effect": "Allow",
"Resource": "*",
"Principal": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": [
"o-xxxxxxxxxxx"
]
}
}
}
]
}
一个开发团队正在 AWS Organizations 中某个组织内的账户中构建一个新项目。您的开发团队想要使用已存储在您组织的 CodeArtifact 存储库中的 Python 库。开发团队使用 AWS CodePipeline 和 AWS CodeBuild 来构建新的应用程序。您的开发团队用来构建其应用程序的 CodeBuild 作业配置为在 VPC 中运行。由于合规性要求，VPC 没有互联网连接。
开发团队为 CodeArtifact 创建 VPC 终端节点并更新 CodeBuild buildspec.yaml 文件。但是，开发团队无法从存储库下载 Python 库。
DevOps 工程师应采取哪些步骤组合来使开发团队能够使用 CodeArtifact？（选择两个）

A.创建 Amazon S3 网关端点。更新运行 CodeBuild 作业的子网的路由表。

B. 更新存储库策略中的主体声明以包含 CodeBuild 项目使用的角色的 ARN。

C. 使用 AWS 资源访问管理器 (AWS RAM) 与您的组织共享 CodeArtifact 存储库。

D. 更新 CodeBuild 项目使用的角色，以便该角色具有足够的权限来使用 CodeArtifact 存储库。

E. 将托管存储库的账户指定为您组织中 CodeArtifact 的委派管理员。

答案：A.D.

解释：
我认为答案是 AD，原因如下：
“AWS CodeArtifact 在多个可用区中运行，并将工件数据和元数据存储在 Amazon S3 和 Amazon DynamoDB 中。加密数据以冗余方式存储在多个设施和每个设施中的多个设备上，从而具有高可用性和持久性。”
https://aws.amazon.com/codeartifact/features/
如果您没有互联网连接，您将需要一个网关端点来访问 S3。

111 / 363

111.

No.111
一家公司使用一组单独的 Amazon CloudFormation 模板部署多区域应用程序。这些模板必须按照特定的顺序部署。该公司对其模板所做的更改超出了他们的预期，并且希望更有效地部署新模板。此外，需要将模板的所有更改通知数据工程团队。
为了实现这些目标，公司应该做什么？

A.创建 AWS Lambda 函数并按所需顺序部署 CloudFormation 模板。使用堆栈策略并通知您的数据工程团队。

B. 在 Amazon S3 上托管 CloudFormation 模板。使用 Amazon S3 事件直接触发 CloudFormation 更新和 Amazon SNS 通知。

C. 实施 CloudFormation StackSets 并使用漂移检测向数据工程团队触发更新警报。

D. 利用 CloudFormation 嵌套堆栈和堆栈集进行部署。使用 Amazon SNS 通知数据工程团队。

答案：D

解释：
答案是 D。原因：
几个小时前我刚刚完成 DOP-C02 考试。
我的分数是1000分。
这个问题出现了。选择 D。

112 / 363

112.

No.112
一名 DevOps 工程师实施了 CI/CD 管道并部署了用于配置 Web 应用程序的 AWS CloudFormation 模板。该 Web 应用程序由一个应用程序负载均衡器 (ALB)、一个目标组、一个带有 Amazon Linux 2 AMI 的启动模板、一个 Amazon EC2 实例的 Auto Scaling 组、一个安全组和一个 Amazon RDS for MySQL 数据库组成。启动模板包含指定安装和启动应用程序的脚本的用户数据。
应用程序的初始部署成功。 DevOps 工程师进行了更改，使用用户数据更新了应用程序版本。 CI/CD 管道部署了新版本的模板。但是，ALB 健康检查失败。健康检查将所有目标标记为不健康。
在调查过程中，DevOps 工程师注意到 CloudFormation 堆栈的状态为 UPDATE_COMPLETE。然而，当一名 DevOps 工程师连接到其中一个 EC2 实例并查看 /var/log/messages 时，他注意到 Apache Web 服务器由于配置错误而无法成功启动。
如果用户数据运行未成功完成，DevOps 工程师如何确保 CloudFormation 部署失败？

A.使用 cfn-signal 帮助脚本通知 CloudFormation 成功或失败。在您的 CloudFormation 模板中使用 WaitOnResourceSignals 更新策略。为您的更新策略设置适当的超时。

B. 为 UnhealthyHostCount 指标创建 Amazon CloudWatch 警报。为您的目标群体设置适当的警报阈值。创建一个 Amazon Simple Notification Service (Amazon SNS) 主题作为目标，以通知 CloudFormation 成功或失败。

C. 使用 AWS::AutoScaling::LifecycleHook 资源为 Auto Scaling 组创建生命周期挂钩。创建一个 Amazon Simple Notification Service (Amazon SNS) 主题作为目标，以通知 CloudFormation 成功或失败。在生命周期挂钩上设置适当的超时。

D. 使用 Amazon CloudWatch 代理传输 cloud-init 日志。创建一个包含具有适当调用超时的 AWS Lambda 函数的订阅过滤器。配置 Lambda 函数以使用 SignalResource API 操作通知 CloudFormation 成功或失败。

答案：A

解释：
如果用户数据脚本未成功完成，则要导致 CloudFormation 部署失败，您可以结合使用 AWS CloudFormation CreationPolicy、cfn-signal 和等待条件资源。这些机制可以告知 CloudFormation 实例创建过程的成功或失败，包括用户数据脚本的执行。

113 / 363

113.

No.113
一家公司有一个在多个 AWS 账户中运行的数据提取应用程序。该账户位于 AWS Organizations 内的组织内。公司需要监控应用程序并整合对它们的访问权限。目前，该公司在多个 Auto Scaling 组中的 Amazon EC2 实例上运行其应用程序。由于数据敏感，EC2 实例无法访问互联网。工程师部署了必要的 VPC 端点。 EC2 实例运行专为您的应用程序构建的自定义 AMI。
为了维护和排除应用程序故障，系统管理员需要能够登录 EC2 实例。此访问必须是自动化且集中控制的。每当实例被访问时，您公司的安全团队都需要得到通知。
哪种解决方案可以满足这些要求？

A. 创建一个 Amazon EventBridge 规则，每次用户登录 EC2 实例时通知您的安全团队。使用 EC2 Instance Connect 登录到您的实例。使用 AWS CloudFormation 部署 Auto Scaling 组。使用 cfn-init 帮助脚本部署适当的 VPC 路由以供外部访问。重建您的自定义 AMI，以确保自定义 AMI 包含 AWS Systems Manager 代理。

B.部署一个NAT网关和一个可以访问Internet的堡垒主机。创建一个安全组，允许从堡垒主机到所有 EC2 实例的传入流量。在所有 EC2 实例上安装 AWS Systems Manager 代理。使用 Auto Scaling 组的生命周期挂钩来监控和审计访问。使用 Systems Manager Session Manager 登录到您的实例。将日志发送到 Amazon CloudWatch Logs 中的日志组。将数据导出到 Amazon S3 以供审计。使用 S3 事件通知来通知您的安全团队。

C. 使用 EC2 Image Builder 重建自定义 AMI。在您的映像中包含最新版本的 AWS Systems Manager 代理。配置您的 Auto Scaling 组以将 AmazonSSMManagedInstanceCore 角色附加到所有 EC2 实例。使用 Systems Manager Session Manager 登录到您的实例。允许将会话详细信息记录到 Amazon S3。为任何新文件上传创建 S3 事件通知，并通过 Amazon Simple Notification Service (Amazon SNS) 主题向您的安全团队发送消息。

D. 使用 AWS Systems Manager Automation 将 Systems Manager Agent 包含在您的自定义 AMI 中。配置 AWS Config 并将 SCP 附加到根组织账户，以允许 EC2 实例连接到 Systems Manager。使用 Systems Manager Session Manager 登录到您的实例。允许将会话详细信息记录到 Amazon S3。为任何新文件上传创建 S3 事件通知，并通过 Amazon Simple Notification Service (Amazon SNS) 主题向您的安全团队发送消息。

答案：C

解释：EC2 没有互联网访问权限，因此 C 和 D 是剩余的选项

C 是正确答案
通过使用 EC2 Image Builder 重建您的自定义 AMI 并在映像中包含最新版本的 AWS Systems Manager 代理，您可以配置 Auto Scaling 组以将 AmazonSSMManagedInstanceCore 角色附加到您的所有 EC2 实例。这使您可以使用 Systems Manager Session Manager 登录到实例。您可以启用将会话详细信息记录到 Amazon S3 的功能，并为新文件上传创建 S3 事件通知，以便通过 Amazon Simple Notification Service (Amazon SNS) 主题2向您的安全团队发送消息。

114 / 363

114.

No.114
一家公司使用 Amazon S3 来存储自己的信息。开发团队每天都会为新项目创建存储桶。安全团队希望确保所有现有和未来的存储桶都启用了加密、日志记录和版本控制。此外，存储桶不得公开供读取或写入访问。
DevOps 工程师应该怎么做才能满足这些要求？

A.启用 AWS CloudTrail 并使用 AWS Lambda 配置自动修复。

B. 启用 AWS Config 规则并使用 AWS Systems Manager 文档配置自动修复。

C. 启用 AWS Trusted Advisor 并使用 Amazon EventBridge 配置自动修复。

D. 启用 AWS Systems Manager 并使用 Systems Manager 文档配置自动修复。

答案：B

解释：
B 是正确的：需要 AWS 配置来 <确保所有现有和未来的存储桶都已启用加密、日志记录和版本控制>。
A、C、D：没有提及 AWS 配置

115 / 363

115.

No.115
一位 DevOps 工程师正在研究在 AWS 上实现图像批处理集群的最便宜的方法。该应用程序不能在 Docker 容器中运行，必须在 Amazon EC2 上运行。批处理作业可以将检查点数据存储在 NFS 卷上并容忍中断。从通用 EC2 Linux 映像配置集群软件需要 30 分钟。
最具成本效益的解决方案是什么？

A. 使用 Amazon EFS 来获取检查点数据。为了完成这项工作，我们使用 EC2 Auto Scaling 组和按需定价模型临时配置 EC2 实例。

B. 在 EC2 实例上使用 GlusterFS 获取检查点数据。手动配置 EC2 实例以运行批处理作业。作业完成后，手动关闭实例。

C. 使用 Amazon EFS 来获取检查点数据。使用 EC2 Fleet 启动 EC2 Spot 实例，并在启动时使用用户数据配置 EC2 Linux 实例。

D.使用 Amazon EFS 存储检查点数据。使用 EC2 Fleet 启动 EC2 Spot 实例。为您的集群创建自定义 AMI，并在创建实例时使用最新的 AMI。

答案：D

解释：
我认为您认为 D 比 C 更好。 D 将使您的 EC2 实例更快地启动并运行，但 C 需要 30 分钟来安装软件，这使得在您开始之前就更具成本效益。

116 / 363

116.

No.116
一家公司最近将旧版应用程序从本地迁移到 AWS。该应用程序托管在 Amazon API Gateway 后面的应用程序负载均衡器后面的 Amazon EC2 实例上。该公司希望在推出新版本的应用程序时尽量减少对用户的干扰。如果出现问题，我们还希望能够快速回滚更新。
什么解决方案可以满足这些要求，同时最大限度地减少对应用程序的更改？

A. 在现有环境旁边的单独环境中部署更改。通过金丝雀部署，您可以配置 API Gateway 将一小部分用户流量发送到新环境。

B. 在与现有环境并行的单独环境中部署更改。更新应用程序的 DNS 别名记录以指向新环境。

C. 将变化作为现有应用程序负载均衡器后面的另一个目标组引入。配置 API 网关以逐步将用户流量路由到新的目标组。

D. 将变化作为现有应用程序负载均衡器后面的另一个目标组引入。配置 API 网关以将所有流量路由到应用程序负载均衡器，然后将流量发送到新的目标组。

答案：A

解释：
选项 A 也是一种有效的方法，只需对您的应用程序进行最少的更改即可满足您的要求。

在选项 A 中，变更将作为单独的环境与现有环境一起引入。您可以使用这个新环境来部署应用程序的新版本。当您将 API Gateway 配置为使用金丝雀发布部署时，一小部分用户流量会被发送到新环境，而大部分流量则会继续路由到托管应用程序当前版本的现有环境。

117 / 363

117.

No.117
一家公司在 Amazon S3 存储桶中以 .csv 格式存储了 100 GB 的日志数据。 SQL 开发人员想要查询这些数据并生成图形来将其可视化。 SQL 开发人员还需要一种高效、自动化的方法来保存 .csv 文件中的元数据。
哪种步骤组合可以用最少的努力满足这些要求？（选择三个。）

A. 过滤数据并在 AWS X-Ray 中可视化数据。

B. 过滤数据并在 Amazon QuickSight 中将数据可视化。

C.使用 Amazon Athena 查询数据。

D.查询 Amazon Redshift 中的数据。

E.使用 AWS Glue 数据目录作为持久元数据存储。

F.使用 Amazon DynamoDB 作为持久元数据存储。

答案：BCE

描述：BCE。 Glue 数据目录可以抓取您的 S3 存储桶并存储表元数据。然后，您可以直接在 Athena 中调用数据目录。显示数据的分区。

Athena 不能直接与 DynamoDB 配合使用。因此，F 被排除。

118 / 363

118.

No.118
一家公司在 AWS 上的多个 AWS 区域和可用区部署其企业基础设施。基础设施部署在 Amazon EC2 实例上并连接到 AWS IoT Greengrass 设备。公司正在其总部的内部服务器上部署额外的资源。
企业希望减少与维护和更新资源相关的开销。该公司的DevOps团队计划使用AWS Systems Manager实现自动化补丁管理和应用。 DevOps 团队确保 Systems Manager 在部署资源的区域中可用。系统管理器还可在距离您总部较近的地区使用。
DevOps 团队应采取哪些步骤组合来实现跨 EC2 实例、IoT 设备和本地基础设施的自动修补和配置管理？（选择三项）

A.将标签应用于所有 EC2 实例、AWS IoT Greengrass 设备和本地服务器。使用系统管理器会话管理器将补丁推送到所有标记的设备。

B. 使用 Systems Manager Run Command 安排修补 EC2 实例、AWS IoT Greengrass 设备和本地服务器。

C. 使用 Systems Manager Patch Manager 将 EC2 实例、AWS IoT Greengrass 设备和本地服务器的修补安排为 Systems Manager 维护时段任务。

D. 配置 Amazon EventBridge 以监控 Systems Manager Patch Manager 的补丁基准更新。将 Systems Manager Run Command 与事件关联，以在所有 EC2 实例、AWS IoT Greengrass 设备和本地服务器上启动修补操作。

E. 为 Systems Manager 创建 IAM 实例配置文件。将实例配置文件附加到您的 AWS 账户中的所有 EC2 实例。对于 AWS IoT Greengrass 设备和本地服务器，为 Systems Manager 创建 IAM 服务角色。

F.生成托管实例激活。使用激活码和激活 ID 在您的本地环境中的每台服务器上安装系统管理器代理（SSM 代理）。更新 AWS IoT Greengrass IAM 令牌交换角色。使用角色将 SSM 代理部署到您的所有 IoT 设备。

答案：CEF

解释：
我也会选择 E 而不是 B。

E 是正确的，因为：“在这篇文章的前面，您创建并部署了 SSM 代理组件，该组件创建了一个 IAM 服务角色。我们假设您按照 AWS IoT Greengrass 文档部署了 SSM 代理。在这种情况下，IAM 服务角色必须命名为 SSMServiceRole。”

为什么 B 不正确：答案 C 调用 Systems Manager Patch Manager，而它本身使用 Systems Manager Run Command，因此 B 是多余的。此外，它解释了 Run Command 用于运行自动脚本，而不是安排修补。 “我们将向您展示如何使用会话管理器打开边缘设备的远程登录，使用补丁管理器应用补丁，以及通过运行命令运行自动脚本。”

以上来源：https://aws.amazon.com/blogs/mt/how-to-centrally-manage-aws-iot-greengrass-devices-using-aws-systems-manager/?force_isolation=true

119 / 363

119.

No.119
一家公司正在测试在应用程序负载均衡器后面的 Amazon EC2 实例上运行的 Web 应用程序。实例在跨多个可用区域的 Auto Scaling 组中运行。该公司在部署新软件时采用具有不可变实例的蓝/绿部署流程。
在测试期间，用户会在随机时间自动退出应用程序。测试人员还报告说，当部署新版本的应用程序时，所有用户都会被注销。开发团队需要一种解决方案，确保用户在扩展事件和应用程序部署期间保持登录状态。
确保用户保持登录状态的最有效的操作方法是什么？

A. 在负载均衡器上启用智能会话并修改您的应用程序以检查现有会话。

B. 在负载均衡器上启用会话共享并修改您的应用程序以从会话存储中读取。

C. 将用户会话信息存储在 Amazon S3 存储桶中，并修改您的应用程序以从存储桶中读取会话信息。

D. 修改应用程序以将用户会话信息存储在 Amazon ElastiCache 集群中。

答案：D

解释：
D 是正确的：<在测试期间，用户会在随机时间自动退出应用程序>：这是因为没有数据存储来保存用户的会话。需要会话数据存储来保存用户会话

120 / 363

120.

No.120
DevOps 工程师需要配置现有 3 层应用程序的蓝/绿部署。该应用程序在 Amazon EC2 实例上运行并使用 Amazon RDS 数据库。 EC2 实例在应用程序负载均衡器 (ALB) 后面运行，并位于 Auto Scaling 组中。
DevOps 工程师为蓝色环境创建了一个启动模板和一个 Auto Scaling 组。 DevOps 工程师还为绿色环境创建了启动模板和 Auto Scaling 组。每个 Auto Scaling 组部署到匹配的蓝色或绿色目标组。目标组还指定将加载到 EC2 实例上的软件（蓝色或绿色）。您可以配置 ALB 以将流量发送到蓝色环境中的目标组或绿色环境中的目标组。 www.example.com 的 Amazon Route 53 记录指向 ALB。
部署需要在蓝色环境中的 EC2 实例上的软件和绿色环境中的 EC2 实例上新部署的软件之间同时移动流量。
DevOps 工程师应该怎么做才能满足这些要求？

A. 启动绿色环境的 Auto Scaling 组的滚动重启，以将新软件部署到绿色环境中的 EC2 实例。滚动重启完成后，使用 AWS CLI 命令更新 ALB，以将流量发送到绿色环境中的目标组。

B. 使用 AWS CLI 命令更新 ALB 以将流量引导至绿色环境中的目标组。然后，它启动绿色环境中 Auto Scaling 组的滚动重启，以将新软件部署到绿色环境中的 EC2 实例。

C. 更新启动模板，将绿色环境软件部署到蓝色环境 EC2 实例。请勿更改两个环境中的目标组和 Auto Scaling 组。对蓝色环境中的 EC2 实例执行滚动重启。

D. 启动绿色环境的 Auto Scaling 组的滚动重启，以将新软件部署到绿色环境中的 EC2 实例。滚动重启完成后，更新 Route 53 DNS 以指向 ALB 上的绿色环境端点。

答案：A

解释：
A 正确。由于只有一个 ALB，所以它不能是 D。可以配置 ALB 将流量发送到蓝色环境中的目标组或绿色环境中的目标组。必须在负载均衡器中配置到蓝色或绿色的流量路由。在这种情况下，更新目标组。

121 / 363

121.

No.121
一家公司正在其构建账户中使用 AWS CodePipeline 和 AWS CodeBuild 构建新的管道。该管道由两个阶段组成。第一阶段是构建和打包 AWS Lambda 函数的 CodeBuild 作业。第二阶段包括在两个不同的 AWS 账户中运行的部署操作：开发账户和生产账户。部署阶段使用 CodePipeline 调用的 AWS CloudFormation 操作来部署 Lambda 函数所需的基础设施。
一名 DevOps 工程师创建一条 CodePipeline 管道，并将该管道配置为使用 AWS Key Management Service (AWS KMS) 针对 Amazon S3 的 AWS 管理密钥 (aws/s3 密钥) 加密构建工件。这些工件存储在 S3 存储桶中。当我运行管道时，CloudFormation 操作失败并出现“访问被拒绝”错误。
DevOps 工程师应采取哪些措施组合来解决此错误？（选择两个。）

A. 在每个 AWS 账户中为工件创建一个 S3 存储桶。允许管道写入 S3 存储桶。创建一个 CodePipeline S3 操作，将工件复制到每个 AWS 账户中的 S3 存储桶。更新 CloudFormation 操作以引用生产账户中的工件 S3 存储桶。

B.创建客户管理的 KMS 密钥。配置 KMS 密钥策略以允许 CloudFormation 操作中使用的 IAM 角色执行解密操作。修改您的管道以使用客户管理的 KMS 密钥加密工件。

C.创建 AWS 管理的 KMS 密钥。配置KMS密钥策略，允许开发账户和生产账户执行解密操作。修改管道以使用 KMS 密钥加密工件。

D. 在开发和生产账户中为 CodePipeline 创建 IAM 角色。配置一个有权执行 CloudFormation 操作以及从工件 S3 存储桶中检索和解密对象的角色。在您的 CodePipeline 账户中，配置 CodePipeline CloudFormation 操作以使用该角色。

E. 在开发和生产账户中，为 CodePipeline 创建一个 IAM 角色。配置角色并授予其执行 CloudFormation 操作以及从工件 S3 存储桶中检索和解密对象的权限。在您的 CodePipeline 账户中，修改工件 S3 存储桶策略以允许角色访问。配置 CodePipeline CloudFormation 操作以使用该角色。

答案：BE

解释：
C = AWS KMS 基础知识。您不能修改 AWS 管理的 KMS 密钥策略。没有跨账户访问=不起作用。我不知道为什么要讨论这个问题。副学士学位水平的基础。

122 / 363

122.

No.122
一家公司使用 AWS Organizations 中的组织来管理多个 AWS 账户。该公司的开发团队希望使用 AWS Lambda 函数来满足其弹性要求，并正在重写所有应用程序以与部署在 VPC 中的 Lambda 函数配合使用。开发团队使用 Amazon Elastic File System (Amazon EFS) 作为您组织的账户 A 中的共享存储。
该公司希望继续将 Amazon EFS 与 Lambda 结合使用。公司政策要求所有无服务器项目都部署到账户 B。
DevOps 工程师需要重新配置现有的 EFS 文件系统，以允许 Lambda 函数通过现有的 EFS 接入点访问数据。
为了满足这些要求，DevOps 工程师应该执行哪些步骤组合？（选择三个。）

A. 更新 EFS 文件系统策略以授予账户 B 在账户 A 中挂载和写入 EFS 文件系统的权限。

B. 创建 SCP 以在 Amazon EFS 中设置具有细粒度控制的权限护栏。

C. 在账户 B 中创建一个新的 EFS 文件系统。使用 AWS Database Migration Service (AWS DMS) 同步账户 A 和账户 B 中的数据。

D. 更新 Lambda 执行角色，使其具有访问 VPC 和 EFS 文件系统的权限。

E.创建 VPC 对等连接以将账户 A 连接到账户 B。

F.配置账户 B 中的 Lambda 函数以承担账户 A 中现有的 IAM 角色。

答案：ADE

解释：
我首先想到的是 A、E 和 F。然而，在阅读文档之后，我得出结论，A、D 和 E 是正确的答案。
电子邮件：https://docs.aws.amazon.com/lambda/latest/dg/configuration-filesystem.html#configuration-filesystem-cross-account
A、D：https://docs.aws.amazon.com/lambda/latest/dg/configuration-filesystem.html#configuration-filesystem-permissions

123 / 363

123.

No.123
一家媒体公司在其 AWS 账户中拥有数千个 Amazon EC2 实例。该公司使用 Slack 和共享电子邮件收件箱进行团队沟通和重要更新。 DevOps 工程师需要将所有 AWS 计划的 EC2 维护通知发送到 Slack 频道和共享收件箱。解决方案必须包含实例的名称和所有者标签。
哪种解决方案可以满足这些要求？

A.将 AWS Trusted Advisor 与 AWS Config 集成。配置自定义 AWS Config 规则以调用 AWS Lambda 函数并将通知发布到 Amazon Simple Notification Service (Amazon SNS) 主题。将 Slack 频道端点和共享收件箱订阅到主题。

B.使用 Amazon EventBridge 监控 AWS Health 事件。配置维护事件以定位 Amazon Simple Notification Service (Amazon SNS) 主题。将 AWS Lambda 函数订阅到 SNS 主题，以将通知发送到 Slack 频道和共享收件箱。

C. 创建一个 AWS Lambda 函数，将 EC2 维护通知发送到 Slack 频道和共享收件箱。使用 Amazon CloudWatch 指标监控 EC2 健康事件。配置一个 CloudWatch 警报，当收到维护通知时调用 Lambda 函数。

D. 配置 AWS CloudTrail 与 AWS Support 的集成。创建 CloudTrail 查找事件以调用 AWS Lambda 函数并将 EC2 维护通知传递给 Amazon Simple Notification Service (Amazon SNS)。配置 Amazon SNS 以定位 Slack 频道和共享收件箱。

答案：B

解释：
B 是正确答案。 <所有 AWS 计划的 EC2 维护通知都应发送到 Slack 频道和共享收件箱> 表示 SNS
C：没有提到社交媒体
答：AWS 可信顾问不涉及此内容。
D：AWS Support 是一个支持计划。不适用于此。 AWS Cloud Trail 也是如此。

124 / 363

124.

No.124
AWS CodePipeline管道实现代码发布流程。该管道与 AWS CodeDeploy 集成，每个 CodePipeline 阶段都会将您的应用程序的一个版本部署到多个 Amazon EC2 实例。
在最近的部署期间，CodeDeploy 问题导致我的管道失败。 DevOps 团队希望在部署期间获得更好的监控和通知，以减少解决时间。
当发现问题时，DevOps 工程师应该做什么来创建通知？

A. 为 CodePipeline 和 CodeDeploy 实施 Amazon CloudWatch Logs，创建 AWS Config 规则来评估代码部署问题，并创建 Amazon Simple Notification Service (Amazon SNS) 主题来通知利益相关者部署问题。

B. 使用 CodePipeline 和 CodeDeploy 实施 Amazon EventBridge，创建 AWS Lambda 函数来评估代码部署问题，并创建 Amazon Simple Notification Service (Amazon SNS) 主题来通知利益相关者部署问题。

C. 实施 AWS CloudTrail 来记录 CodePipeline 和 CodeDeploy API 调用信息，创建 AWS Lambda 函数来评估代码部署问题，并创建 Amazon Simple Notification Service (Amazon SNS) 主题来通知利益相关者部署问题。

D. 为 CodePipeline 和 CodeDeploy 实施 Amazon EventBridge，创建 Amazon Inspector 评估目标来评估代码部署问题，并创建 Amazon Simple Notification Service (Amazon SNS) 主题来通知利益相关者部署问题。

答案：B

解释：
B 是正确答案。 <部署期间的监控和通知> 是指 eventbridge 和 SNS
答：cloudwatchlogs 与此无关。这用于持续监控 AWS 服务。
C：Cloudtrail 用于监控账户活动
D：检查器用于威胁检测

125 / 363

125.

No.125
一家全球企业使用 AWS Control Tower 来管理多个 AWS 账户。该公司托管内部和公共应用程序。
该公司内的每个应用程序团队都有自己的 AWS 账户用于应用程序托管。该账户已集成到 AWS Organizations 内的组织中。其中一个 AWS Control Tower 成员账户充当具有 CI/CD 管道的集中式 DevOps 账户，应用程序团队使用该管道将应用程序部署到各自的目标 AWS 账户。部署的 IAM 角色驻留在集中式 DevOps 帐户中。
应用程序团队希望将应用程序部署到应用程序 AWS 账户中的 Amazon Elastic Kubernetes Service (Amazon EKS) 集群。部署的 IAM 角色存在于应用程序 AWS 账户中。部署是通过在中央 DevOps 账户中设置的 AWS CodeBuild 项目完成的。 CodeBuild 项目使用 CodeBuild 的 IAM 服务角色。尝试从 CodeBuild 连接到跨账户 EKS 集群时，部署失败并出现未授权错误。
哪种解决方案可以解决此错误？

A. 配置应用程序账户的部署 IAM 角色，使其与集中式 DevOps 账户建立信任关系。配置信任关系以允许 sts:AssumeRole 操作。配置应用程序账户的部署 IAM 角色以获得对 EKS 集群的必要访问权限。为您的 EKS 集群配置 aws-auth ConfigMap，以将角色映射到适当的系统权限。

B. 在集中式 DevOps 账户中配置部署 IAM 角色，使其与应用程序账户建立信任关系。配置信任关系以允许 sts:AssumeRole 操作。在集中式 DevOps 账户中配置部署 IAM 角色，并赋予其对 CodeBuild 的必要访问权限。

C. 在集中式 DevOps 账户中配置部署 IAM 角色，使其与应用程序账户建立信任关系。配置信任关系以允许 sts:AssumeRoleWithSAML 操作。在集中式 DevOps 账户中配置部署 IAM 角色，并赋予其对 CodeBuild 的必要访问权限。

D. 配置应用程序账户的部署 IAM 角色以与 AWS Control Tower 管理账户建立信任关系。配置信任关系以允许 sts:AssumeRole 操作。配置应用程序账户的部署 IAM 角色以获得对 EKS 集群的必要访问权限。配置您的 EKS 集群 aws-auth ConfigMap 以将角色映射到适当的系统权限。

答案：A

解释：
A. 配置应用程序账户的部署 IAM 角色，使其与集中式 DevOps 账户建立信任关系。配置信任关系以允许 sts:AssumeRole 操作。配置应用程序账户的部署 IAM 角色以获得对 EKS 集群的必要访问权限。配置您的 EKS 集群 aws-auth ConfigMap 以将角色映射到适当的系统权限。

选项B、C、D不正确。这是因为集中式 DevOps 账户中的部署 IAM 角色不需要信任应用程序账户，反之亦然。选项 C，即 sts:AssumeRoleWithSAML 操作，用于从符合 SAML 2.0 的身份提供商进行联合，在本场景中不是必需的。最后，由于交互直接在 DevOps 账户和应用程序账户之间进行，因此不需要像选项 D 中那样与 AWS Control Tower 管理账户建立信任关系。

126 / 363

126.

No.126
一家受到严格监管的公司有一项政策，即 DevOps 工程师除非紧急情况，否则不得登录 Amazon EC2 实例。如果 DevOps 工程师登录，他们必须在事件发生后 15 分钟内通知安全团队。
哪种解决方案可以满足这些要求？

A. 在每个 EC2 实例上安装 Amazon Inspector 代理。订阅 Amazon EventBridge 通知。调用 AWS Lambda 函数来检查该消息是否与用户登录有关。如果是，请使用 Amazon SNS 通知您的安全团队。

B. 在每个 EC2 实例上安装 Amazon CloudWatch 代理。配置代理以将所有日志推送到 Amazon CloudWatch Logs，并设置 CloudWatch 指标过滤器以查找用户登录。如果发现登录，我们会使用 Amazon SNS 通知您的安全团队。

C. 使用 Amazon CloudWatch Logs 配置 AWS CloudTrail。将 CloudWatch Logs 订阅到 Amazon Kinesis。将 AWS Lambda 连接到 Kinesis 以解析并确定日志是否包含用户登录。如果是，它会使用 Amazon SNS 通知您的安全团队。

D. 在每个 Amazon EC2 实例上设置一个脚本，将所有日志推送到 Amazon S3。配置 S3 事件以调用 AWS Lambda 函数。此函数调用 Amazon Athena 查询来运行。 Athena 查询验证登录并使用 Amazon SNS 将输出发送给安全团队。

答案：B

解释：
B 是正确答案。 <应通知安全团队> 表示 SNS
A：没有关系。检查器用于漏洞扫描
C：CloudTrail 用于监控账户活动
D：此选项使用手动脚本，但无关紧要

127 / 363

127.

No.127
一家公司更新了其关键业务应用程序的 AWS CloudFormation 模板。更新后的模板出现错误，导致堆栈更新过程失败，AWS CloudFormation 自动启动堆栈回滚过程。然后，DevOps 工程师发现应用程序仍然不可用，并且堆栈处于 UPDATE_ROLLBACK_FAILED 状态。
DevOps 工程师必须执行哪些操作组合才能成功完成堆栈回滚？（选择两个。）

A.将 AWSCloudFormationFullAccess IAM 策略附加到 AWS CloudFormation 角色。

B.使用 AWS CloudFormation 偏差检测自动恢复堆栈资源。

C. 从 AWS CloudFormation 控制台或 AWS CLI 发出 ContinueUpdateRollback 命令。

D.手动调整资源以匹配堆栈预期。

E. 使用原始模板更新现有的 AWS CloudFormation 堆栈。

答案：CD
解释：
是的，C 和 D
C. 从 AWS CloudFormation 控制台或 AWS CLI 发出 ContinueUpdateRollback 命令。此命令允许 CloudFormation 从暂停点继续回滚过程。此命令使 CloudFormation 将资源恢复到其以前的状态并删除更新期间创建的资源。

D.手动调整资源以匹配堆栈预期。这包括识别和修复更新失败的根本原因。这可能涉及修改资源配置以及解决堆栈中的依赖关系或不一致性。

128 / 363

128.

No.128
开发团队在本地手动构建工件并将其放置在 Amazon S3 存储桶中。应用程序具有本地缓存，在部署时需要清除。为此，团队运行命令从 Amazon S3 下载工件，然后解压工件以完成部署。
DevOps 团队希望进入他们的 CI/CD 流程并建立检查，以便在发生故障时停止并回滚部署。为此，您的团队需要跟踪部署的进度。
哪些行动组合可以实现这一目标？（选择三项）

A.它允许开发人员将代码检查到代码存储库中。使用 Amazon EventBridge，每次我们拉到主分支时，我们都会调用 AWS Lambda 函数来构建工件并将其存储在 Amazon S3 中。

B.创建自定义脚本来清除缓存。在 AppSpec 文件中的 BeforeInstall 生命周期挂钩中指定脚本。

C. 为每个包含清除缓存脚本的 Amazon EC2 实例创建用户数据。部署后，测试应用程序。如果不成功，请再次部署。

D.配置 AWS CodePipeline 以部署应用程序。允许开发人员将代码检查到代码存储库中作为管道的源。

E.使用 AWS CodeBuild 构建工件并将其放置在 Amazon S3 中。使用 AWS CodeDeploy 将工件部署到 Amazon EC2 实例。

F.使用 AWS Systems Manager 从 Amazon S3 检索工件并将其部署到所有实例。

答案：BDE

解释：
（B）这可确保在安装新版本的应用程序之前清除本地缓存。 AppSpec（应用程序规范）文件特定于 AWS CodeDeploy。定义您希望 AWS CodeDeploy 执行的部署操作。

（D）这使您可以自动化构建和部署过程。 AWS CodePipeline 是一种完全托管的持续交付服务，可帮助您自动化发布管道，以实现快速可靠的应用程序和基础设施更新。

（E）这使您可以自动化构建过程并确保您的应用程序在一致的环境中构建。 AWS CodeBuild 是一项完全托管的构建服务，可编译源代码、运行测试并生成可部署的软件包。 AWS CodeDeploy 可自动将软件部署到各种计算服务，包括 Amazon EC2、AWS Fargate、AWS Lambda 和本地服务器。

129 / 363

129.

No.129
一位 DevOps 工程师正在开展一个托管在 Amazon Linux 上的项目，但该项目未能通过安全审查。已要求 DevOps 经理审查公司针对 AWS CodeBuild 项目的 buildspec.yaml 文件并提供建议。 buildspec.yaml 文件的结构如下：
env:
variables:
AWS_ACCESS_KEY_ID: AKIAJF7BREFWJBA4GHXNA
AWS_SECRET_ACCESS_KEY: ORj3ns3At2mIh404Atm0+zHxZqz7cNaVMLYRehcI
AWS_DEFAULT_REGION: us-east-1
DB_PASSWORD: cuj5RptFa3va

phases:
build:
commands:
- aws s3 cp s3://db-deploy-bucket/my.cnf.template /tmp/my.cnf
- sed -i '' s/DB_PW/${DB_PASSWORD}/ /tmp/my.cnf
- aws s3 cp s3://db-deploy-bucket/instance.key /tmp/instance.key
- chmod 600 /tmp/instance.key
- scp -i /tmp/instance.key /tmp/my.cnf root@10.25.15.23:/etc/my.cnf
- ssh -i /tmp/instance.key root@10.25.15.23 /etc/init.d/mysqld restart
您建议进行哪些更改以符合 AWS 安全最佳实践？（选择三项）

A. 添加一个构建后命令，在终止容器之前删除临时文件，以便其他 CodeBuild 用户无法看到它们。

B. 使用所需权限更新 CodeBuild 项目角色并从环境变量中删除 AWS 凭证。

C. 将 DB_PASSWORD 作为 SecureString 值存储在 AWS Systems Manager 参数存储中，并从环境变量中删除 DB_PASSWORD。

D. 将环境变量移动到“db-deploy-bucket”Amazon S3 存储桶，添加要下载的预构建阶段，然后导出变量。

E.直接在实例上使用 scp 和 ssh 命令，而不是 AWS Systems Manager Run Command。

F. 使用 XOR 和 Base64 对环境变量进行加密，添加要安装的部分，然后在构建阶段运行 XOR 和 Base64。

答案：BCE

解释：
BCE是正确的
答：不正确。 CodeBuild 不会保留该文件以供下次构建。一旦构建完成，文件就会被删除。

130 / 363

130.

No.130
一家公司有一个遗留应用程序。 DevOps 工程师需要自动化为遗留应用程序构建可部署工件的过程。该解决方案要求将可部署工件存储在现有的 Amazon S3 存储桶中，以便在未来的部署中引用它们。
哪种解决方案能够以最具运营效率的方式满足这些要求？

A.创建一个包含旧版应用程序所有依赖项的自定义 Docker 镜像。将您的自定义 Docker 映像存储在新的 Amazon Elastic Container Registry (Amazon ECR) 存储库中。配置新的 AWS CodeBuild 项目以使用自定义 Docker 映像构建可部署工件并将该工件存储在 S3 存储桶中。

B.启动新的 Amazon EC2 实例。在 EC2 实例上安装旧应用程序的所有依赖项。它使用 EC2 实例构建可部署工件并将该工件存储在 S3 存储桶中。

C. 创建自定义 EC2 Image Builder 映像。安装图像中旧版应用程序的所有依赖项。从映像启动新的 Amazon EC2 实例。它使用新的 EC2 实例来构建可部署的工件并将该工件存储在 S3 存储桶中。

D. 使用在多个可用区中运行的 AWS Fargate 配置文件创建 Amazon Elastic Kubernetes Service (Amazon EKS) 集群。创建包含旧版应用程序的所有依赖项的自定义 Docker 映像。将您的自定义 Docker 映像存储在新的 Amazon Elastic Container Registry (Amazon ECR) 存储库中。它使用 EKS 集群中的自定义 Docker 镜像来构建可部署的工件，并将该工件存储在 S3 存储桶中。

答案：A

解释：
自动化为旧版应用程序构建可部署工件并将其存储在现有 Amazon S3 存储桶中的过程最具操作效率的解决方案如下：

答：该解决方案利用 Docker 进行容器化。这可以实现一致、独立的构建，并使管理应用程序依赖关系变得更加容易。 AWS CodeBuild 使用自定义 Docker 镜像实现可扩展的自动化构建，从而使流程更加高效、可靠。然后，您可以将可部署工件存储在现有的 S3 存储桶中，以供将来参考和部署。

131 / 363

131.

No.131
一家公司运行 Docker 命令在 AWS CodeBuild 项目中构建容器映像。构建容器映像后，CodeBuild 项目会将容器映像上传到 Amazon S3 存储桶。 CodeBuild 项目具有 IAM 服务角色，该角色有权访问 S3 存储桶。
DevOps 工程师需要用 Amazon Elastic Container Registry (Amazon ECR) 存储库替换 S3 存储桶来存储容器映像。 DevOps 工程师在与 CodeBuild 项目相同的 AWS 区域中创建 ECR 私有映像存储库。 DevOps 工程师使用操作新的 ECR 存储库所需的权限调整 IAM 服务角色。 DevOps 工程师将新的存储库信息放在 buildspec.yml 文件中使用的 docker build 和 docker push 命令中。
当 CodeBuild 项目运行构建作业时，该作业在尝试访问 ECR 存储库时失败。
哪种解决方案可以解决无法访问 ECR 存储库的问题？

A. 更新 buildspec.yml 文件并使用 aws ecr get-login-password AWS CLI 命令获取身份验证令牌以登录到您的 ECR 存储库。更新您的 docker login 命令以使用身份验证令牌访问您的 ECR 存储库。

B. 将 SECRETS_MANAGER 类型的环境变量添加到您的 CodeBuild 项目。在环境变量中，包括您的 CodeBuild 项目的 IAM 服务角色的 ARN。更新 buildspec.yml 文件，并使用新的环境变量通过 docker login 命令登录以访问 ECR 存储库。

C. 将您的 ECR 存储库更新为公共映像存储库。将 ECR 存储库策略添加到允许访问的 IAM 服务角色。

D. 更新 buildspec.yml 文件以使用 AWS CLI 承担 ECR 操作的 IAM 服务角色。将 ECR 存储库策略添加到允许访问的 IAM 服务角色。

答案：A

解释：
（A）当 Docker 与 Amazon Elastic Container Registry（ECR）存储库通信时，需要进行身份验证。借助 AWS CLI（命令行界面），您可以向 Amazon ECR 注册表验证您的 Docker 客户端。具体来说，您可以使用“aws ecr get-login-password”命令获取身份验证令牌，然后可以使用 Docker“docker login”命令使用该令牌向您的注册表进行身份验证。在尝试从 ECR 存储库推送或拉取图像之前，您必须在 buildspec.yml 文件中执行这些步骤。

132 / 363

132.

No.132
一家公司手动为员工提供 IAM 访问权限。该公司希望用自动化流程取代手动流程。您的公司有一个现有的 Active Directory 系统，该系统配置了外部 SAML 2.0 身份提供者 (IdP)。
一家公司希望其员工能够使用其现有的公司凭证访问 AWS。您现有 Active Directory 系统中的组必须可用于管理 AWS Identity and Access Management (IAM) 中的权限。一名 DevOps 工程师已在公司的 AWS 账户中完成了 AWS IAM Identity Center（AWS Single Sign-On）的初始设置。
DevOps 工程师下一步应该做什么来满足要求？

A. 将外部 IdP 配置为身份源。使用 SCIM 协议配置自动用户和组配置。

B.将 AWS Directory Service 配置为身份源。使用 SAML 协议配置自动用户和组配置。

C. 将 AD Connector 配置为身份源。使用 SCIM 协议配置自动用户和组配置。

D. 将外部 IdP 配置为身份源。使用 SAML 协议配置自动用户和组配置。

答案：A

解释：
（A）AWS SSO（单点登录）可以使用 SAML 2.0 与外部身份提供商集成，并使用跨域身份管理系统 (SCIM) 协议自动同步连接目录中的用户和组。因此，DevOps 工程师需要配置外部 IdP 作为身份源，并使用 SCIM 协议设置用户和组的自动配置。这使得您现有 Active Directory 系统中的组可用于 AWS 身份和访问管理 (IAM) 权限管理，从而允许员工使用他们现有的公司凭证访问 AWS。

133 / 363

133.

No.133
一家公司使用 AWS 来运行其数字工作负载。公司内的每个应用程序团队都有自己的 AWS 账户用于应用程序托管。该账户已集成到 AWS Organizations 中的组织。
该公司希望在整个组织内实施安全标准。为了避免因安全配置错误而导致不合规，公司强制使用 AWS CloudFormation。运营支持团队可以使用 AWS 管理控制台修改生产环境中的资源，以排除故障并解决与应用程序相关的问题。
DevOps 工程师需要实施解决方案，以近乎实时地识别导致不合规的 AWS 服务错误配置。该解决方案应在识别问题后 15 分钟内自动修复该问题。该解决方案还应在具有精确时间戳的集中式仪表板中跟踪不合规的资源和事件。
哪种解决方案需要的开发开销最少？

A.使用 CloudFormation 偏差检测来识别不合规的资源。使用 CloudFormation 漂移检测事件来调用修复 AWS Lambda 函数。配置 Lambda 函数以将日志发布到 Amazon CloudWatch Logs 日志组。配置您的 Amazon CloudWatch 仪表板以使用日志组进行跟踪。

B. 在您的 AWS 账户中打开 AWS CloudTrail。使用 Amazon Athena 分析 CloudTrail 日志并识别不合规的资源。使用 AWS Step Functions 跟踪 Athena 查询结果、检测偏差并调用 AWS Lambda 函数进行补救。为了进行跟踪，我们设置了一个使用 Athena 作为数据源的 Amazon QuickSight 仪表板。

C. 在所有 AWS 账户中打开 AWS Config 配置记录器，以识别不合规的资源。在所有 AWS 账户中使用 --no-enable-default-standards 选项启用 AWS Security Hub。配置 AWS Config 托管和自定义规则。使用 AWS Config 一致性包配置自动修复。为了进行跟踪，请使用指定的 Security Hub 管理员账户配置 Security Hub 仪表板。

D. 在您的 AWS 账户中打开 AWS CloudTrail。使用 Amazon CloudWatch Logs 分析 CloudTrail 日志以识别不合规的资源。使用 CloudWatch Logs 过滤器进行偏差检测。使用 Amazon EventBridge 调用补救 Lambda 函数。将过滤后的 CloudWatch 日志流式传输至 Amazon OpenSearch 服务。在您的 OpenSearch 服务上设置一个仪表板以进行跟踪。

答案：C

解释：
C 是一个更好的解决方案。 AWS CloudFormation 偏差检测可帮助您确定 AWS 资源的实际配置是否与 CloudFormation 堆栈模板中定义的预期配置相匹配。虽然这是维护合规性和一致性的强大工具，但它本身并不能防止由于安全配置错误而导致的所有不合规情况。因此，我们需要使用 AWS config 来持续监控我们的服务配置，并使用聚合器将来自我们 AWS 组织中所有成员账户的所有 AWS 配置数据收集到 Security Hub 中，以提供集中式仪表板。

134 / 363

134.

No.134
一家公司使用 AWS Organizations 来管理其 AWS 账户。在组织根目录下，有一个名为“环境”的 OU。环境 OU 有两个子 OU，分别名为开发和生产。
环境 OU 和任何子 OU 都具有默认的 FullAWSAccess 策略。 DevOps 工程师计划从开发 OU 中删除 FullAWSAccess 策略，并将其替换为允许对 Amazon EC2 资源执行所有操作的策略。
这次政策替换的结果将会如何？

A. 开发 OU 中的所有用户都被允许对所有资源执行所有 API 操作。

B. 开发 OU 中的所有用户都被允许对 EC2 资源执行所有 API 操作。所有其他 API 操作均被拒绝。

C. 开发 OU 中的所有用户都被拒绝对所有资源执行所有 API 操作。

D. 开发 OU 中的所有用户都将被拒绝对 EC2 资源执行所有 API 操作。允许所有其他 API 操作。

答案：B

解释：
需要注意的一点是，SCP 继承在允许和拒绝策略中的工作方式不同。仅当子级没有允许的策略时，才会继承允许的策略。一旦配置了授权策略，就只允许该策略中定义的操作，并且不会从父 OU 继承“允许”策略。继承的是所有更高级别隐藏策略的隐式拒绝策略。

查看以下链接中的表格：
https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/

135 / 363

135.

No.135
一家公司正在研究灾难恢复功能，并希望能够将日常运营切换到辅助 AWS 区域。该公司使用 AWS CodeCommit 作为其主要区域的源代码控制工具。
DevOps 工程师需要使公司能够在次要区域开发代码。如果公司需要使用二级区域，开发人员可以将远程 URL 添加到他们的本地 Git 配置中。
哪种解决方案可以满足这些要求？

A.在辅助区域创建一个 CodeCommit 存储库。创建一个 AWS CodeBuild 项目，执行从主区域中的 CodeCommit 存储库到辅助区域中的 CodeCommit 存储库的 Git 镜像操作。创建一个调用 CodeBuild 项目的 AWS Lambda 函数。创建一个 Amazon EventBridge 规则，该规则对主区域中的 CodeCommit 存储库中的合并事件做出反应。配置 EventBridge 规则以调用您的 Lambda 函数。

B. 在次要区域创建 Amazon S3 存储桶。创建一个 AWS Fargate 任务，执行主区域中 CodeCommit 存储库的 Git 镜像操作并将结果复制到 S3 存储桶。创建一个启动 Fargate 任务的 AWS Lambda 函数。创建一个对 CodeCommit 存储库中的合并事件做出反应的 Amazon EventBridge 规则。配置 EventBridge 规则以调用您的 Lambda 函数。

C. 在辅助区域中创建 AWS CodeArtifact 存储库。创建一个 AWS CodePipeline 管道，该管道使用主区域中的 CodeCommit 存储库作为源操作。在管道中创建跨区域阶段，以打包 CodeCommit 存储库的内容，并在拉取请求合并到 CodeCommit 存储库时将内容存储在 CodeArtifact 存储库中。

D. 在辅助区域创建 AWS Cloud9 环境和 CodeCommit 存储库。将主区域中的 CodeCommit 存储库配置为 AWS Cloud9 环境的远程存储库。将辅助区域中的 CodeCommit 存储库连接到您的 AWS Cloud9 环境。

答案：A

解释：
该解决方案满足了公司的所有要求：

开发人员可以通过向本地 Git 配置添加远程 URL 在辅助区域中开发代码。

它是自动化的：每当主区域的 CodeCommit 存储库中发生合并事件时，EventBridge 规则就会自动调用 Lambda 函数。

可靠：CodeBuild 项目使用 Git 来确保在辅助区域中创建主区域 CodeCommit 存储库的完整副本。

136 / 363

136.

No.136
DevOps 团队正在合并使用 Amazon RDS Multi-AZ DB 集群作为生产数据库的应用程序的代码修订。 DevOps 团队使用持续集成来定期验证其应用程序是否正常运行。 DevOps 团队需要在将更改部署到生产数据库之前对其进行测试。
哪种解决方案可以满足这些要求？

A.使用 AWS CodeBuild 中的构建规范文件从生产数据库的快照恢复数据库集群，运行集成测试，并在验证后删除恢复的数据库。

B.将应用程序部署到生产环境。设置数据控制语言 (DCL) 操作的审计日志，以捕获验证失败时发生的数据库活动。

C. 在部署应用程序之前创建数据库集群的快照。使用 AWS CloudFormation 中数据库实例上的 Update require:Replacement 属性来部署应用程序并应用更改。

D.验证 DB 集群是否为多可用区部署。部署更新后的应用程序。如果验证失败，则会故障转移到备用实例。

答案：A

解释：A 是一种解决方案，它允许您运行测试而不会产生这样的后果

137 / 363

137.

No.137
一家公司在自己的 VPC 中管理多租户环境，并在相应的 AWS 账户中配置了 Amazon GuardDuty。该公司将所有 GuardDuty 发现发送至 AWS Security Hub。
来自可疑来源的流量正在产生大量发现。 DevOps 工程师应该实施一种解决方案，当 GuardDuty 检测到新的可疑源时，自动拒绝跨 VPC 的流量。
哪种解决方案可以满足这些要求？

A. 创建 GuardDuty 威胁列表。配置 GuardDuty 以引用列表。创建一个更新威胁列表的 AWS Lambda 函数。配置一个 Lambda 函数来响应来自 GuardDuty 的新 Security Hub 发现而运行。

B.配置包含自定义规则组的 AWS WAF Web ACL。创建一个 AWS Lambda 函数，该函数在自定义规则组中创建一个阻止规则。配置一个 Lambda 函数来响应来自 GuardDuty 的新 Security Hub 发现而运行。

C. 在AWS网络防火墙上配置防火墙。创建一个 AWS Lambda 函数，该函数在防火墙策略中创建一个删除操作规则。配置一个 Lambda 函数来响应来自 GuardDuty 的新 Security Hub 发现而运行。

D.创建一个创建 GuardDuty 抑制规则的 AWS Lambda 函数。配置一个 Lambda 函数来响应来自 GuardDuty 的新 Security Hub 发现而运行。

答案：C

解释：
C 是正确答案。只有网络防火墙可以阻止 VPC 级别的流量。
A仅更新列表，不执行任何阻止操作
B- WAF 和 Web ACL 只能阻止 API/VPC 端点/Cloudfront 分布的 HTTPS 流量，而不能阻止整个 VPC

138 / 363

138.

No.138
一家公司使用 AWS Secrets Manager 来存储其 AWS Lambda 函数使用的一组敏感 API 密钥。当调用 Lambda 函数时，它会获取 API 密钥并对外部服务发出 API 调用。 Secrets Manager 机密信息使用您的默认 AWS Key Management Service (AWS KMS) 密钥加密。
DevOps 工程师必须更新他们的基础设施，以确保只有 Lambda 函数的执行角色才能访问 Secrets Manager 中的值。解决方案应该执行最小特权原则。
哪些步骤组合可以满足这些要求？（选择两个。）

A. 更新 Secrets Manager 中的默认 KMS 密钥，以便只有 Lambda 函数的执行角色可以解密它。

B.创建一个信任 Secrets Manager 的 KMS 客户管理密钥并允许 Lambda 函数的执行角色对其进行解密。更新 Secrets Manager 以使用新的客户管理密钥。

C.创建一个信任 Secrets Manager 的 KMS 客户管理密钥并允许您账户的根主体对其进行解密。更新 Secrets Manager 以使用新的客户管理密钥。

D.验证 Lambda 函数的执行角色是否具有资源级别范围内的 KMS 权限。设置权限以允许 KMS 密钥加密 Secrets Manager 机密

E.从 Lambda 函数的执行角色中删除所有 KMS 权限

答案：BD

解释：
B 和 D 是正确的：<更新您的基础设施，以便仅向 Lambda 函数的执行角色授予权限> 意味着您需要确保 Lambda IAM 角色具有足够的权限，并且 KMS 策略允许 Lambda IAM 角色
答：您无法更新默认密钥。
C：<允许帐户的根主体解密>这是为最小特权主体完成的

139 / 363

139.

No.139
一家公司的 DevOps 工程师正在创建 AWS Lambda 函数来处理来自 Amazon Simple Notification Service (Amazon SNS) 主题的通知。 Lambda 函数处理通知消息并将通知消息的内容写入 Amazon RDS Multi-AZ 数据库实例。
在测试期间，数据库管理员意外关闭了数据库实例。数据库瘫痪期间，在此期间发送的一些 SNS 通知消息丢失。
DevOps 工程师必须确保通知消息将来不会丢失。
哪些解决方案符合这一要求？（选择两个）

A.用 Amazon DynamoDB 表替换 RDS Multi-AZ DB 实例。

B. 将 Amazon Simple Queue Service (Amazon SQS) 队列配置为 Lambda 函数的目标。

C. 为 SNS 主题配置一个 Amazon Simple Queue Service (Amazon SQS) 死信队列。

D. 将 Amazon Simple Queue Service (Amazon SQS) 队列订阅到 SNS 主题。配置 Lambda 函数来处理来自 SQS 队列的消息。

E.用 Amazon EventBridge 事件总线替换 SNS 主题。在新事件总线上配置 EventBridge 规则，为每个事件调用一个 Lambda 函数。

答案：CD

解释：
下面介绍两种满足日后不丢失通知消息的解决方案：

D. 将 Amazon Simple Queue Service (Amazon SQS) 队列订阅到 SNS 主题。配置 Lambda 函数来处理来自 SQS 队列的消息。

此解决方案可确保即使 Lambda 函数不可用或 RDS DB 实例关闭，通知消息也能传递到 SQS 队列。然后，您的 Lambda 函数可以按照自己的节奏处理来自 SQS 队列的消息。

C. 为 SNS 主题配置一个 Amazon Simple Queue Service (Amazon SQS) 死信队列。

此解决方案可确保无法传递到您的 RDS DB 实例的通知消息不会丢失。相反，它们被移至死信队列。 DevOps 工程师可以手动处理来自死信队列的消息。

140 / 363

140.

No.140
一家公司有一个在 Amazon EC2 实例上运行的应用程序。该公司使用 AWS CodePipeline 管道将应用程序部署到多个 AWS 区域。管道针对每个区域都有阶段。每个阶段包含针对每个区域的 AWS CloudFormation 操作。
当管道将应用程序部署到某个区域时，公司希望确保在管道移动到下一个区域之前该应用程序处于健康状态。为每个区域的应用程序配置了 Amazon Route 53 记录集。 DevOps 工程师根据应用程序部署的每个区域的 Amazon CloudWatch 警报创建 Route 53 运行状况检查。
DevOps 工程师下一步应该做什么来满足要求？

A. 创建一个 AWS Step Functions 工作流来检查 CloudWatch 警报的状态。配置您的 Step Functions 工作流程，如果警报处于 ALARM 状态则退出并出现错误。在每个区域部署阶段之间在管道中创建一个新阶段。在每个新阶段中，包含一个调用 Step Functions 工作流的操作。

B. 配置 AWS CodeDeploy 应用程序以部署具有自动回滚功能的 CloudFormation 模板。将 CloudWatch 警报配置为 CodeDeploy 应用程序实例的运行状况检查。从管道中删除 CloudFormation 操作。在每个区域的管道阶段创建一个 CodeDeploy 操作。

C. 为部署应用程序的每个区域创建一个新的管道阶段。为新阶段配置 CloudWatch 警报操作，以检查 CloudWatch 警报的状态，如果警报处于 ALARM 状态，则以错误终止。

D. 在您的 EC2 实例上配置 CloudWatch 代理，以将您的应用程序的状态报告给 Route 53 运行状况检查。为部署应用程序的每个区域创建一个新的管道阶段。配置 CloudWatch 警报操作，如果 CloudWatch 警报处于 ALARM 状态则以错误结束。

答案：A

解释：
没有 CloudWatch 警报操作。警报唯一能做的就是向 SNS 主题发送通知。您可以使用 EventBridge（CloudWatch 日志事件）或 Step Functions 采取行动。

141 / 363

141.

No.141
一家公司想要使用 Amazon CloudWatch 来监控其 Amazon EC2 实例。如果 NetworkPacketsIn 指标在 12 小时内的至少 3 小时内平均值小于 5，则应停止 EC2 实例。公司应该每小时评估一次指标。如果评估期间 NetworkPacketsIn 指标的数据缺失，您的 EC2 实例应该继续运行。
DevOps 工程师为 NetworkPacketsIn 指标创建 CloudWatch 警报。 DevOps工程师将阈值设置为5，将评估期设置为1小时。
DevOps 工程师应该采取哪些额外的措施来满足这些要求？

A. 将报警数据点值设置为 12 个中的 3 个。配置警报，将缺失数据视为违反阈值。添加 AWS Systems Manager 操作以在警报进入 ALARM 状态时停止实例。

B. 将报警数据点值设置为 12 个中的 3 个。设置警报，将缺失数据视为未超过阈值。添加一个 EC2 操作，当警报进入 ALARM 状态时停止实例。

C. 将报警数据点值设置为 12 个中的 9 个。设置警报，将缺失数据视为超过阈值。添加一个 EC2 操作，当警报进入 ALARM 状态时停止实例。

D. 将警报数据点值设置为 12 个中的 9 个。设置警报，将缺失数据视为未超过阈值。添加 AWS Systems Manager 操作以在警报进入 ALARM 状态时停止实例。

答案：B

解释：
B：原因如下：https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/UsingAlarmActions.html#AddingStopActions

142 / 363

142.

No.142
一家公司在 AWS Organizations 内管理组织内的 500 个 AWS 账户。该公司发现所有账户中都存在大量未连接的 Amazon Elastic Block Store (Amazon EBS) 卷。您的公司希望自动标记未附加的 EBS 卷以供调查。
DevOps 工程师需要在所有 AWS 账户中部署 AWS Lambda 函数。 Lambda 函数必须每 30 分钟运行一次，以标记所有已解除连接超过 7 天的 EBS 卷。
哪种解决方案能够以最具运营效率的方式满足这些要求？

A. 为您的组织配置一个委派管理员帐户。创建包含 Lambda 函数的 AWS CloudFormation 模板。使用 CloudFormation StackSets 将 CloudFormation 模板从委派管理员账户部署到组织中的所有成员账户。在委派管理员账户中创建一个 Amazon EventBridge 事件总线，以每 30 分钟调用一次每个成员账户中的 Lambda 函数。

B. 在组织的成员账户中创建跨账户 IAM 角色。将 AWSLambda_FullAccess 和 AWSCloudFormationFullAccess 策略附加到角色。创建一个包含 Lambda 函数和 Amazon EventBridge 计划规则的 AWS CloudFormation 模板，以便每 30 分钟调用一次 Lambda 函数。在您组织的管理账户中创建一个自定义脚本，该脚本承担该角色并在成员账户中部署 CloudFormation 模板。

C. 为您的组织设置委派管理员帐户。创建一个包含 Lambda 函数和 Amazon EventBridge 计划规则的 AWS CloudFormation 模板，以便每 30 分钟调用一次 Lambda 函数。使用 CloudFormation StackSets 将 CloudFormation 模板从委派管理员账户部署到组织中的所有成员账户

D.在组织的成员账户中创建跨账户 IAM 角色。将 AmazonS3FullAccess 和 AWSCodeDeployDeployerAccess 策略附加到角色。使用 AWS CodeDeploy 承担角色，从组织中的管理账户部署 Lambda 函数。在成员账户中配置 Amazon EventBridge 计划规则，每 30 分钟调用一次 Lambda 函数。

答案：C

解释：
C 是正确的：<Lambda 函数必须每 30 分钟运行一次以标记所有 EBS 卷>：您应该结合使用 Event Bridge 和 Lambda
答：<. 在委派管理员账户中创建 Amazon EventBridge 事件总线以调用 Lambda 函数>：要监控事件，每个成员账户中都需要一个事件桥，而不是在委派管理员的账户中。
B 和 D：这些选项在所有成员账户中创建 IAM 角色，这是不正确的

143 / 363

143.

No.143
一家公司使用 AWS CodeDeploy 蓝/绿部署在其生产环境中部署应用程序。此部署包括一个 Amazon EC2 Auto Scaling 组，该组启动运行 Amazon Linux 2 的实例。
代码存储库有一个有效的 appspec.yml 文件，其中包含以下文本：

version: 0.0
os: linux
files:
- source: /
destination: /var/www/html/application

DevOps 工程师必须确保在实例开始服务请求流量之前，脚本在替换实例上下载并安装许可证文件。 DevOps 工程师在 appspec.yml 文件中添加了一个钩子部分。
DevOps 工程师应该使用哪个钩子来运行脚本来下载并安装许可证文件？

A. 阻止流量之后

B. 阻止流量之前

C. 安装前

D. 下载包

答案：C

解释：
C 是正确答案。对于蓝/绿部署，安装前是在 <替换实例> 开始提供请求流量之前运行的钩子之一。
A 和 B：这些挂钩在替换实例开始处理请求流量后运行。这些是来自原始实例的钩子，是最后三个步骤中的两个。
D：蓝绿部署没有这样的挂钩。

144 / 363

144.

No.144
一家公司有一个包含 AWS Lambda 函数的应用程序。 Lambda 函数运行存储在 AWS CodeCommit 存储库中的 Python 代码。最近，我们的 Python 代码中有一个错误，导致生产环境出现故障。工程师为 Lambda 函数编写了单元测试，以防止将来在生产中出现缺陷。
该公司的 DevOps 团队需要实施一个解决方案，将单元测试集成到其现有的 AWS CodePipeline 管道中。该解决方案应生成公司可以查看的单元测试报告。
哪种解决方案可以满足这些要求？

A.将 CodeCommit 存储库与 Amazon CodeGuru Reviewer 关联。创建一个新的 AWS CodeBuild 项目。在您的 CodePipeline 管道中，配置一个使用新 CodeBuild 项目的测试阶段。在您的 CodeCommit 存储库中创建一个 buildspec.yml 文件。在您的 buildspec yml 文件中，定义您想要运行 CodeGuru 审查的操作。

B.创建一个新的 AWS CodeBuild 项目。在您的 CodePipeline 管道中，配置一个使用新 CodeBuild 项目的测试阶段。创建 CodeBuild 报告组。在您的 CodeCommit 存储库中创建一个 buildspec.yml 文件。在您的 buildspec.yml 文件中，定义一个操作以使用构建阶段部分中 JUNITXML 的输出运行单元测试。配置要上传到新的 CodeBuild 报告组的测试报告。

C.创建一个新的 AWS CodeArtifact 存储库。创建一个新的 AWS CodeBuild 项目。在您的 CodePipeline 管道中，配置一个使用新 CodeBuild 项目的测试阶段。在原始 CodeCommit 存储库中创建一个 appspec.yml 文件。在您的 appspec.yml 文件中，在构建阶段部分定义一个操作，以使用 CUCUMBERJSON 的输出运行单元测试。配置要发送到新的 CodeArtifact 存储库的测试报告。

D.创建一个新的 AWS CodeBuild 项目。在您的 CodePipeline 管道中，配置一个使用新 CodeBuild 项目的测试阶段。创建一个新的 Amazon S3 存储桶。在您的 CodeCommit 存储库中创建一个 buildspec.yml 文件。在 buildspec yml 文件中，定义一个操作以在阶段部分使用 HTML 输出运行单元测试。在报告部分，将测试报告上传到您的 S3 存储桶。

答案：B

解释：
B 是正确答案。单元测试需要 codebuild
答：Codeguru 用于代码分析，而不是单元测试
C：此选项错误地指出您将把报告推送到 CodeArtifact 存储库。
D：此选项表示将报告推送至 S3。这是不正确的。该报告必须上传到 codebuild 报告组

145 / 363

145.

No.145
一家公司在 AWS Organizations 中管理多个 AWS 账户。贵公司的安全策略规定您不得将 AWS 账户根用户凭证用于成员账户。该公司监控对根用户凭证的访问。
最近的警报显示，成员账户的根用户启动了 Amazon EC2 实例。 DevOps 工程师必须在组织的根级别创建 SCP，以防止成员账户中的根用户进行 AWS 服务 API 调用。
哪个 SCP 满足这些要求？

A { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringLike": { "aws:PrincipalArn": ( "arn:aws:iam::*:root" ) } } ] }

B { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" } } } ] }

C { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" } } } ] }

D { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "", "Resource": "*", "Principal": "root" } ] }

答案：C

解释：
我认为应该是 C。
https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html#bp_member-acct_use-scp

146 / 363

146.

No.146
一家公司使用 AWS 并拥有一个包含具有可预测流量模式的关键计算基础设施的 VPC。该公司已配置 VPC 流日志，并将其发布到 Amazon CloudWatch Logs 中的日志组。
该公司的 DevOps 团队需要设置 VPC 流日志监控解决方案，以识别一段时间内 VPC 的网络流量异常。如果监控解决方案检测到异常，公司需要开始对该异常做出响应。
DevOps 团队应如何配置他们的监控解决方案以满足这些要求？

A.创建 Amazon Kinesis 数据流。将日志组订阅到数据流。配置 Amazon Kinesis Data Analytics 以检测数据流中的日志异常。创建一个 AWS Lambda 函数用作数据流的输出。如果发现异常，则配置您的 Lambda 函数以写入默认的 Amazon EventBridge 事件总线。

B. 创建一个 Amazon Kinesis Data Firehose 传输流，将事件传输到 Amazon S3 存储桶。将日志组订阅到传输流。配置 Amazon Lookout for Metrics 来监控 S3 存储桶中的数据是否存在异常。创建一个 AWS Lambda 函数，用于响应 Lookout for Metrics 异常检测而运行。配置 Lambda 函数以发布到默认的 Amazon EventBridge 事件总线。

C. 创建一个 AWS Lambda 函数来检测异常。配置您的 Lambda 函数，以便在 Lambda 函数检测到异常时将事件发布到您的默认 Amazon EventBridge 事件总线。将 Lambda 函数订阅到日志组。

D.创建 Amazon Kinesis 数据流。将日志组订阅到数据流。创建一个 AWS Lambda 函数来检测日志中的异常。如果 Lambda 函数检测到异常，则配置 Lambda 函数以写入默认的 Amazon EventBridge 事件总线。将 Lambda 函数配置为数据流的处理器。

答案：B

解释：
我认为是 B。 Amazon Lookout 指标可以检测 S3 存储桶中的异常并触发 Lambda
https://aws.amazon.com/lookout-for-metrics/

147 / 363

147.

No.147
AnyCompany 使用 AWS Organizations 来创建和管理多个 AWS 账户。 AnyCompany 最近收购了一家规模较小的公司 Example Corp。在收购过程中，Example Corp 的单个 AWS 账户通过组织邀请加入了 AnyCompany 的管理账户。 AnyCompany 将新成员帐户移至专供 Example Corp 使用的 OU。
AnyCompany 的 DevOps 工程师有一个 IAM 用户，该用户承担名为 OrganizationAccountAccessRole 的角色来访问成员帐户。此角色配置了完全访问策略。当 DevOps 工程师尝试使用 AWS 管理控制台在 Example Corp 的新成员账户中担任角色时，该 DevOps 工程师收到以下错误消息：“一个或多个字段包含无效信息。请验证您的信息或联系您的管理员。”
哪种解决方案为 DevOps 工程师提供了访问新成员帐户的权限？

A.在管理账户中，授予 DevOps 工程师 IAM 用户权限，以承担新成员账户中的 OrganizationAccountAccessRole IAM 角色。

B. 在管理账户中，创建一个新的 SCP。在您的 SCP 中，授予 DevOps 工程师 IAM 用户对新成员账户中所有资源的完全访问权限。将 SCP 附加到将包含新成员帐户的 OU。

C. 在新的成员账户中，创建一个名为 OrganizationAccountAccessRole 的新 IAM 角色。将 AdministratorAccess AWS 托管策略附加到角色。该角色的信任策略授予管理账户承担该角色的权限。

D. 在新的成员账户中，编辑 OrganizationAccountAccessRole IAM 角色的信任策略。授予管理账户承担该角色的权限。

答案：C

解释：
C 是正确的：<在 Example Corp 的新成员账户中担任角色> 表示此角色尚未正确配置（或创建）
答：它只讲承担角色，不讲创造角色。
B：scp 与此无关
D：它只谈论建立信任关系

148 / 363

148.

No.148
一位 DevOps 工程师正在设计一个与旧版 REST API 集成的应用程序。该应用程序具有 AWS Lambda 函数，可从 Amazon Kinesis 数据流读取记录。 Lambda 函数将记录发送到旧式 REST API。
Lambda 函数从 Kinesis 数据流发送的记录中大约有 10% 存在数据错误，需要手动处理。 Lambda 函数的事件源配置具有 Amazon Simple Queue Service (Amazon SQS) 死信队列作为失败时的目的地。 DevOps 工程师配置了一个 Lambda 函数来批量处理记录，并在发生故障时实现重试。
在测试期间，DevOps 工程师注意到死信队列包含许多没有数据错误且已经由旧式 REST API 处理的记录。 DevOps 工程师应该配置 Lambda 函数的事件源选项，以减少发送到死信队列的无错误记录的数量。
哪种解决方案可以满足这些要求？

A.增加重试次数。

B. 配置一个设置，以便在发生错误时拆分批次。

C.增加每个分片的并发批次数量。

D.减少记录的最大年龄。

答案：B

解释：
当您使用 AWS Lambda 使用来自 Kinesis 数据流的记录时，您的函数可以批量处理记录。默认情况下，如果批次中的任何记录处理失败，则整个批次将被发送到死信队列。
为了避免将无错误的记录发送到死信队列，您必须配置 Lambda 函数的事件源选项以在发生错误时拆分批次。此设置称为 batchWindow，可以在 Lambda 函数的事件源映射中进行配置。
如果 batchWindow 设置为 TRIM_HORIZON，则 Lambda 函数会在第一个导致错误的记录处拆分批次，并仅将失败的记录发送到死信队列。该批次中剩余的无错误记录将继续由该功能处理。

149 / 363

No.149
一家公司在 AWS Lambda 上运行一个微服务，从 Amazon DynamoDB 读取数据。 Lambda 代码在测试成功后由开发人员手动部署。公司现在需要实现测试和部署的自动化，并在云中运行。此外，每个微服务部署后，必须逐步转移至新版本的流量。
哪种解决方案可以满足所有要求并最大限度提高开发人员的速度？

149.

A. 创建 AWS CodePipeline 配置并设置在测试通过后触发管道的后提交挂钩。使用 AWS CodeDeploy 创建指定流量百分比和间隔的金丝雀部署配置。

B. 创建一个在推送测试代码时触发的 AWS CodeBuild 配置。使用 AWS CloudFormation 部署新的 Lambda 版本并触发指定流量转移率和间隔的 AWS CodePipeline 配置。

C. 创建 AWS CodePipeline 配置并配置推送代码时将触发的源代码步骤。配置您的构建步骤以使用 AWS CodeBuild 运行测试。配置要部署的 AWS CodeDeploy 配置并选择 CodeDeployDefault.LambdaLinear10PercentEvery3Minutes 选项。

D. 使用 AWS CLI 配置提交后挂钩，在测试通过后将您的代码上传到 Amazon S3 存储桶。配置一个 S3 事件触发器，运行部署新版本的 Lambda 函数。使用 Lambda 函数间隔按照您想要的速率随时间部署您的代码。

答案：C

解释：
该解决方案具有以下优势：

自动化：从推送代码到测试和部署的整个过程都是自动化的，减少了手动工作并提高了开发人员的速度。

集成：借助 AWS CodePipeline、CodeBuild 和 CodeDeploy，您可以利用旨在无缝协作的完全托管服务。
增量部署：CodeDeployDefault.LambdaLinear10PercentEvery3Minutes 选项可确保流量以平稳、可控的方式转移到微服务的新版本，从而最大限度地降低停机或中断的风险。

150 / 363

150.

No.150
一家公司正在使用 AWS Lambda 和 Amazon API Gateway 构建使用无服务器架构的 Web 和移动应用程序。该公司希望根据推送到 AWS CodeCommit 存储库中相应环境分支的代码完全自动化其后端 Lambda 部署。
对于部署，您需要以下内容：
• 为测试和生产提供单独的环境管道
• 仅在测试环境中运行的自动部署
必须采取哪些步骤才能满足这些要求？

A.配置新的 AWS CodePipeline 服务。在每个环境中创建一个 CodeCommit 存储库。配置 CodePipeline 以从适当的存储库检索源代码。设置部署程序以使用 AWS CloudFormation 部署您的 Lambda 函数。

B. 创建两个 AWS CodePipeline 配置，一个用于测试环境，一个用于生产环境。在生产流程中设置手动审批步骤。在每个环境中创建一个 CodeCommit 存储库。配置每个 CodePipeline 以从适当的存储库检索源代码。设置部署程序以使用 AWS CloudFormation 部署您的 Lambda 函数。

C. 创建两个 AWS CodePipeline 配置，一个用于测试环境，一个用于生产环境。在生产流程中设置手动审批步骤。为每个环境创建一个带有分支的 CodeCommit 存储库。配置每个 CodePipeline 以从存储库中的相应分支检索源代码。设置部署程序以使用 AWS CloudFormation 部署您的 Lambda 函数。

D. 为测试和生产环境创建 AWS CodeBuild 配置。在生产流程中设置手动审批步骤。为每个环境创建一个带有分支的 CodeCommit 存储库。将您的 Lambda 函数代码推送到 Amazon S3 存储桶。设置部署步骤以从 S3 存储桶部署 Lambda 函数。

答案：C

解释：
C 是正确答案。 <用于测试和生产的单独环境管道> 表示 codepipeline，<将代码推送到 AWS CodeCommit 存储库中的相应环境分支> 表示代码 CodeCommit。
答：没有提到为测试和开发创建单独的环境。
B：<为每个环境创建一个 CodeCommit 存储库>您不应该这样做。您需要为每个环境创建一个分支。
D: 没有提及 CodePipeline

151 / 363

151.

No.151
一位 DevOps 工程师想要找到一种解决方案，将应用程序从本地迁移到 AWS。该应用程序在 Linux 上运行，并且必须在特定版本的 Apache Tomcat、HAProxy 和 Varnish Cache 上运行才能正常运行。您可能需要为您的应用程序调整操作系统级参数。您的解决方案应该包括一种自动部署新应用程序版本的方法。基础设施需要可扩展，并且故障的服务器应该被自动替换。
DevOps 工程师应该使用哪些解决方案？

A. 将您的应用程序作为包含所有必需软件的 Docker 映像上传到 Amazon ECR。使用 AWS Fargate 启动类型和 Auto Scaling 组创建 Amazon ECS 集群。创建一个使用 Amazon ECR 作为源并使用 Amazon ECS 作为部署提供程序的 AWS CodePipeline 管道。

B. 使用保存的配置文件将您的应用程序代码上传到 AWS CodeCommit 存储库来配置和安装软件。创建使用 Tomcat 解决方案堆栈的 AWS Elastic Beanstalk Web 服务器层和负载均衡环境。创建一个使用 CodeCommit 作为源并使用 Elastic Beanstalk 作为部署提供程序的 AWS CodePipeline 管道。

C. 将您的应用程序代码连同一组 .ebextensions 文件上传到 AWS CodeCommit 存储库，然后配置并安装该软件。创建使用 Tomcat 解决方案堆栈的 AWS Elastic Beanstalk 工作层环境。创建一个使用 CodeCommit 作为源并使用 Elastic Beanstalk 作为部署提供程序的 AWS CodePipeline 管道。

D. 将您的应用程序代码连同 appspec.yml 文件上传到 AWS CodeCommit 存储库并配置和安装任何所需的软件。创建与 Amazon EC2 Auto Scaling 组关联的 AWS CodeDeploy 部署组。创建一个使用 CodeCommit 作为源并使用 CodeDeploy 作为部署提供程序的 AWS CodePipeline 管道。

答案：D

解释：
选项 A 是一个强有力的候选者，因为它无服务器且易于部署，但是对特定软件版本、操作系统级调整以及可扩展、容错基础设施的需求使选项 D 成为最合适的解决方案。选项 D 提供了自动化和可扩展性的优势，以及对软件环境和基础设施配置的必要控制。

152 / 363

152.

No.152
DevOps 工程师正在 EC2 Auto Scaling 组中的一组 Amazon EC2 实例中使用 AWS CodeDeploy。与 EC2 Auto Scaling 集成的关联 CodeDeploy 部署组配置为使用 CodeDeployDefault.OneAtATime 执行就地部署。在进行新的部署时，工程师注意到，尽管整体部署已成功完成，但五个实例中有两个仍然部署了以前的应用程序修订版。其余三个实例具有最新的应用程序修订版。
什么原因导致了这个问题？

A.受影响的两个实例无法获得新的部署。

B. AfterInstall 生命周期事件挂钩失败，导致 CodeDeploy 代理在受影响的实例上回滚到以前的版本。

C. 受影响的两个实例上未安装 CodeDeploy 代理。

D. EC2 Auto Scaling 在新部署尚未完成时启动了两个新实例，导致之前的版本被部署到受影响的实例。

答案：D

解释：
D 是正确答案。就地部署在部署时搜索所有可用的代理并更新应用程序版本。如果搜索后启动了新实例，则会跳过这些实例并检索最新的可用应用程序版本（以前的修订版）。
A 和 B：如果发生这种情况，其他三个也会受到影响
C：如果未安装 Code Deploy Agent，则两个实例上不会安装任何版本

153 / 363

153.

No.153
安全团队担心开发人员可能会在生产中无意中将弹性 IP 地址附加到 Amazon EC2 实例。开发人员不得将弹性 IP 地址附加到他们的实例。只要生产服务器具有弹性 IP 地址，就应该通知您的安全团队。
如何自动完成这项任务？

A. 使用 Amazon Athena 查询您的 AWS CloudTrail 日志，查看是否有任何关联地址的尝试。创建一个 AWS Lambda 函数来取消弹性 IP 地址与实例的关联并提醒您的安全团队。

B. 将 IAM 策略附加到开发人员的 IAM 组以拒绝关联地址的权限。创建自定义 AWS Config 规则来检查弹性 IP 地址是否与标记为生产的实例相关联并提醒您的安全团队。

C.验证与开发人员关联的所有 IAM 组都没有关联地址的权限。创建一个计划的 AWS Lambda 函数来检查弹性 IP 地址是否与标记为生产的实例相关联，并且如果实例具有与之关联的弹性 IP 地址，则提醒您的安全团队。

D. 创建 AWS Config 规则，确保所有生产实例都具有拒绝关联地址权限的 EC2 IAM 角色。检查实例是否具有与之关联的弹性 IP 地址，如果实例具有与之关联的弹性 IP 地址，则向安全团队发出警报。

答案：B

解释：
B 是正确的：<将 IAM 策略附加到开发人员 IAM 组以拒绝关联地址权限>：这意味着您可以拒绝所有地址关联尝试
答：AWS CloudTrail 日志用于监控用户操作。关联地址的尝试将会显示出来，但不会触发 AWS Lambda 取消关联 IP
C：<确保与开发人员关联的所有 IAM 组对关联地址都没有权限>：这不是必需的，使用选项 B 更容易实现。
D：<确保所有生产实例都具有 EC2 IAM 角色>：我们不需要检查 EC2 角色，但我们需要处理开发人员角色。

总结：D无关紧要，A、C都能达到要求，但是耗费较多精力和资源。

154 / 363

No.154
一家公司使用 AWS Organizations 为每个部门创建单独的 AWS 账户。该公司需要自动化以下任务：
• 定期使用新补丁更新Linux AMI并生成黄金映像。
• 在黄金映像上安装新版本的 Chef 代理（如果可用）
• 将新生成的AMI 交付给部门账户。

154. 哪种解决方案需要的管理开销最少？

A.创建一个脚本，从之前的黄金映像启动 Amazon EC2 实例。应用补丁更新。安装新版本的 Chef 代理，生成新的黄金映像，然后更改 AMI 上的权限以仅与部门账户共享新映像。

B. 使用 Amazon EC2 Image Builder 创建一个由基本 Linux AMI 和安装 Chef 代理的组件组成的映像管道。使用 AWS Resource Access Manager 与部门账户共享 EC2 Image Builder 映像。

C. 使用 AWS Systems Manager Automation 运行手册通过上一个映像更新 Linux AMI。指定更新 Chef 代理的脚本的 URL。使用 AWS Organizations 替换部门账户中的先前黄金映像。

D. 使用 Amazon EC2 Image Builder 创建一个由基本 Linux AMI 和安装 Chef 代理的组件组成的映像管道。在 AWS Systems Manager 参数存储中创建一个参数，以存储可从部门账户引用的新 AMI ID。

答案：B

解释：
B 是正确的：<生成黄金映像> 表示您需要在自动化管道中使用 EC2 映像生成器来创建黄金映像
A 和 C：未提及 EC2 Image Builder
D：该选项利用SSM来共享镜像，这是不正确的。要在账户之间共享资源，您需要 AWS 资源共享

155 / 363

155.

No.155
一家公司在 AWS 上有一个使用自动扩展功能的关键任务应用程序。该公司希望部署生命周期满足以下参数：
• 应一次部署一个应用程序实例，以便剩余的资源组能够继续处理流量。
• 该应用程序占用大量CPU，应密切监控。
• 如果部署实例的 CPU 利用率超过 85%，则部署应自动回滚。
哪种解决方案可以满足这些要求？

A.使用 AWS CloudFormation 创建 AWS Step Functions 状态机和 Auto Scaling 生命周期挂钩，以一次将一个实例转换为等待状态。使用 AWS Systems Manager Automation 将更新部署到每个实例，并使用心跳超时将它们添加回 Auto Scaling 组。

B. 使用 AWS CodeDeploy 和 Amazon EC2 Auto Scaling 设置与 CPU 利用率指标相关的警报。使用 CodeDeployDefault OneAtAtime 设置作为部署策略。在部署组中配置自动回滚，以便在超过警报阈值时回滚部署。

C. 使用 AWS Elastic Beanstalk 进行负载平衡和 AWS Auto Scaling。设置与 CPU 利用率指标相关的警报。配置一个批次大小固定为一个实例的滚动部署。启用增强健康功能来监控部署状态并根据先前创建的警报回滚。

D.使用 AWS Systems Manager 通过 Amazon EC2 Auto Scaling 执行蓝/绿部署。设置与 CPU 利用率指标相关的警报。一次部署一个更新。在 Auto Scaling 组内配置自动回滚，以便在超过警报阈值时回滚部署。

答案：B

解释：
B 正确 - CodeDeployDefault OneAtAtime 配置（一次一个，而不是 AllAtATime）

156 / 363

156.

No.156
一家公司有一位开发人员为自动部署管道编写代码。开发人员将每个项目的源代码存储在 Amazon S3 存储桶中。该公司希望为其团队增加更多开发人员，但担心代码冲突和工作损失。该公司还希望创建一个测试环境，以便他们可以部署新版本的代码进行测试，并允许开发人员在存储库中进行代码更改时自动部署到两个环境。
满足这些要求的最有效方法是什么？

A. 为每个项目创建一个 AWS CodeCommit 存储库，并使用主分支存储生产代码，使用测试分支存储部署的代码以进行测试。使用功能分支开发新功能，然后使用拉取请求将代码合并到测试和主分支中。

B. 为每个项目创建一个单独的 S3 存储桶用于测试代码，并使用 AWS Lambda 函数来驱动测试和生产存储桶之间的代码更改。为了防止代码冲突，请在所有存储桶上启用版本控制。

C. 为每个项目创建一个 AWS CodeCommit 存储库，并使用主分支进行生产和测试代码，每个环境使用不同的部署管道。使用功能分支来开发新功能。

D. 在每个 S3 存储桶上启用版本控制和分支，使用主分支来存储生产代码，并为部署到测试的代码创建测试分支。让您的开发人员使用不同的分支在不同的环境中进行开发。

答案：A

解释：
A 正确。 <开发人员将每个项目的源代码存储在 Amazon S3 存储桶中> 和 <公司希望为团队增加更多开发人员，但担心代码冲突和工作丢失> 意味着需要代码提交
B 和 D：没有提到代码提交
C: 不要同时使用主分支进行生产和测试

157 / 363

157.

No.157
一位 DevOps 工程师注意到，Auto Scaling 组中应用程序负载均衡器后面运行的所有 Amazon EC2 实例均未响应用户请求。 EC2 实例也未通过目标组的 HTTP 运行状况检查。
经过检查，工程师发现任何 EC2 实例上都没有运行应用程序进程。系统日志中有大量内存不足消息。工程师需要提高其应用程序的弹性以解决潜在的应用程序内存泄漏。为了在发生问题时收到警报，您必须启用监控和通知。
哪些行动组合可以满足这些要求？（选择两个。）

A.修改您的 Auto Scaling 配置以替换未通过负载均衡器健康检查的实例。

B.通过修改目标组的健康检查HealthCheckIntervalSeconds参数来减少健康检查间隔。

C. 将目标组的健康检查从 HTTP 更改为 TCP，以检查应用程序正在监听的端口是否可访问。

D. 在 Amazon CloudWatch 仪表板中为整个 Auto Scaling 组启用可用内存消耗指标。如果内存使用率过高则创建警报。要在警报响起时接收通知，请将 Amazon SNS 主题与警报关联。

E.使用 Amazon CloudWatch 代理收集 Auto Scaling 组中 EC2 实例的内存利用率。创建高内存利用率警报并关联 Amazon SNS 主题以接收通知。

答案：AE

解释：
答案 A 和 E 正确。如果任何实例失败，则必须用新实例替换并重新启动。要监控指标，请使用 CloudWatch 代理
B：这没什么作用。
C：不要从 HTTP 更改为 TCP
D：Cloudwatch 与代理一起工作，但是此选项未提及。

158 / 363

158.

No.158
一家电子商务公司使用大量由 Amazon Elastic Block Store (Amazon EBS) 支持的 Amazon EC2 实例。为了减少所有实例的手动工作量，当 EC2 实例计划退役事件时，DevOps 工程师负责自动执行重启操作。
我们如何才能实现这个目标？

A. 创建一个计划的 Amazon EventBridge 规则，每周运行一次 AWS Systems Manager Automation 运行手册，检查是否有任何 EC2 实例计划退役。如果某个实例计划退役，则运行手册会将该实例置于休眠状态。

B. 在所有实例上启用 EC2 自动恢复。创建 AWS Config 规则以限制恢复仅在维护时段内发生。

C.在标准工作时间之外的批准维护时段内重启所有 EC2 实例。配置 Amazon CloudWatch 警报，以便在任何实例未通过 EC2 实例状态检查时通知您。

D. 配置 AWS Health Amazon EventBridge 规则以运行 AWS Systems Manager Automation 运行手册，该运行手册在发生计划的退役事件时停止并启动 EC2 实例。

答案：D

解释：
D 是正确的：<当安排 EC2 实例退役事件时自动执行重启操作>：即使运行实例的底层基础设施需要修复，也会发生这样的操作。为了解决这个问题，只需停止并启动实例，并将实例重新定位到不同的物理机器上
答：在这种情况下 Hibernate 将无法工作
B：这也会恢复该实例。但是，AWS 配置规则无法限制恢复。仅报告，未采取行动
C：此选项是手动的，而不是自动的。

159 / 363

159.

No.159
一家公司使用 AWS Control Tower 来管理其应用程序团队的 AWS 账户。各个应用程序团队负责保护自己的 AWS 账户。
DevOps 工程师应在应用程序团队尚未启用 GuardDuty 的所有 AWS 账户中启用 Amazon GuardDuty。 DevOps 工程师正在使用来自 AWS Control Tower 托管账户的 AWS CloudFormation StackSets。
DevOps 工程师如何配置他们的 CloudFormation 模板以避免 StackSets 部署期间出现故障？

A.创建一个调用 AWS Lambda 函数的 CloudFormation 自定义资源。如果您的账户中尚未启用 GuardDuty，请配置 Lambda 函数以有条件地启用 GuardDuty。

B. 使用 CloudFormation 模板的条件部分在尚未启用 GuardDuty 的账户中启用 GuardDuty。

C. 使用 CloudFormation Fn::GetAtt 内部函数检查 GuardDuty 是否已启用。如果尚未启用 GuardDuty，请使用 CloudFormation 模板的资源部分来启用 GuardDuty。

D.手动发现未启用 GuardDuty 的 AWS 账户 ID 列表。使用 CloudFormation Fn::ImportValue 内部函数将账户 ID 列表导入 CloudFormation 模板并跳过列出的 AWS 账户的部署。

答案：A

解释：
A 正确。 <配置CloudFormation模板>是问题的要求。默认情况下，CloudFormation 不支持启用 Guarduty。为了有效，ACF 模板必须与 lambda 结合使用。
答：完全正确。
B：没有提到 lambda
C：Fn::GetAtt 内置：仅用于检查。没有提到使用 lambda 来启用 Guarduty
D：这个办法可行。但是，不建议采用手动方法。

160 / 363

160.

No.160
一家公司有一个 AWS Control Tower 着陆区。公司的 DevOps 团队创建了 Workloads OU。开发 OU 和生产 OU 嵌套在工作负载 OU 下。该公司授予用户对公司 AWS 账户的完全访问权限以部署应用程序。
DevOps 团队需要确保只有特定的管理 IAM 角色才能管理生产 OU 中 AWS 账户的 IAM 角色和策略。
哪些步骤组合可以满足这些要求？（选择两个。）

A.创建一个拒绝完全访问的 SCP，条件是排除组织根的管理员 IAM 角色。

B.验证 FullAWSAccess SCP 是否应用于组织根。

C. 创建允许 IAM 相关操作的 SCP。将 SCP 附加到开发 OU。

D. 创建一个 SCP，以排除管理 IAM 角色为条件拒绝 IAM 相关操作。将 SCP 附加到工作负载 OU。

E. 创建一个 SCP，以排除管理 IAM 角色的条件拒绝与 IAM 相关的操作。将 SCP 附加到生产 OU。

答案：BE

解释：
您需要了解 SCP 继承在 AWS 中的工作原理。拒绝策略的行为与允许策略不同。

仅当没有允许策略时，子进程才会继承允许策略。

拒绝策略总是被子级继承。

这就是为什么根目录下总有一个 SCP 默认允许一切。如果您限制此策略，它将限制整个组织，不管其他 OU 中的其他策略如何规定。因此不是A。不是 D，因为您限制了错误的 OU。

161 / 363

161.

No.161
一家公司雇用一名渗透测试人员来模拟内部安全漏洞。测试人员对该公司的 Amazon EC2 实例执行了端口扫描。该公司的安全措施并未检测到该端口扫描。
您的公司需要一种解决方案，当对您的 EC2 实例执行端口扫描时自动提供通知。一家公司创建并订阅 Amazon Simple Notification Service (Amazon SNS) 主题。
公司下一步该怎么做才能满足该要求？

A.确保 Amazon GuardDuty 已启用。针对检测到的 EC2 和端口扫描结果创建 Amazon CloudWatch 警报。将警报连接到 SNS 主题。

B.验证 Amazon Inspector 是否已启用。为检测到的表明端口扫描的网络可达性结果创建 Amazon EventBridge 事件。将事件连接到 SNS 主题。

C. 验证 Amazon Inspector 是否已启用。为检测到的触发开放端口漏洞的 CVE 创建 Amazon EventBridge 事件。将事件连接到 SNS 主题。

D.验证 AWS CloudTrail 是否已启用。创建一个 AWS Lambda 函数来分析 CloudTrail 日志中来自 IP 地址范围的异常流量。将 Lambda 函数连接到 SNS 主题。

答案：A

解释：
- GuardDuty 专注于实时威胁检测和警报，而 Inspector 专注于漏洞扫描和修复。
- GuardDuty 在后台持续运行，而 Inspector 通常按需运行或针对特定工作负载安排运行。

162 / 363

162.

No.162
一家公司在 Amazon Elastic Kubernetes Service (Amazon EKS) 集群上运行其应用程序。 EKS 集群使用应用程序负载均衡器将流量路由到集群上运行的应用程序。
迁移到 EKS 集群的新应用程序性能不佳。 EKS 集群中的所有其他应用程序继续正常运行。在用户流量路由到 Web 应用程序之前，新应用程序会在部署后立即水平扩展到预先配置的最大 Pod 数量。
哪种解决方案可以解决 EKS 集群中 Web 应用程序的扩展行为？

A. 在您的 EKS 集群中实现水平 Pod 自动扩缩器。

B. 在您的 EKS 集群中实现垂直 Pod 自动缩放器。

C.实现集群自动缩放器。

D. 在您的 EKS 集群中实现 AWS 负载均衡器控制器。

答案：B

解释：
我认为A是不正确的。 “新应用程序部署后立即水平扩展到预先配置的最大 Pod 数量”意味着水平 Pod 自动缩放器已经实现，但它并不能解决性能下降的问题。这可能表明资源配置不当。
但是 Vertical Pod Autoscaler 可以帮助您“正确调整”应用程序的大小。
因此，我给 B。

163 / 363

163.

No.163
一家公司有一个 AWS Control Tower 登陆区，用于管理 AWS Organizations 中的组织。该公司根据公司的要求创建了OU结构。该公司的 DevOps 团队为该解决方案建立了一个核心账户，并为所有集中式 AWS CloudFormation 和 AWS Service Catalog 解决方案建立了账户。
该公司希望提供一系列账户可以通过 AWS Control Tower 请求的定制服务。
哪些步骤组合可以满足这些要求？（选择三个）

A.使用服务管理权限为组织中的 CloudFormation 启用可信访问。

B. 创建一个名为 AWSControlTowerBlueprintAccess 的 IAM 角色。使用信任策略配置角色，允许管理账户中的 AWSControlTowerAdmin 角色承担该角色。将 AWSServiceCatalogAdminFullAccess IAM 策略附加到 AWSControlTowerBlueprintAccess 角色。

C. 为每个 CloudFormation 模板创建一个服务目录产品。

D. 为每个 CloudFormation 模板创建一个 CloudFormation 堆栈集。为每个堆栈集启用自动部署。创建针对特定 OU 的 CloudFormation 堆栈实例。

E.部署 AWS Control Tower (CfCT) CloudFormation 堆栈定制。

F.创建一个包含每个自定义资源的 CloudFormation 模板。

答案：BCF

解释：
配置帐户工厂进行定制流程的步骤：
1.“创建您需要的角色...”
- “该角色必须命名为 AWSControlTowerBlueprintAccess。”
- “必须配置 AWSControlTowerBlueprintAccess 角色以授予“[...]”信任。”
- “AWS Control Tower 管理账户中名为 AWSControlTowerAdmin 的角色。”
- AWS Control Tower 要求您将托管策略 AWSServiceCatalogAdminFullAccess 附加到 AWSControlTowerBlueprintAccess 角色。（必需的许可政策）
2.“创建 AWS Service Catalog 产品...”
[...]
https://docs.aws.amazon.com/controltower/latest/userguide/af-customization-page.html
https://docs.aws.amazon.com/controltower/latest/userguide/afc-setup-steps.html

164 / 363

164.

No.164
一家公司在 Amazon EC2 实例上运行工作负载。该公司需要控制措施，要求其 AWS 账户中的所有 EC2 实例都使用实例元数据服务版本 2 (IMDSv2)。如果您的 EC2 实例不阻止使用实例元数据服务版本 1 (IMDSv1)，则必须终止 EC2 实例。
哪种解决方案可以满足这些要求？

A.在您的账户中设置 AWS Config。使用托管规则检查您的 EC2 实例。配置规则以通过使用 AWS Systems Manager Automation 终止实例来补救发现的问题。

B.创建一个权限边界，如果 ec2:MetadataHttpTokens 条件键未设置为必需的值，则阻止 ec2:RunInstance 操作。将权限边界附加到用于启动实例的 IAM 角色。

C. 在您的账户中配置 Amazon Inspector。配置 Amazon Inspector 以对您的 EC2 实例进行深度检查。为 Inspector2 发现结果创建 Amazon EventBridge 规则。将 AWS Lambda 函数配置为终止实例的目标。

D. 为 EC2 实例启动成功事件创建 Amazon EventBridge 规则。将事件发送到 AWS Lambda 函数以检查 EC2 元数据并终止实例。

答案：A

解释：
AWS Config 是一项服务，可让您评估、审计和评估 AWS 资源的配置。它提供托管规则，您可以使用这些规则根据所需配置评估资源的配置设置。
在这种情况下，您可以使用 AWS Config 托管规则“ec2-imdsv2-check”来评估您的 EC2 实例是否正在使用实例元数据服务版本 2 (IMDSv2)。此规则检查 EC2 实例是否启用了实例元数据服务 (IMDS) HTTP 令牌请求。这是使用 IMDSv2 的要求。
如果发现 EC2 实例不符合规则（即不使用 IMDSv2），则可以配置 AWS Config 以自动修复不合规的资源。作为补救措施，您可以配置 AWS Systems Manager Automation 以终止不合规的 EC2 实例。

165 / 363

165.

No.165
一家公司正在构建一个应用程序，该应用程序在 Auto Scaling 组中的 Amazon EC2 实例前面使用应用程序负载均衡器。该应用程序是无状态的。 Auto Scaling 组使用完全预构建的自定义 AMI。 EC2实例没有自定义引导过程。
Auto Scaling 组使用的 AMI 最近已被删除。 Auto Scaling 组扩展活动将显示失败，因为 AMI ID 不存在。
DevOps 工程师应采取哪些步骤组合来满足这些要求？（选择三个。）

A. 创建使用新 AMI 的新启动模板。

B.更新 Auto Scaling 组以使用新的启动模板。

C.将 Auto Scaling 组的所需容量减少为 0。

D.将 Auto Scaling 组的所需容量增加 1。

E.从 Auto Scaling 组中正在运行的 EC2 实例创建一个新的 AMI。

F. 通过复制您的 EC2 实例所使用的操作系统的最新公共 AMI 来创建新的 AMI。

答案：ABE

解释：
ABE晋三
E - 从现有 EC2 创建新的 AMI（您可以这样做，因为它是无状态的）
A - 带有新 AMI 的新启动模板
B - 告诉自动缩放使用这个新的启动模板

166 / 363

166.

No.166
一家公司在应用程序负载均衡器 (ALB) 后面的 Amazon EC2 实例上部署了一个 Web 应用程序。该公司将其应用程序代码存储在 AWS CodeCommit 存储库中。当代码合并到主分支时，AWS Lambda 函数会调用 AWS CodeBuild 项目。 CodeBuild 项目打包代码，将打包后的代码存储在 AWS CodeArtifact 中，并调用 AWS Systems Manager Run Command 将打包后的代码部署到 EC2 实例。
以前的部署引入了缺陷，EC2 实例没有运行最新版本的打包代码，以及实例之间的不一致。
DevOps 工程师应采取哪些行动组合来实现更可靠的部署解决方案？（选择两个。）

A. 在 AWS CodePipeline 中创建一个使用 CodeCommit 存储库作为源提供程序的管道。配置并行运行 CodeBuild 项目的管道阶段来构建和测试您的应用程序。在您的管道中，将 CodeBuild 项目的输出工件传递给 AWS CodeDeploy 操作。

B. 在 AWS CodePipeline 中创建一个使用 CodeCommit 存储库作为源提供程序的管道。创建一个运行 CodeBuild 项目的单独管道阶段来构建和测试您的应用程序。在您的管道中，将 CodeBuild 项目的输出工件传递给 AWS CodeDeploy 操作。

C. 创建AWS CodeDeploy应用程序和部署组，将打包的代码部署到EC2实例。为部署组配置 ALB。

D.创建单独的 Lambda 函数，使用 AWS CodeDeploy 而不是 Systems Manager 执行构建、测试和部署操作。

E.创建一个 Amazon S3 存储桶。修改您的 CodeBuild 项目以将包存储在 S3 存储桶中而不是 CodeArtifact 中。使用 CodeDeploy 部署操作将工件部署到 EC2 实例。

答案：B.C.

解释：
B（顺序阶段）如果：
构建阶段和测试阶段之间存在依赖关系（测试依赖于构建输出）。
为了进行控制，各阶段之间需要手动批准或门控。

167 / 363

167.

No.167
一家公司使用 AWS Organizations 中的组织来管理其 AWS 账户。该公司的自动化账户包含一个用于创建和配置新 AWS 账户的 CI/CD 管道。
该公司拥有一组内部服务团队，为组织内部的账户提供服务。服务团队通过一组服务账户进行运作。当通过 CreateAccount API 调用创建新账户时，服务团队希望在其服务账户上接收 AWS CloudTrail 事件。
如何与服务账户共享此 CloudTrail 事件？

A. 在您的自动化账户中创建一个 Amazon EventBridge 规则，以将账户创建事件发送到服务账户的默认事件总线。更新服务帐户的默认事件总线以允许来自自动化帐户的事件。

B. 在服务账户中创建自定义 Amazon EventBridge 事件总线。更新自定义事件总线以允许来自自动化帐户的事件。在您的服务账户中创建一个 EventBridge 规则，直接从您的自动化账户监听 CloudTrail 事件。

C. 在自动化账户和服务账户中创建自定义 Amazon EventBridge 事件总线。创建一个 EventBridge 规则和策略，连接自动化账户和服务账户中的自定义事件总线。

D. 在您的自动化账户中创建自定义 Amazon EventBridge 事件总线。创建 EventBridge 规则和策略，将自定义事件总线连接到服务账户的默认事件总线。

答案：A

解释：
A 正确。您需要一个帐户创建事件，此选项正好提供了该事件
B：<在服务账户中创建一个直接监听 CloudTrail 事件的 EventBridge 规则>：这没有意义。要发送事件，您需要将规则应用到事件总线。
C 和 D：两个选项都发送所有事件，而不仅仅是帐户创建事件

168 / 363

168.

No.168
一位 DevOps 工程师正在构建使用 Amazon Simple Queue Service (Amazon SQS) 标准队列的解决方案。该解决方案还包括 AWS Lambda 函数和 Amazon DynamoDB 表。 Lambda 函数从 SQS 队列事件源检索内容并将内容写入 DynamoDB 表。
该解决方案必须最大限度地提高 Lambda 的可扩展性，并防止成功处理的 SQS 消息被多次处理。
哪种解决方案可以满足这些要求？

A. 在为 Lambda 函数配置事件源映射时，将批处理窗口减少到 1 秒。

B. 为您的 Lambda 函数配置事件源映射时，将批次大小减少到 1。

C. 将 ReportBatchItemFailures 值包含在 Lambda 函数的事件源映射中的 FunctionResponseTypes 列表中。

D. 在 Lambda 函数的事件源映射中配置队列可见性超时，以考虑 Lambda 函数调用限制。

答案：C

解释：
是 C。以下是一些有用的提示：

https://docs.aws.amazon.com/lambda/latest/dg/with-sqs.html#services-sqs-batchfailurereporting

169 / 363

169.

No.169
一家公司有一个新的 AWS 账户，其团队将使用该账户部署各种应用程序。该团队创建了许多 Amazon S3 存储桶，用于特定应用程序的目的和存储 AWS CloudTrail 日志。您的公司已为您的账户启用 Amazon Macie。
DevOps 工程师需要优化其账户的 Macie 成本，同时又不牺牲其账户的功能。
哪些解决方案满足这些要求？（选择两个）

A. 从自动发现中排除包含 CloudTrail 日志的 S3 存储桶。

B. 从自动发现中排除具有公共读取访问权限的 S3 存储桶。

C. 为账户中的所有 S3 存储桶配置一个计划的每日发现作业。

D. 配置发现作业以根据最近修改的条件包含 S3 对象。

E. 配置发现作业以仅包含标记为生产的 S3 对象。

答案：A.D.

解释：
广告
使你的发现工作更有针对性的选项包括：
使用“上次更新”标准包含对象
不扫描 CloudTrail 日志
考虑使用随机对象采样
包括具有特定扩展、标签或存储大小的对象以及特定标签键/值对，例如 environment:production。
考虑根据 S3 存储桶中对象的年龄来安排作业

170 / 363

170.

No.170
一家公司使用 AWS Organizations 内的组织来管理其 AWS 账户。该公司最近收购了另一家拥有独立 AWS 账户的公司。收购公司的 DevOps 团队需要整合两家公司的 AWS 账户的管理，并保持对账户的完全管理控制。 DevOps 团队还需要收集和分组所有账户的调查结果，以实施和维护他们的安全态势。
DevOps 团队应采取哪些步骤组合来满足这些要求？（选择两个。）

A.邀请被收购公司的 AWS 账户加入您的组织。创建具有完全管理权限的 SCP。将 SCP 附加到管理账户。

B.邀请被收购公司的 AWS 账户加入您的组织。在受邀账户中创建 OrganizationAccountAccessRole IAM 角色。授予管理账户承担该角色的权限。

C.使用 AWS Security Hub 收集和分组所有账户的发现结果。使用安全中心自动发现添加到您的组织的新账户。

D.使用 AWS Firewall Manager 收集和分组所有账户的调查结果。为组织启用所有功能。将组织中的一个账户指定为防火墙管理器的委派管理员账户。

E.使用 Amazon Inspector 收集并分组所有账户的发现结果。您将组织中的账户指定为 Amazon Inspector 的委派管理员账户。

答案：B.C.

解释：
答案 B 和 C 正确。 <您希望整合两家公司的 AWS 账户管理并保持对账户的完全管理控制> 意味着您需要将新账户邀请到您现有的 AWS 组织中。 <收集并分组所有账户的发现> 表示安全中心
A：将SCP附加到管理账户。 >：这是不正确的
D：防火墙管理器用于集中管理所有防火墙，而不是收集和分组调查结果
E：Inspector 仅用于漏洞扫描

171 / 363

171.

No.171
一家公司有一个应用程序和一个 CI/CD 管道。 CI/CD 管道由 AWS CodePipeline 管道和 AWS CodeBuild 项目组成。作为构建过程的一部分，CodeBuild 项目会针对您的应用程序运行测试并生成测试报告。该公司必须保留90天的测试报告。
哪种解决方案可以满足这些要求？

A. 在包含 CodeBuild 项目的阶段之后向您的 CodePipeline 管道添加一个新阶段。创建一个 Amazon S3 存储桶来存储报告。在新的 CodePipeline 阶段中，使用适合您的报告的路径和格式配置 S3 Deploy 操作类型。

B. 在您的 CodeBuild 项目的构建规范文件中，添加一个具有适当路径和格式的报告组。创建一个 Amazon S3 存储桶来存储报告。配置 Amazon EventBridge 规则以调用 AWS Lambda 函数，该函数在构建完成后将报告复制到 S3 存储桶。创建 S3 生命周期规则以使对象在 90 天后过期。

C. 向 CodePipeline 管道添加一个新阶段。使用适合报告的路径和格式配置测试操作类型。在 CodeBuild 项目的构建规范文件中，将报告到期期限设置为 90 天。

D. 将报告组添加到 CodeBuild 项目中的构建规范文件，并使用适合报告的路径和格式。创建一个 Amazon S3 存储桶来存储报告。您将报告组配置为 CodeBuild 项目的构建规范文件中的工件。配置一个 S3 存储桶来存储工件。将对象过期时间设置为90天。

答案：B

解释：
问题关键词：
如何使 S3 中的对象过期。

只有 S3 生命周期规则可以使对象过期。

172 / 363

172.

No.172
一家公司使用 Amazon API Gateway Regional REST API 来托管其应用程序 API。 REST API 有一个自定义域。 REST API 中的默认端点已被停用。
公司内部团队使用 API。该公司希望在其 API 和内部团队之间使用相互 TLS 作为额外的身份验证层。
哪些步骤组合可以满足这些要求？（选择两个）

A.使用 AWS 证书管理器 (ACM) 创建私有证书颁发机构 (CA)。提供由私人 CA 签名的客户端证书。

B. 提供由公共认证机构 (CA) 签名的客户端证书。将证书导入 AWS 证书管理器 (ACM)。

C. 将配置的客户端证书上传到 Amazon S3 存储桶。配置 API 网关相互 TLS 以使用存储在 S3 存储桶中的客户端证书作为信任库。

D. 将配置的客户端证书的私钥上传到 Amazon S3 存储桶。配置 API 网关相互 TLS 以使用存储在 S3 存储桶中的私钥作为信任存储。

E. 将根私有证书颁发机构 (CA) 证书上传到 Amazon S3 存储桶。配置 API 网关相互 TLS 以使用存储在 S3 存储桶中的私有 CA 证书作为信任库。

答案：AE

解释：
A.仅供内部团队使用。
E. 信任库确定哪些 CA 是受信任的。如果您有任何中间 CA，它们也必须存在于 S3 存储桶中。

173 / 363

173.

No.173
一家公司使用 AWS Directory Service for Microsoft Active Directory 作为其身份提供商 (IdP)。该公司要求在 AWS CloudFormation 中定义和部署其所有基础设施。
DevOps 工程师需要创建一组基于 Windows 的 Amazon EC2 实例来托管应用程序。一位 DevOps 工程师创建了一个 CloudFormation 模板，其中包括一个 EC2 启动模板、一个 IAM 角色、一个 EC2 安全组和一个 EC2 Auto Scaling 组。 DevOps 工程师需要实施一项解决方案，将所有 EC2 实例加入 AWS Managed Microsoft AD 目录中的域。
哪种解决方案能够最有效地满足这些要求？

A. 在您的 CloudFormation 模板中，创建一个 AWS::SSM::Document 资源，该资源使用现有目录的参数将 EC2 实例加入到您的 AWS Managed Microsoft AD 域。更新启动模板以包含 SSMAssociation 属性并使用新的 SSM 文档。将 AmazonSSMManagedInstanceCore 和 AmazonSSMDirectoryServiceAccess AWS 托管策略附加到您的 EC2 实例使用的 IAM 角色。

B. 在您的 CloudFormation 模板中，更新启动模板以包含您想要在启动时传播的特定标签。创建 AWS::SSM::Association 资源以将 AWS-JoinDirectoryServiceDomain Automation 运行手册与具有指定标签的 EC2 实例关联。定义加入 AWS Managed Microsoft AD 目录所需的参数。将 AmazonSSMManagedInstanceCore 和 AmazonSSMDirectoryServiceAccess AWS 托管策略附加到您的 EC2 实例使用的 IAM 角色。

C.将您现有的 AWS Managed Microsoft AD 域连接详细信息存储在 AWS Secrets Manager 中。在您的 CloudFormation 模板中，创建 AWS::SSM::Association 资源以将 AWS-CreateManagedWindowsInstanceWithApproval 自动化运行手册与您的 EC2 Auto Scaling 组关联。传递来自 Secrets Manager 的参数的 ARN 以加入域。将 AmazonSSMDirectoryServiceAccess 和 SecretsManagerReadWrite AWS 托管策略附加到您的 EC2 实例使用的 IAM 角色。

D.将您现有的 AWS Managed Microsoft AD 域管理员凭证存储在 AWS Secrets Manager 中。在您的 CloudFormation 模板中，更新 EC2 启动模板以包含用户数据。它从 Secrets Manager 检索管理员凭证并配置用户数据以加入 AWS Managed Microsoft AD 域。将 AmazonSSMManagedInstanceCore 和 SecretsManagerReadWrite AWS 托管策略附加到您的 EC2 实例使用的 IAM 角色。

答案：B

解释：
B 是正确答案。此任务需要将 AWS:SSM::Document 与 AWS-JoinDirectoryServiceDomain 自动化运行手册结合使用。
答：未提及加入域的运行手册的名称
C：AWS-CreateManagedWindowsInstanceWithApproval 自动化运行手册用于创建 Windows 实例，而不是加入域
D：AWS::SSM::Document 未记录

174 / 363

174.

No.174
一家公司使用 AWS Organizations 来管理其 AWS 账户。该公司有一个包含子 OU 的根 OU。根 OU 有一个 SCP，允许对所有资源执行所有操作。子 OU 具有 SCP，它允许对 Amazon DynamoDB 和 AWS Lambda 执行所有操作并拒绝所有其他操作。
该公司在子 OU 中拥有一个名为 vendor-data 的 AWS 账户。 DevOps 工程师有一个 IAM 用户附加到供应商数据帐户中的管理员访问 IAM 策略。一名 DevOps 工程师尝试在供应商数据账户中启动 Amazon EC2 实例并收到访问被拒绝错误。
DevOps 工程师应该进行哪些更改才能在供应商数据账户中启动 EC2 实例？

A. 将 AmazonEC2FullAccess IAM 策略附加到 IAM 用户。

B. 创建一个允许所有 Amazon EC2 操作的新 SCP。将 SCP 附加到您的供应商数据帐户。

C. 更新子 OU 的 SCP 以允许所有 Amazon EC2 操作。

D.创建一个允许所有 Amazon EC2 操作的新 SCP。将 SCP 附加到根 OU。

答案：C

解释：
C - 必须从根级别到帐户级别明确指定权限。由于它未在 OU 中指定，因此使其可供供应商帐户使用的唯一方法是更改 OU 策略。

175 / 363

175.

No.175
公司的安全策略要求在生产环境中使用安全强化的 AMI。 DevOps 工程师使用 EC2 Image Builder 创建了一个管道，以便定期构建 AMI。
DevOps 工程师需要更新公司的 Auto Scaling 组的启动模板。启动 Amazon EC2 实例时，您的 Auto Scaling 组必须使用最新的 AMI。
哪种解决方案能够最有效地满足这些要求？

A.配置 Amazon EventBridge 规则以从 Image Builder 接收新的 AMI 事件。以使用最新 AMI ID 更新 Auto Scaling 组启动模板的 AWS Systems Manager Run Command 文档为目标。

B. 配置 Amazon EventBridge 规则以从映像生成器接收新的 AMI 事件。以使用最新 AMI ID 更新 Auto Scaling 组启动模板的 AWS Lambda 函数为目标。

C. 配置启动模板以使用 AWS Systems Manager Parameter Store 中的值作为 AMI ID。配置您的 Image Builder 管道以使用最新的 AMI ID 更新参数存储值。

D.配置 Image Builder 的分发配置并使用最新的 AMI 更新启动模板。配置您的 Auto Scaling 组以使用最新版本的启动模板。

答案：D

解释：
D 是正确答案。 Image Builder 具有内置功能，可让您更新 EC2 启动模板。
答：AWS Systems Manager Run Command 文档用于在 EC2 上运行脚本，而不是用于更新。
B：Lambda 用于其他任务，而不是这个。
C：这似乎是一个可行的选择，但您可以直接更新启动模板而不使用参数存储。

176 / 363

176.

No.176
一家公司使用 AWS Lambda 函数配置了 Amazon S3 事件源。当在特定的 S3 存储桶中创建新对象或修改现有对象时，公司需要执行 Lambda 函数。 Lambda 函数使用传入事件中的 S3 存储桶名称和 S3 对象键来读取已创建或修改的 S3 对象的内容。 Lambda 函数解析内容并将解析的内容存储在 Amazon DynamoDB 表中。
Lambda 函数的执行角色具有从 S3 存储桶读取和写入 DynamoDB 表的权限。在测试期间，DevOps 工程师发现，当将对象添加到 S3 存储桶或修改现有对象时，Lambda 函数不会执行。
哪种解决方案可以解决这个问题？

A.增加 Lambda 函数的内存，以便该函数可以处理来自 S3 存储桶的更大文件。

B. 为 Lambda 函数创建资源策略，授予 Amazon S3 调用 S3 存储桶中的 Lambda 函数的权限。

C. 将 Amazon Simple Queue Service (Amazon SQS) 队列配置为 Lambda 函数的 OnFailure 目标。

D. 在 Lambda 函数的 /tmp 文件夹中配置空间，以便该函数可以处理来自 S3 存储桶的大文件。

答案：B

解释：
B：正确：向基于 Lambda 资源的策略添加权限，以允许 S3 调用 Lambda。
答：即使内存不足，Lambda 仍会执行。当 Lambda 根本不执行时就会出现这种情况。
C：这里不需要 SQS 来处理死信队列
D：Lambda 未在测试中执行。这证明问题不在于磁盘空间。在测试中，测试人员通常不会使用大型物体。

177 / 363

No.177
一家公司在两个 AWS 区域部署了一个关键应用程序。该应用程序在两个区域中都使用应用程序负载均衡器 (ALB)。该公司拥有这两个 ALB 的 Amazon Route 53 别名 DNS 记录。
该公司使用 Amazon Route 53 应用程序恢复控制器来实现应用程序在两个区域之间的故障转移。 Route 53 ARC 配置包括两个区域的路由控制。该公司使用 Route 53 ARC 执行季度灾难恢复 (DR) 测试。
在最近的 DR 测试中，一位 DevOps 工程师意外关闭了两个路由控制。您的公司应确保至少一个路由控制始终处于打开状态。

177. 哪种解决方案可以满足这些要求？

A. 在 Route 53 ARC 中，创建一个新的断言安全规则。将断言安全规则应用到两个路由控制。配置类型为 ATLEAST 且阈值为 1 的规则。

B. 在 Route 53 ARC 中，创建一个新的门控安全规则。将断言安全规则应用到两个路由控制。配置一条OR类型且阈值为1的规则。

C. 在 Route 53 ARC 中，创建一个新的资源集。使用 AWS::Route53::HealthCheck 资源类型配置资源集。将两个路由控制的 ARN 指定为目标资源。为一系列资源创建新的就绪情况检查。

D. 在 Route 53 ARC 中，创建一个新的资源集。使用 AWS::Route53RecoveryReadiness::DNSTargetResource 资源类型配置资源集。将两个 Route 53 别名 DNS 记录的域名添加为目标资源。为一系列资源创建新的就绪情况检查。

答案：A

解释：
A 是正确答案。确保至少有一个门始终打开的断言规则。这些规则基本上都是用户不能做或者只能做的事情。
B：此门控规则本质上是 ARC 设置的开/关开关。如果您不想关闭任何控制器，请指定此规则。这条规则也许能帮助你达到你提问的目的。但是，您必须指定不应关闭的控制器的确切名称。另一方面，问题要求可以关闭任何控制器，但至少必须有一个控制器正在运行。所以这不是一个好的选择。

178 / 363

178.

No.178
医疗保健服务公司担心监测患者健康状况的应用程序的软件许可证成本不断增加。该公司希望创建一个审计流程，以确保应用程序仅在 Amazon EC2 专用主机上运行。 DevOps 工程师需要创建工作流程来审核应用程序以确保合规性。
工程师应采取哪些步骤才能以最少的管理开销满足这一要求？

A.使用 AWS Systems Manager 配置合规性。使用对 put-compliance-items API 操作的调用来扫描不合规 EC2 实例并根据其主机放置配置构建数据库。我们使用 Amazon DynamoDB 表来存储这些实例 ID 以便快速访问。通过调用 list-compliance-summaries API 操作从 Systems Manager 生成报告。

B. 使用在 EC2 实例上运行的自定义 Java 代码。根据您要检查的实例数量，为实例配置 EC2 Auto Scaling。将不合规的 EC2 实例 ID 列表发送到 Amazon SQS 队列。配置另一个工作实例来处理来自 SQS 队列的实例 ID 并将其写入 Amazon DynamoD。使用 AWS Lambda 函数终止从队列中检索到的不合规实例 ID，并将其发送到 Amazon SNS 电子邮件主题进行分发。

C.使用 AWS Config。在区域内的所有 Amazon EC2 资源上启用配置记录，然后确定要审计的所有 EC2 实例。使用“config-rule-change -triggered”蓝图创建触发 AWS Lambda 函数的自定义 AWS Config 规则。修改 Lambda assessCompliance() 函数以验证主机放置，如果实例未在 EC2 专用主机上运行，则返回 NON_COMPLIANT 结果。使用 AWS Config 报告来解决不合规的实例。

D.使用 AWS CloudTrail。分析对 EC2 RunCommand API 操作的所有调用，以识别所有经过审核的 EC2 实例。它调用 AWS Lambda 函数来分析实例的主机位置。将不合规资源的 EC2 实例 ID 存储在 Amazon RDS for MySQL DB 实例中。通过查询 RDS 实例并将查询结果导出到 CSV 文本文件来生成报告。

答案：C

解释：
C 是正确答案。使用 Config 是正确的方法。
答：<使用 Amazon DynamoDB 表存储这些实例 ID 以便快速访问> DynamoDB 主要用于存储 Web 部分数据，并不用于存储这些 ID。
B：不要在 Ec2 中使用自定义 Java 代码。此外，此选项错误地指出它将终止不合规行为。您所需要的只是一个审计工作流程。
D：Cloud Trail 用于审计用户活动，而不是检查不合规的 EC2 实例。

179 / 363

179.

No.179
一位 DevOps 工程师正计划将基于 Ruby 的应用程序部署到生产环境。该应用程序需要与 Amazon RDS for MySQL 数据库交互，并且需要自动扩展和高可用性。存储在数据库中的数据至关重要，无论应用程序堆栈的状态如何都必须保存。
DevOps 工程师需要为具有自动回滚功能的应用程序设置自动部署策略。当部署失败时，解决方案还应向应用程序团队发出警报。
哪些步骤组合可以满足这些要求？（选择三个。）

A.将您的应用程序部署到 AWS Elastic Beanstalk。将 Amazon RDS for MySQL DB 实例部署为 Elastic Beanstalk 配置的一部分。

B.将应用程序部署到 AWS Elastic Beanstalk。在 Elastic Beanstalk 之外部署另一个 Amazon RDS for MySQL DB 实例。

C. 在 AWS Elastic Beanstalk 配置中，设置一个通知电子邮件地址以提醒应用程序团队。

D.配置 Amazon EventBridge 规则来监控 AWS Health 事件。使用 Amazon Simple Notification Service (Amazon SNS) 主题作为目标来提醒应用程序团队。

E.使用不可变的部署方法部署新的应用程序版本。

F.使用滚动部署方式部署新的应用程序版本。

答案：BCE

解释：
BCE
通过不可变部署，您可以执行不可变更新，以在单独的 Auto Scaling 组中启动运行新版本应用程序的一整套新实例，与运行旧版本的实例一起。不可变的部署可防止因部分完成的滚动部署而导致的问题。如果新实例未通过运行状况检查，Elastic Beanstalk 将终止它们并保留原始实例。

180 / 363

180.

No.180
一家公司正在使用 AWS CodePipeline 部署应用程序。根据新指南，任何应用程序更改在部署到生产之前都必须经过公司安全团队的一名成员的批准。必须记录并保留批准。
哪些行动组合可以满足这些要求？（选择两个）

A) 配置 CodePipeline 以将操作写入 Amazon CloudWatch Logs。

B. 配置 CodePipeline 在每个管道阶段结束时将操作写入 Amazon S3 存储桶。

C) 创建 AWS CloudTrail 跟踪以将日志传送到 Amazon S3。

D. 创建 CodePipeline 自定义操作以调用 AWS Lambda 函数进行批准。创建一项策略，授予您的安全团队管理 CodePipeline 自定义操作的访问权限。

E. 在部署步骤之前创建 CodePipeline 手动批准操作。创建一项策略，授予您的安全团队访问权限以批准手动批准阶段。

答案：CE

解释：
答案 C 和 E 正确：

答：Cloudwatch Logs 旨在存储来自 AWS 资源（例如 EC2）的日志，而不是 codepipeline 日志。

B：CodePipeline 操作不需要存储在 S3 中。
C：您需要监控用户活动，因此我们建议使用 CloudTrail 并将日志存储在 S3 中。
D：不要调用AWS Lambda进行授权
E：这是推荐的方法。

181 / 363

181.

No.181
一家公司要求其业务团队仅使用预先批准的 AWS CloudFormation 模板启动资源。当资源偏离预期状态时，安全团队要求自动监控。
应该使用什么策略来满足这些要求？

A.允许用户仅使用 CloudFormation 服务角色部署 CloudFormation 堆栈。使用 CloudFormation 偏差检测来检测您的资源何时偏离其预期状态。

B. 允许用户仅使用 CloudFormation 服务角色部署 CloudFormation 堆栈。使用 AWS Config 规则来检测资源何时偏离预期状态。

C. 允许用户仅使用 AWS Service Catalog 部署 CloudFormation 堆栈。强制使用启动约束。使用 AWS Config 规则来检测资源何时偏离预期状态。

D. 允许用户仅使用 AWS Service Catalog 部署 CloudFormation 堆栈。强制使用模板约束。使用 Amazon EventBridge 通知来检测资源何时偏离预期状态。

答案：C

解释：
检查您的 AWS CloudFormation 堆栈的实际配置是否与预期配置不同或有偏差。当堆栈中的一个或多个资源与预期配置不同时，该堆栈被视为未对齐。 https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-drift-detection-check.html

182 / 363

182.

No.182
一家公司有多个开发小组，使用一个共享的 AWS 账户开展工作。当资源创建接近账户的服务限制时，该集团的高级经理希望通过第三方 API 调用收到警报。
哪种解决方案能够以最少的开发工作量实现这一目标？

A. 创建一个定期运行并以 AWS Lambda 函数为目标的 Amazon EventBridge 规则。在您的 Lambda 函数中，评估您 AWS 环境的当前状态，并将部署的资源值与您账户的资源限制进行比较。如果您的帐户即将达到服务限额，请通知高级管理层。

B. 部署一个更新 AWS Trusted Advisor 检查的 AWS Lambda 函数，并配置一个 Amazon EventBridge 规则以定期运行 Lambda 函数。使用与 Trusted Advisor 事件和目标 Lambda 函数匹配的事件模式创建另一个 EventBridge 规则。在目标 Lambda 函数中，通知高级管理层。

C. 部署一个更新 AWS Health Dashboard 检查的 AWS Lambda 函数，并配置一个 Amazon EventBridge 规则以定期运行 Lambda 函数。创建另一个 EventBridge 规则，其事件模式与 Health Dashboard 事件和目标 Lambda 函数匹配。在目标 Lambda 函数中，通知高级管理层。

D. 添加定期运行的 AWS Config 自定义规则，以检查 AWS 服务的限制状态并将通知流式传输到 Amazon Simple Notification Service (Amazon SNS) 主题。部署一个通知高级管理层的 AWS Lambda 函数，并将 Lambda 函数订阅到 SNS 主题。

答案：B

解释：
了解您的服务限制（以及您距离达到这些限制还有多远）是管理您的 AWS 部署的重要部分。持续监控使您可以在达到限制之前请求增加限制或关闭资源。

最简单的方法之一是使用 AWS Trusted Advisor Service Limits Dashboard。该仪表板目前涵盖 10 项服务的 39 项限制。 https://aws.amazon.com/blogs/mt/monitoring-service-limits-with-trusted-advisor-and-amazon-cloudwatch/

183 / 363

183.

No.183
DevOps 工程师正在建立基于容器的架构。工程师决定使用 AWS CloudFormation 自动配置 Amazon ECS 集群和 Amazon EC2 Auto Scaling 组以启动 EC2 容器实例。成功创建 CloudFormation 堆栈后，工程师注意到，尽管 ECS 集群和 EC2 实例已成功创建并且堆栈创建已完成，但 EC2 实例仍与不同的集群相关联。
DevOps 工程师应如何更新他们的 CloudFormation 模板来解决此问题？

A. 使用 AWS::ECS::Cluster 资源引用您的 EC2 实例，并使用 AWS::ECS::Service 资源引用您的 ECS 集群。

B. 在 UserData 属性中的 AWS::AutoScaling::LaunchConfiguration 资源中引用 ECS 集群。

C. 在 UserData 属性中的 AWS::EC2::Instance 资源中引用 ECS 集群。

D. 引用 AWS::CloudFormation::CustomResource 资源中的 ECS 集群以触发将 EC2 实例注册到适当的 ECS 集群的 AWS Lambda 函数。

答案：B

解释：
根据这个区块，B 是正确答案。
"用户数据": {
"Fn::Base64": {
“Fn::Sub”：“#!/bin/bash -xe\n echo ECS_CLUSTER=${ECSCluster} >> /etc/ecs/ecs.config\n yum install -y aws-cfn-bootstrap\n /opt/aws/bin/cfn-init -v --stack ${AWS::StackId} --resource ContainerInstances --configsets full_install --region ${AWS::Region} &\n”
}
}，
位于 https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ecs-cluster.html

184 / 363

184.

No.184
DevOps 工程师正在为需要将基础设施设在美国境内的公司实施治理控制。工程师应该限制可使用的 AWS 区域，并确保如果发生任何超出其治理政策的活动，尽快向他们发出警报。这些控制措施应自动针对美国以外的任何新地区启用。
哪些行动组合可以满足这些要求？（选择两个）

A.创建一个 AWS Organizations SCP，拒绝访问非美国地区的所有非全球服务。将该策略附加到您的组织的根目录。

B. 配置 AWS CloudTrail 以将日志发送到 Amazon CloudWatch Logs 并在所有区域中启用它。使用 CloudWatch Logs 指标过滤器向您发出非美国地区所有服务活动的警报。

C. 使用检查 AWS 服务活动的 AWS Lambda 函数部署到所有区域。创建一个 Amazon EventBridge 规则，每小时运行一次 Lambda 函数，如果在任何非美国地区发现活动，则发送警报。

D. 使用 AWS Lambda 函数查询 Amazon Inspector 以查找非美国地区的服务活动，并在发现活动时发送警报。

E.创建一个使用 aws:RequestedRegion 条件键限制对美国地区访问的 SCP。将策略应用于所有用户、组和角色。

答案：AB

解释：
选项 A 建议创建一个 AWS Organizations SCP，拒绝访问非美国地区的所有非全球服务。这是一个有效的方法。
选项 B 建议配置 AWS CloudTrail 以将日志发送到 Amazon CloudWatch Logs 并在所有区域中启用它。

185 / 363

185.

No.185
一家公司通过电子商务网络应用程序销售产品。该公司需要一个以饼图形式显示产品交易详情的仪表板。该公司希望将该仪表板与公司现有的 Amazon CloudWatch 仪表板集成。
哪种解决方案能够最有效地满足这些要求？

A. 更新您的电子商务应用程序，以便为处理的每笔交易向 CloudWatch 日志组发送一个 JSON 对象。使用 CloudWatch Logs Insights 查询您的日志组并以饼图的形式可视化结果。将结果附加到您想要的 CloudWatch 仪表板。

B. 更新电子商务应用程序，以便为处理的每笔交易将 JSON 对象输出到 Amazon S3 存储桶。使用 Amazon Athena 查询 S3 存储桶并以饼图的形式可视化结果。从 Athena 导出结果。将结果附加到您想要的 CloudWatch 仪表板。

C. 更新电子商务应用程序以使用 AWS X-Ray 进行检测。创建一个新的 X-Ray 子段。为每个处理的交易添加注释。使用 X-Ray 跟踪查询数据并以饼图的形式可视化结果。将结果附加到您想要的 CloudWatch 仪表板。

D. 更新您的电子商务应用程序，以便将处理的每笔交易的 JSON 对象输出到 CloudWatch 日志组。创建一个 AWS Lambda 函数来聚合结果并将其写入 Amazon DynamoDB。为日志文件创建 Lambda 订阅过滤器。将结果附加到您想要的 CloudWatch 仪表板。

答案：A

解释：
A 正确。 <产品交易详情饼图>表示需要收集应用程序日志，并对日志进行分析。推荐的方法是使用 CloudWatch Logs 和 CloudWatch Log Insights。
B：不要使用S3。您应该使用 CloudWatch Logs 轻松集成到现有的 CloudWatch 仪表板中。
C：X 射线用于短期故障排除，而不是长期应用程序监控
D: 不要使用 Lambda，也不要将结果写入 Dynamodb，后者主要用于存储会话数据
https://www.examtopics.com/exams/amazon/aws-certified-devops-engineer-professional-dop-c02/view/1/#

186 / 363

186.

No.186
一家公司正在推出一款应用程序。您的应用程序必须仅使用经批准的 AWS 服务。运行该应用程序的账户创建时间不到一年，并分配给 AWS Organizations OU。
您的公司将需要创建一个新的组织帐户结构。您的账户结构应该具有适当的 SCP，以支持仅使用您 AWS 账户中当前处于活动状态的服务。该公司在其解决方案中使用 AWS Identity and Access Management (IAM) 访问分析器。
哪种解决方案可以满足这些要求？

A. 创建一个允许 IAM Access Analyzer 识别的服务的 SCP。为账户创建一个 OU。将帐户移至新的 OU。将新的 SCP 附加到新的 OU。从新的 OU 中分离默认的 FullAWSAccess SCP。

B. 创建 SCP 以拒绝 IAM Access Analyzer 识别的服务。为账户创建一个 OU。将帐户移至新的 OU。将新的 SCP 附加到新的 OU。

C. 创建允许 IAM Access Analyzer 识别的服务的 SCP。将新的 SCP 附加到组织的根目录。

D. 创建允许 IAM Access Analyzer 识别的服务的 SCP。为账户创建一个 OU。将帐户移至新的 OU。将新的 SCP 附加到管理账户。从新的 OU 中分离默认的 FullAWSAccess SCP。

答案：A

解释：
A 是正确的：<AWS Identity and Access Management (IAM) Access Analyzer> 是一种允许部分权限但拒绝全部权限的最小权限解决方案。因此，您应该忽略允许的权限并删除 <default FullAWSAccess>
B：最小特权是允许一些而拒绝所有，不允许所有而拒绝一些。
C：以上步骤无效果。根已经有默认的 FullAWSAccess SCP。允许更多服务并没有什么区别
D: <将新的 SCP 附加到管理账户>: 您无法将 SCP 附加到账户

187 / 363

187.

No.187
一家公司有来自不同业务部门的多个开发团队，他们使用共享的单个 AWS 账户开展工作。在您的账户中创建的所有 Amazon EC2 资源都必须包含一个标签，指定谁创建了该资源。标记必须在资源创建后一小时内进行。
DevOps 工程师应该为创建的资源添加标签，其中包含创建该资源的用户 ID 和成本中心 ID。 DevOps 工程师使用成本中心映射和标签资源配置 AWS Lambda 函数。 DevOps 工程师还在 AWS 账户中设置了 AWS CloudTrail。 Amazon S3 存储桶存储 CloudTrail 事件日志。
哪种解决方案可以满足您的标记要求？

A. 在您的 S3 存储桶上创建 S3 事件通知，以针对 s3:ObjectTagging:Put 事件调用您的 Lambda 函数。在您的 S3 存储桶上启用存储桶版本控制。

B. 在 S3 存储桶上启用服务器访问日志记录。为 S3 存储桶上的 s3:ObjectTagging:* 事件创建 S3 事件通知。

C. 创建每小时重复一次的 Amazon EventBridge 计划规则来调用 Lambda 函数。修改 Lambda 函数以从 S3 存储桶读取日志。

D. 创建使用 Amazon EC2 作为事件源的 Amazon EventBridge 规则。配置规则以匹配 CloudTrail 发送给您的事件。配置一条规则来定位您的 Lambda 函数。

答案：D

解释：
D 是正确答案。
A 和 B：不相关
C：不建议使用 lambda 读取日志，因为它需要很长时间。

188 / 363

188.

No.188
一家公司在单个 AWS 账户中运行适用于多个环境的应用程序。 AWS CodePipeline 管道使用开发 Amazon Elastic Container Service (Amazon ECS) 集群来测试来自 Amazon Elastic Container Registry (Amazon ECR) 存储库的应用程序映像。管道将图像提升至生产 ECS 集群。
一家公司需要将生产集群迁移到同一 AWS 区域内的其他 AWS 账户。您的生产集群必须能够通过私有连接下载图像。
哪种解决方案可以满足这些要求？

A.使用 Amazon ECR VPC 终端节点和 Amazon S3 网关终端节点。在不同的 AWS 账户中创建一个 ECR 存储库。配置存储库策略以允许您的生产 ECS 任务从您的主 AWS 账户中提取图像。配置生产 ECS 任务执行角色，并赋予其从 ECR 存储库下载映像的权限。

B. 在主 AWS 账户中的生产 ECR 存储库上设置存储库策略。配置存储库策略以允许另一个 AWS 账户中的生产 ECS 任务从主账户中提取映像。配置生产 ECS 任务执行角色，并赋予其从 ECR 存储库下载映像的权限。

C. 在主 AWS 账户中配置 ECR 私有镜像复制。激活跨账户复制。定义另一个 AWS 账户的目标账户 ID。

D. 使用 Amazon ECR VPC 端点和 Amazon S3 网关端点。在主 AWS 账户中的生产 ECR 存储库上设置存储库策略。配置存储库策略以允许单独的 AWS 账户中的操作 ECS 任务从主账户中提取图像。配置生产 ECS 任务执行角色，并赋予其从 ECR 存储库下载映像的权限。

答案：D

解释：
根据提供的参考资料，除了“私人连接”要求外，您似乎可以在“C”和“D”上分发图像。此外，仅使用一个 ECR 存储库而不是将存储库克隆到同一区域的其他帐户似乎是一个更干净的解决方案。

189 / 363

189.

No.189
公司需要能够保留其 AWS 账户中所有现有和新 VPC 的流日志配置。该公司使用 AWS CloudFormation 堆栈来管理其 VPC。该公司需要一个适用于其 IAM 用户创建的所有 VPC 的解决方案。
哪种解决方案可以满足这些要求？

A. 将 AWS::EC2::FlowLog 资源添加到创建 VPC 的 CloudFormation 堆栈。

B.在 AWS Organizations 中创建一个组织。将您公司的 AWS 账户添加到此组织。创建 SCP 以防止用户修改 VPC 流日志。

C.打开 AWS Config。创建一个 AWS Config 规则，检查 VPC 流日志是否已打开。配置自动修复以打开 VPC 流日志。

D. 创建一个拒绝使用 VPC Flow Logs API 调用的 IAM 策略。将 IAM 策略附加到所有 IAM 用户。

答案：C

解释：
C 是正确答案。这将监控和修复所有现有和新的 VPC。
A：AWS::EC2::FlowLog：用于配置流日志，不用于监控。
B：SCP 不支持现有 VPC
D：IAM 策略与此无关

190 / 363

190.

No.190
一家公司的应用程序团队使用 AWS CodeCommit 存储库来管理他们的应用程序。应用程序团队在多个 AWS 账户中拥有存储库。所有账户均位于 AWS Organizations 内的组织内。
每个应用程序团队使用配置了外部 IdP 的 AWS IAM Identity Center（AWS Single Sign-On）承担开发人员 IAM 角色。开发人员角色使应用程序团队能够使用 Git 处理存储库中的代码。
安全审计显示，应用程序团队可以修改任何存储库的主分支。 DevOps 工程师需要实施一个解决方案，允许应用程序团队仅对他们控制的存储库的主分支进行更改。
哪些步骤组合可以满足这些要求？（选择三个。）

A. 更新 SAML 断言以传入用户的团队名称。更新 IAM 角色的信任策略以添加包含团队名称的访问团队会话标签。

B. 为组织管理帐户中的每个团队创建一个批准规则模板。将模板与所有存储库关联。将开发人员角色 ARN 添加为审批者。

C. 为每个帐户创建一个批准规则模板。将模板与所有存储库关联。将“aws：ResourceTag/access-team”：“$；{aws：PrincipalTag/access-team}”条件添加到您的授权规则模板。

D. 对于每个 CodeCommit 存储库，添加一个 access-team 标签，并将其值设置为关联团队的名称。

E. 将 SCP 附加到帐户。包括以下声明： { "Effect": "Deny", "Action": [ "codecommit:GitPush", "codecommit:PutFile", "codecommit:Merge*" ], "Resource": "*", "Condition": { "StringEqualsIfExists": { "codecommit:References": ["refs/heads/main"] }, "StringNotEquals": { "aws:ResourceTag/access-team": "${aws:PrincipalTag/access-team}" }, "Null": { "codecommit:References": "false" } } }

F. 各アカウントに IAM 権限境界を作成します。次の文を含めます。 { "Effect": "Allow", "Action": [ "codecommit:GitPush", "codecommit: PutFile", "codecommit:Merge*" ], "Resource": "*", "Condition": { "StringEqualsIfExists": { "codecommit: References": ["refs/heads/main"] }, "StringNotEquals": { "aws: ResourceTag/access-team": "$ ; (aws: PrincipalTag/access-team}" }, "Null": { "codecommit: References": "false" } } }

答案：ADE

解释：
A- SAML 断言
D- 标记您的资源
E- 与上面的 D 类似，但条件基于资源标签

191 / 363

191.

No.191
一家公司使用 AWS WAF 来保护其云基础设施。 DevOps 工程师需要为他们的运营团队提供分析来自 AWS WAF 的日志消息的能力。运营团队需要能够针对日志输出中的特定模式创建警报。
哪种解决方案能够满足这些要求，同时最大限度地减少运营开销？

A.创建一个 Amazon CloudWatch Logs 日志组。配置适当的 AWS WAF Web ACL 以将日志消息发送到日志组。指导您的运营团队创建 CloudWatch 指标过滤器。

B. 创建 Amazon OpenSearch Service 集群和适当的索引。配置 Amazon Kinesis Data Firehose 传输流以将日志数据传输到索引。使用 OpenSearch 仪表板创建过滤器和小部件。

C. 为日志输出创建一个 Amazon S3 存储桶。配置 AWS WAF 以将日志输出发送到 S3 存储桶。让您的运营团队创建一个 AWS Lambda 函数来检测所需的日志消息模式。配置您的 Lambda 函数以发布到 Amazon Simple Notification Service (Amazon SNS) 主题。

D. 为日志输出创建一个 Amazon S3 存储桶。配置 AWS WAF 以将日志输出发送到 S3 存储桶。使用 Amazon Athena 创建与您的日志消息模式匹配的外部表定义。指导您的运营团队编写 SQL 查询并为 Athena 查询创建 Amazon CloudWatch 指标过滤器。

答案：A

解释：
要将日志发送到 Amazon CloudWatch Logs，请创建 CloudWatch Logs 日志组。当您在 AWS WAF 中启用日志记录时，您可以指定日志组的 ARN。当您为 Web ACL 启用日志记录时，AWS WAF 会将日志流中的日志传送到 CloudWatch Logs 日志组。

https://docs.aws.amazon.com/waf/latest/developerguide/logging-cw-logs.html

192 / 363

192.

No.192
软件团队使用 AWS CodePipeline 来自动化 Java 应用程序的发布管道。管道由源阶段、构建阶段和部署阶段组成。每个阶段包含一个 runOrder 值为 1 的操作。
该团队希望将单元测试集成到他们现有的发布流程中。团队需要一个仅部署通过所有单元测试的代码更改的解决方案。
哪种解决方案可以满足这些要求？

A.改变构建阶段。添加 runOrder 值为 1 的测试操作。使用 AWS CodeDeploy 作为操作提供程序运行您的单元测试。

B. 改变构建阶段。添加 runOrder 值为 2 的测试操作。使用 AWS CodeBuild 作为操作提供程序来运行单元测试。

C.改变部署阶段。添加 runOrder 值为 1 的测试操作。使用 AWS CodeDeploy 作为操作提供程序运行单元测试。

D.改变部署阶段。添加 runOrder 值为 2 的测试操作。使用 AWS CodeBuild 作为操作提供程序来运行您的单元测试。

答案：B

解释：
B 是正确的。运行顺序值为 2 时，将在构建工件后运行单元测试。
答：单元测试与构建步骤并行运行，这是不正确的。仅构建完成后才可以运行测试。
C 和 D：部署步骤之前不运行单元测试。

193 / 363

193.

No.193
一家公司使用 AWS Organizations 中的组织来管理公司开发人员使用的多个 AWS 账户。该公司要求所有数据在传输过程中都必须加密。
您的开发者账户中创建的几个 Amazon S3 存储桶允许未加密的连接。 DevOps 工程师必须对组织内账户中创建的所有现有 S3 存储桶的传输数据实施加密。
哪种解决方案可以满足这些要求？

A. 使用 AWS CloudFormation StackSets 在每个账户中部署 AWS 网络防火墙。通过防火墙路由来自 AWS 环境的所有传出请求。部署一项策略，阻止访问端口 80 上的所有传出请求。

B. 使用 AWS CloudFormation StackSets 在每个账户中部署 AWS 网络防火墙。通过防火墙将所有传入请求路由到您的 AWS 环境。部署一项策略来阻止访问端口 80 上的所有传入请求。

C. 为您的组织启用 AWS Config。部署使用 s3-bucket-ssl-requests-only 托管规则和 AWS Systems Manager Automation 运行手册的一致性包。如果 aws:SecureTransport 条件键的值为 false，则使用添加存储桶策略语句的运行手册来拒绝访问 S3 存储桶。

D.为您的组织启用 AWS Config。部署使用 s3-bucket-ssl-requests-only 托管规则和 AWS Systems Manager Automation 运行手册的一致性包。如果 s3:x-amz-server-side-encryption-aws-kms-key-id 条件键的值为空，则使用添加存储桶策略语句的运行手册来拒绝访问 S3 存储桶。

答案：C

解释：
答案：C 100%。

aws:SecureTransport 条件仅允许通过 HTTPS (TLS) 进行加密连接 --> 这是我们所需要的

s3:x-amz-server-side-encryption-aws-kms-key-id --> 请求使用特定的 AWS KMS 密钥加密存储桶中的对象。这里不需要这个！

194 / 363

194.

No.194
一家公司正在审查其 IAM 政策。一位 DevOps 工程师制定的政策之一被标记为过于严格。此策略由 AWS Lambda 函数使用，该函数在周末向标有 Environment: NonProduction 的 Amazon EC2 实例发出停止命令。现行政策如下：
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*"
}
]
}
工程师应做出哪些改变才能实现最小特权策略？（选择三项）

A.添加以下表达式： "Condition": { "StringEquals": { "aws:principaltype": "lambda.amazonaws.com" } }

B.将“Resource”：“*”更改为“Resource”：“arn:aws:ec2:*:*:instance/*”。 C.添加以下表达式： "Condition": { "StringNotEquals": { "ec2: ResourceTag/Environment": "Production" } }

D.添加以下表达式： "Condition": { "StringEquals": { "ec2: ResourceTag/Environment": "NonProduction" } }

E.将“Action”：“ec2：*”更改为“Action”：“ec2：StopInstances”

F.添加以下表达式： "Condition" : { "DateGreaterThan" : "aws: CurrentTime" : "$ ; {aws: DateTime: Friday) " "DateLessThan": { "aws: CurrentTime" : "$ ; {aws: DateTime: Monday} " }， } }

答案：B

解释：
答案 B、D 和 E 正确：
答：这允许所有 lambda 函数执行其任务，但无需进行任何修改。
B：这是正确的，因为它只允许在 EC2 中执行操作
C：该操作仅应在标有 NonProdction 的 Ec2 实例上允许执行。使用此功能还将授予其他标签的权限
D：完全正确。
E：正确，因为它只允许停止操作
F：不相关

195 / 363

195.

No.195
一家公司正在开发一款生成日志事件的应用程序。日志事件每十分之一秒包含五个不同的指标，从而产生大量数据。
该公司必须配置其应用程序以将日志写入 Amazon Timestream。该公司每天针对 Timestream 表编写查询。
哪种步骤组合可以满足这些要求并提供最快的查询性能？（选择三项）

A. 使用批量写入在单次写入操作中写入多个日志事件。

B. 将每个日志事件写为单独的写入操作。

C. 将每个日志视为单个测量记录。

D. 将每个日志视为多个测量记录。

E. 将内存存储保留期设置为比磁存储保留期更长。

F. 将内存存储保留期设置为短于磁存储保留期。

答案：ADF

解释：
E 建议将内存存储保留期设置得比磁性存储保留期更长，但这通常不是为了优化查询性能，而是为了将数据在更快可访问的内存存储中保存更长时间，这对于需要频繁访问最近数据的工作负载是有益的。然而，在所描述的场景中，专注于高效的数据提取方法（A 和 D）并了解保留期（F）的作用提供了一种平衡的方法来获得日常查询的最快查询性能。

196 / 363

196.

No.196
一名 DevOps 工程师创建了一个 AWS CloudFormation 模板，用于在 Amazon EC2 实例上部署应用程序。 EC2 实例运行 Amazon Linux。使用包含用户数据的 shell 脚本将应用程序部署到 EC2 实例。 EC2 实例具有一个 IAM 实例配置文件，该配置文件具有一个附加了 AmazonSSMManagedinstanceCore 托管策略的 IAM 角色。
一名 DevOps 工程师修改了 CloudFormation 模板中的用户数据以安装新版本的应用程序。工程师们还应用了堆栈更新。但是，该应用程序并未在正在运行的 EC2 实例上更新。工程师需要确保对应用程序的更改安装在正在运行的 EC2 实例上。
哪些步骤组合可以满足这些要求？（选择两个）

A. 配置用户数据内容使用多用途互联网邮件扩展 (MIME) 多部分格式。在 text/cloud-config 部分中，将 scripts-user 参数设置为 always。

B. 重构用户数据命令以使用 cfn-init 帮助脚本。更新用户数据以安装和配置 cfn-hup 和 cfn-init 帮助脚本来监视和应用元数据更改。

C. 为 EC2 实例配置 EC2 启动模板。创建一个新的 EC2 Auto Scaling 组。将 Auto Scaling 组与 EC2 启动模板关联。对您的 Auto Scaling 组使用 AutoScalingScheduledAction 更新策略。

D. 重构用户数据命令以使用 AWS Systems Manager 文档（SSM 文档）。将 AWS CLI 命令添加到用户数据，以使用 Systems Manager Run Command 将 SSM 文档应用于您的 EC2 实例。

E. 重构用户数据命令以使用 AWS Systems Manager 文档（SSM 文档）。使用 Systems Manager State Manager 在 SSM 文档和 EC2 实例之间创建关联。

答案：BE
解释：
B 和 E 最有效地利用 CloudFormation 和 AWS Systems Manager 的更新管理和应用程序功能来确保在正在运行的 EC2 实例上安装应用程序更新。

197 / 363

197.

No.197
一家公司正在重构应用程序以使用 AWS。该公司已确定需要在特定 AWS 账户中进行 Amazon S3 API 调用的内部 Web 应用程序。
该公司希望使用其现有的身份提供商 (IdP) auth.company.com 进行身份验证。 IdP 仅支持 OpenID Connect (OIDC)。 DevOps 工程师需要保护从 Web 应用程序对 AWS 账户的访问。
哪些步骤组合可以满足这些要求？（选择三个）

A.配置 AWS IAM 身份中心（AWS Single Sign-On）。配置您的 IdP。从您现有的 IdP 上传 IdP 元数据。

B. 使用提供商 URL、受众以及来自现有 IP 的签名创建 IAM IdP。

C. 创建一个具有允许所需 S3 操作的策略的 IAM 角色。配置角色的信任策略，如果 sts.amazon.com:aud 上下文键是 appid_from_idp，则允许 OIDC IP 承担该角色。

D. 创建一个具有允许所需 S3 操作的策略的 IAM 角色。 auth.company.com:aud 配置角色的信任策略，如果上下文键是 appid_from_idp，则允许 OIDC IP 承担该角色。

E.配置您的 Web 应用程序以使用 AssumeRoleWithWebIdentity API 操作获取临时凭证。使用临时凭证进行 S3 API 调用。

F. 配置您的 Web 应用程序以使用 GetFederationToken API 操作来获取临时凭证。使用临时凭证进行 S3 API 调用。

答案：BDE

解释：
“创建 IAM 用户的另一种方法是使用 OpenID Connect (OIDC) 联合身份提供商。”“IdP 使您能够管理 AWS 之外的用户身份，并授予这些外部用户身份访问您账户中的 AWS 资源的权限。”
B：（是）“IAM OIDC 身份提供者” “当您构建需要访问 AWS 资源的移动应用程序或 Web 应用程序，但不想编写自定义登录代码或管理自己的用户身份时，这很有用。”
D：（是）“对于 OIDC 提供商，请使用 OIDC IdP 的完全限定 URL，包括 aud 上下文键。”示例：“条件”：{“StringEquals”：{“server.example.com:aud”：“appid_from_oidc_idp”}}”
E：（是）“AssumeRoleWithWebIdentity”当“联合用户”通过“公共身份提供者进行身份验证”时，“通过基于 Web 的 IDP 进行联合将返回一组临时安全凭证”。 “此操作对于需要访问 AWS 的基于客户端的 Web 应用程序很有用。”

198 / 363

198.

No.198
一家公司将 Amazon RDS 用于其 AWS 账户中的所有数据库。该公司正在使用 AWS Control Tower 构建具有审计和日志记录账户的着陆区。出于合规原因，所有数据库都必须进行静态加密。如果贵公司的帐户中存在任何不合规的数据库，则应通知贵公司的安全工程师。
哪种解决方案的运营效率最高并能满足这些要求？

A.使用 AWS Control Tower 激活可选的检测控制（护栏）以确定 RDS 存储是否加密。在您公司的审计账户中创建一个 Amazon Simple Notification Service (Amazon SNS) 主题。创建 Amazon EventBridge 规则以筛选来自 AWS Control Tower 控制 (护栏) 的不合规事件并通知 SNS 主题。将安全工程师的电子邮件地址订阅到SNS主题。

B.使用 AWS CloudFormation StackSets 将 AWS Lambda 函数部署到所有账户。在您的 Lambda 函数中编写代码以确定部署该函数的账户中的 RDS 存储是否加密。将结果作为 Amazon CloudWatch 指标发送到管理账户。创建 Amazon Simple Notification Service (Amazon SNS) 主题。创建 CloudWatch 警报，当达到指标阈值时通知 SNS 主题。将安全工程师的电子邮件地址订阅到SNS主题。

C. 在所有账户中创建自定义 AWS Config 规则，以确定 RDS 存储是否加密。在审计账户中创建一个 Amazon Simple Notification Service (Amazon SNS) 主题。创建 Amazon EventBidge 规则以筛选来自 AWS Control Tower 控制 (护栏) 的不合规事件并通知 SNS 主题。将安全工程师的电子邮件地址订阅到SNS主题。

D.启动 Amazon C2 实例。使用 AWS CLI 每小时运行一个 cron 作业来确定每个 AWS 账户中的 RDS 存储是否加密。将结果保存在 RDS 数据库中。如果检测到合规性违规行为，EC2 实例将发送电子邮件通知安全工程师。

答案：A

解释：
关键词：控制塔
一家公司将 Amazon RDS 用于其 AWS 账户中的所有数据库。该公司使用 AWS Control Tower

199 / 363

199.

No.199
一家公司正在从本地数据中心迁移到 AWS。目前，该公司使用定制的内部部署 Cl/CD 管道解决方案来构建和打包其软件。
该公司希望在 AWS CodeArtifact 中提供他们的软件包和依赖的公共存储库，以方便创建特定于应用程序的管道。
您应该采取哪些步骤组合来更新 CI/CD 管道解决方案并以最小的运营开销配置 CodeArtifact？（选择两个）

A. 更新 C1ICD 管道以创建包含新打包软件的 VM 映像。使用 AWS Import/Export 使您的 VM 映像可用作 Amazon EC2 AMI。启动附加了 IAM 实例配置文件的 AMI，该配置文件允许执行 CodeArtifact 操作。使用 AWS CLI 命令将包发布到 CodeArtifact 存储库。

B. 创建 AWS Identity and Access Management Roles Anywhere 信任锚。创建一个允许 CodeArtifact 操作并与信任锚建立信任关系的 IAM 角色。更新您的本地 CI/CD 管道以承担新的 IAM 角色并将包发布到 CodeArtifact。

C.创建一个新的 Amazon S3 存储桶。生成允许 PutObject 请求的预签名 URL。更新您的本地 CI/CD 管道，以使用预签名的 URL 将包从本地位置发布到 S3 存储桶。创建一个 AWS Lambda 函数，当 put 命令在存储桶中创建包时运行。配置 Lambda 函数以将包发布到 CodeArtifact。

D. 对于每个公共存储库，创建一个配置了外部连接的 CodeArutact 存储库。将依赖仓库配置为上游公共仓库。

E. 创建一个 Codeartitact 存储库，并配置一组与公共存储库的外部连接。将外部连接配置为存储库的下游。

答案：BD

解释：
B 和 D 是正确的：<您希望在 AWS CodeArtifact 中提供软件包和依赖的公共存储库>：您需要使用 IAM Anywhere 角色将您的本地工件推送到 CodeArtifact，并为您的公共存储库创建上游
答：无关
B：正确
C：无关
D：正确
E：CodeArtifact 没有下游

200 / 363

200.

No.200
DevOps 团队使用 AWS CodePipeline、AWS CodeBuild 和 AWS CodeDeploy 部署应用程序。该应用程序是一个使用 AWS Lambda 函数和 Amazon API Gateway 的 REST API。最近的部署期间发生了一个错误，影响了许多客户。
DevOps 团队需要一个解决方案，当检测到错误时可以恢复到应用程序的最新稳定版本。该解决方案应该对尽可能少的客户产生影响。
哪种解决方案能够最有效地满足这些要求？

A.将 CodeDeploy 中的部署配置设置为 LambdaAllAtOnce。在部署组上配置自动回滚。创建 Amazon CloudWatch 警报以检测 API Gateway 中的 HTTP Bad Gateway 错误。配置您的部署组，当警报数量达到警报阈值时回滚。

B. 将 CodeDeploy 中的部署配置设置为 LambdaCanary10Percent10Minutes。在部署组上配置自动回滚。创建 Amazon CloudWatch 警报以检测 API Gateway 中的 HTTP Bad Gateway 错误。配置您的部署组，当警报数量达到警报阈值时回滚。

C.将CodeDeploy中的部署配置设置为LambdaAllAtOnce。在部署组上配置手动回滚。创建一个 Amazon Simple Notification Service (Amazon SNS) 主题，当部署失败时它将通知您。配置 SNS 主题以调用新的 Lambda 函数，该函数将停止当前部署并启动上次成功的部署。

D.将 CodeDeploy 中的部署配置设置为 LambdaCanary10Percent10Minutes。在部署组上配置手动回滚。在 Amazon CloudWatch 日志组中为 API Gateway 创建指标过滤器，以监控 HTTP Bad Gateway 错误。设置指标过滤器以调用新的 Lambda 函数，该函数将停止当前部署并启动最近成功的部署。

答案：B

解释：
B是正确的：
A 和 C：<CodeDeploy 到 LambdaAllAtOnce>：一次性替换所有内容意味着您无法回滚
D：指标过滤器无法触发 Lambda。此外，此选项是一个手动过程。

201 / 363

201.

No.201
一家公司最近在 AWS 上部署了一个 Web 应用程序。该公司正在为大型销售活动做准备，需要确保他们的网络应用程序能够扩展以满足需求。
该应用程序的前端基础设施包括一个以 Amazon S3 存储桶为源的 Amazon CloudFront 分发版。后端基础设施包括一个 Amazon API Gateway API、多个 AWS Lambda 函数和一个 Amazon Aurora DB 集群。
该公司的 DevOps 工程师进行了负载测试，以确保 Lambda 函数可以处理峰值请求数量。然而，DevOps 工程师注意到在请求最初爆发期间存在请求延迟。大多数对 Lambda 函数的请求都会生成对数据库的查询。大部分调用时间都花在建立数据库连接上。
哪些步骤组合将提供您的应用程序所需的可扩展性？（选择三个。）

A.增加 Lambda 函数的预留并发数。

B.增加 Lambda 函数的预配置并发性。

C.将 DB 集群转换为 Aurora 全局数据库。根据您公司客户所在的位置在 AWS 区域中添加 Aurora 副本。

D.重构你的 Lambda 函数。将初始化数据库连接的代码块移到函数处理程序中。

F.使用 Amazon RDS Proxy 为您的 Aurora 数据库创建代理。更新您的 Lambda 函数以使用代理终端节点进行数据库连接。

答案：BCF

解释：
答：这并不能直接解决数据库连接问题，并且会产生成本，因为有时它不会被使用。
B. 正确。增加 Lambda 函数的预配置并发性。这使得您的 Lambda 实例能够处理突发流量并减少冷启动延迟。
C. 正确。如果你希望它是只读的
D. 不正确。您说“...在函数处理程序中...”但最佳实践要求在函数处理程序之外运行它。开始新的连接是不好的。
F：正确。这是最佳实践。

202 / 363

202.

No.202
一家公司运行一个跨多个可用区域的 Web 应用程序。我们使用应用程序负载均衡器 (ALB) 进行路由，使用 AWS Fargate 处理应用程序，使用 Amazon Aurora 处理应用程序数据。要部署应用程序，您可以使用 AWS CloudFormation 模板。所有 Docker 镜像都存储在同一 AWS 账户和 AWS 区域的 Amazon Elastic Container Registry (Amazon ECR) 存储库中。
DevOps 工程师必须在另一个区域建立灾难恢复 (DR) 流程。该解决方案必须满足 8 小时的 RPO 和 2 小时的 RTO。从 Dockerfile 构建 Docker 镜像可能需要两个多小时。
哪种解决方案能够最具成本效益地满足您的 RTO 和 RPO 要求？

A.将 CloudFormation 模板和 Dockerfile 复制到 DR 区域中的 Amazon S3 存储桶。使用 AWS Backup 为 Aurora 配置自动跨区域每小时快照。对于 DR，构建最新的 Docker 映像并将 Docker 映像上传到 DR 区域的 ECR 存储库。使用包含最新 Aurora 快照和来自 ECR 存储库的 Docker 映像的 CloudFormation 模板在 DR 区域启动新的 CloudFormation 堆栈。更新应用程序的 DNS 记录以指向新的 ALB。

B. 将 CloudFormation 模板复制到 DR 区域中的 Amazon S3 存储桶。为 Aurora 自动备份配置跨区域复制。配置ECR跨区域复制。对于 DR，使用包含最新 Aurora 快照和来自本地 ECR 存储库的 Docker 映像的 CloudFormation 模板在 DR 区域启动新的 CloudFormation 堆栈。更新应用程序的 DNS 记录以指向新的 ALB。

C. 将 CloudFormation 模板复制到 DR 区域中的 Amazon S3 存储桶。使用 Amazon EventBridge 安排 AWS Lambda 函数每小时对 Aurora 数据库和 ECR 存储库中的最新 Docker 映像进行快照。将快照和 Docker 映像复制到 DR 区域。对于 DR，使用包含来自本地 ECR 存储库的最新 Aurora 快照和 Docker 映像的 CloudFormation 模板在 DR 区域启动新的 CloudFormation 堆栈。

D.将 CloudFormation 模板复制到 DR 区域中的 Amazon S3 存储桶。在 DR 区域部署第二个应用程序 CloudFormation 堆栈。将 Aurora 重新配置为全局数据库。如果当前区域需要发布新的应用程序，请更新两个 CloudFormation 堆栈。对于 DR，更新您的应用程序 DNS 记录以指向新的 ALB。

答案：B

解释：
B是正确的：
A：<构建最新的 Docker 镜像并将 Docker 镜像上传到 DR 区域的 ECR 存储库>：此过程可能需要 2 个多小时，不符合 RTO。
B：正确
C：<AWS Lambda 函数每小时对您的 Aurora 数据库进行快照>：lambda 的最大执行时间为 15 分钟。无法运行每小时任务
D：没有提及 ECS 的 Docker 镜像

203 / 363

203.

No.203
一家公司的应用程序在 Amazon EC2 实例上运行。该应用程序将写入日志文件，记录登录的用户名、日期、时间和源 IP 地址。日志发布到 Amazon CloudWatch Logs 中的日志组。
该公司正在对前一天发生的事件进行根本原因分析。该公司需要了解过去 7 天内特定用户的登录次数。
哪些解决方案提供了此信息？

A.在日志组中创建 CloudWatch Logs 指标过滤器。使用与用户名匹配的过滤模式。它公开了一个 CloudWatch 指标，该指标总计过去七天的登录次数。

B. 为日志组创建 CloudWatch Logs 订阅。使用与用户名匹配的过滤模式。它公开了一个 CloudWatch 指标，该指标总计过去七天的登录次数。

C. 创建一个 CloudWatch Logs Insights 查询，使用聚合函数计算过去 7 天内用户名的登录次数。针对日志组运行查询。

D.创建 CloudWatch 仪表板。直接从您的日志组中添加一个带有过滤模式的数字小部件，用于计算过去 7 天内用户名的登录次数。

答案：C

解释：
C - CloudWatch Logs Insights：此服务允许您对日志数据运行临时查询，而无需创建额外的基础设施（例如指标或订阅）。
聚合函数：像 count() 这样的函数允许您根据特定条件具体计算出现的次数。
按用户名和时间段过滤：您可以自定义查询以包含特定用户名并过滤过去 7 天的条目。

204 / 363

204.

No.204
一家公司有一个 AWS CodeDeploy 应用程序。此应用程序有一个部署组，该部署组使用单个标签组来识别应用程序部署的实例。单个标签组配置通过 Environment=Production 和 Name=ApplicationA 标签来标识用于部署 ApplicationA 的实例。
该公司启动了一个额外的 Amazon EC2 实例，其标签为 Department=Marketing、Environment=Production 和 Name=ApplicationB。应用程序的下一次 CodeDeploy 部署将在其他实例上安装 ApplicationA。 DevOps 工程师需要配置现有的部署组以防止 ApplicationA 安装在其他实例上。
哪种解决方案可以满足这些要求？

A. 修改当前的单个标签组以仅包含 Environment=Production 标签。添加另一个仅包含 Name=ApplicationA 标签的单标签组。

B. 修改当前的单个标签组以包含标签 Department=Marketing、Environment=production 和 Name=ApplicationA。

C. 添加另一个仅包含 Department=Marketing 标签的单标签组。在当前单个标签组中，保留 Environment=Production 和 Name=ApplicationA 标签。

D. 修改当前单个标签组以仅包含Environment=Production标签。添加另一个仅包含 Department=Marketing 标签的单标签组。

答案：A

解释：
在我理解了以下概念并将其全部映射出来之前，我对这个问题了解甚少：
- 单标签组：组中至少一个标签标识的所有实例都包含在部署组中。（各个标签组内的“或”运算符）
- 多标签组：包括每个标签组中至少由一个标签标识的实例。（多个标签组之间为 AND 运算符）
https://docs.aws.amazon.com/codedeploy/latest/userguide/instances-tagging.html

205 / 363

205.

No.205
一家公司正在推出一款将原始数据存储在 Amazon S3 存储桶中的应用程序。为了生成报告，三个应用程序需要访问数据。为了使应用程序访问数据，它们需要以不同的方式编辑数据。
哪种解决方案可以满足这些要求？

A. 为每个应用程序创建一个 S3 存储桶。配置从原始数据 S3 存储桶到每个应用程序的 S3 存储桶的 S3 同区域复制 (SRR)。配置每个应用程序以使用其自己的 S3 存储桶中的数据。

B.创建 Amazon Kinesis 数据流。创建一个 AWS Lambda 函数，该函数由 S3 存储桶中的对象创建事件调用，用于处理原始数据。对您的 Lambda 函数进行编程以编辑每个应用程序的数据。将数据发布到 Kinesis 数据流。配置每个应用程序以使用来自 Kinesis 数据流的数据。

C. 为每个使用原始数据 S3 存储桶作为目的地的应用程序创建一个 S3 访问点。创建一个 AWS Lambda 函数，该函数由 S3 存储桶中的对象创建事件调用，用于处理原始数据。对您的 Lambda 函数进行编程以编辑每个应用程序的数据。将您的数据存储在每个应用程序的 S3 访问点中。配置每个应用程序以从其自己的 S3 接入点使用数据。

D. 创建一个使用原始数据 S3 存储桶作为目的地的 S3 接入点。对于每个应用程序，创建一个使用 S3 访问点的 S3 对象 Lambda 访问点。为每个 S3 对象 Lambda 访问点配置一个 AWS Lambda 函数，以便在检索对象时编辑数据。配置每个应用程序以使用来自其自己的 S3 对象 Lambda 访问点的数据

答案：D

解释：
选项 D（使用 S3 对象 Lambda 接入点）是最适合您的要求的解决方案。
S3 Object Lambda 使您能够将自己的代码添加到 S3 GET 请求中，以便在检索数据时修改和处理数据。在这种情况下，您可以创建一个使用原始数据 S3 存储桶作为其目的地的 S3 访问点。对于每个应用程序，创建一个单独的 S3 对象 Lambda 访问点，该访问点使用 S3 访问点作为源。为每个 S3 对象 Lambda 访问点配置一个 AWS Lambda 函数，以便在检索对象时编辑数据。
该解决方案允许每个应用程序使用自己的编辑规则访问数据，并在检索时动态应用编辑。

206 / 363

206.

No.206
一家公司使用 AWS Control Tower 和 AWS CloudFormation 来管理 AWS 账户并创建 AWS 资源。当 CloudFormation 堆栈创建 S3 存储桶时，公司要求所有 Amazon S3 存储桶都使用 AWS 密钥管理服务 (AWS KMS) 加密。
哪种解决方案可以满足这一要求？

A.使用 AWS 组织。如果请求不包含 x-amz-server-side-encryption 标头，则附加拒绝 s3:PutObject 权限的 SCP，以使用 AWS KMS 密钥 (SSE-KMS) 请求服务器端加密。

B.在多账户环境中使用 AWS Control Tower。使用 CloudFormation 挂钩在所有 OU 中配置并启用主动 AWS Control Tower 控制。

C.在多账户环境中使用 AWS Control Tower。使用 CloudFormation 挂钩在所有 OU 中配置并启用检测性 AWS Control Tower 控制。

D.使用 AWS 组织。创建 AWS Config 组织规则以检查所有 S3 存储桶是否已启用 KMS 加密密钥。部署规则。创建并应用 SCP 以防止用户在所有 AWS 账户中停止和删除 AWS Config。

答案：B

解释：
主动控制：主动控制是一种预防措施，可以在违反既定政策的行为发生之前予以阻止。当您在 CloudFormation 堆栈中创建 S3 存储桶时，这将自动对其应用加密。

CloudFormation 钩子：钩子允许控制塔拦截并执行 CloudFormation 堆栈操作的策略，使其成为在资源创建时强制加密的理想选择。

多账户环境：要求适用于所有账户，因此 Control Tower 的多账户功能可确保在整个组织内一致地实施政策。

207 / 363

207.

No.207
一位 DevOps 工程师开发了一个 AWS Lambda 函数。 Lambda 函数针对特定 CloudFormation 堆栈支持的所有资源启动 AWS CloudFormation 偏差检测操作。然后 Lambda 函数完成调用。
一位 DevOps 工程师在 Amazon EventBridge 中创建了一条计划规则，每小时调用一次 Lambda 函数。您的 AWS 账户中已存在 Amazon Simple Notification Service (Amazon SNS) 主题。 DevOps 工程师已订阅 SNS 主题以接收通知。
当在此特定堆栈配置中检测到漂移时，需要尽快通知 DevOps 工程师。
哪种解决方案可以满足这些要求？

A.配置您现有的 EventBridge 规则以针对 SNS 主题。配置 SNS 订阅过滤策略以匹配您的 CloudFormation 堆栈。将订阅过滤策略附加到 SNS 主题。

B. 创建第二个 Lambda 函数，查询 CloudFormation API 以获取堆栈漂移检测结果。如果检测到偏差，则配置第二个 Lambda 函数以将消息发布到 SNS 主题。调整现有的 EventBridge 规则以针对第二个 Lambda 函数。

C. 在您的账户中配置 Amazon GuardDuty，并为所有 CloudFormation 堆栈提供偏差检测。创建第二条 EventBridge 规则，该规则对特定 CloudFormation 堆栈的 GuardDuty 偏差检测事件的检测做出反应。将 SNS 主题配置为第二个 EventBridge 规则的目标。

D. 在您的账户中配置 AWS Config。使用 cloudformation-stack-drift-detection-check 托管规则。创建第二条 EventBridge 规则，该规则对 CloudFormation 堆栈的合规性变更事件做出反应。将 SNS 主题配置为第二个 EventBridge 规则的目标。

答案：D

解释：
我建议利用 AWS Config 并查看讨论 Edenbridge 的博客。以下是链接：https://aws.amazon.com/blogs/mt/implementing-an-alarm-to-automatically-detect-drift-in-aws-cloudformation-stacks/”

208 / 363

208.

No.208
一家公司在 AWS 上部署了基于容器的复杂工作负载。工作负载使用 Amazon Managed Service for Prometheus 进行监控。工作负载在您的 AWS 账户中的 Amazon Elastic Kubernetes Service (Amazon EKS) 集群上运行。
贵公司的 DevOps 团队希望使用贵公司的 Amazon Simple Notification Service (Amazon SNS) 主题接收工作负载警报。 SNS 主题与 EKS 集群位于同一个 AWS 账户中。
哪些步骤组合可以满足这些要求？（选择三个。）

A.使用 Amazon Managed Service for Prometheus 远程写入 URL 将警报发送到 SNS 主题。

B.创建一个警报规则，检查工作负载中每个容器的可用性。

C. 为 SNS 主题创建 AlertManager 配置。

D.修改SNS主题的访问策略。授予 aps.amazonaws.com 服务主体 sns:Publish 和 sns:GetTopicAttributes 对 SNS 主题的权限。

E.修改 Amazon Managed Service for Prometheus 使用的 IAM 角色。授予该角色对 SNS 主题的 sns:Publish 和 sns:GetTopicAttributes 权限。

F.为您的 EKS 集群创建一个 OpenID Connect (OIDC) 提供程序。创建群集服务帐户。使用 IAM 角色授予账户 sns:Publish 和 sns:GetTopicAttributes 权限。

答案：BCD

解释：
B：（是）“使用 AWS 管理控制台为 Amazon Managed Service for Prometheus 配置规则和警报管理器”的过程。

“您定义一个警报规则，当某些条件（由 expr 定义）在指定的时间段内成立时，该规则会使警报管理器发送通知。”
cat << EOF > 规则.yaml
群组：
[...]
规则：
- 警报：指标：警报规则
表达式：速率（adot_test_counter0[5m]）>0.014
适用：5m
末梢血

C：（是）使用“SNS 主题”的 ARN 将“SNS 接收器”添加到“警报管理器设置”（Q208.5）

D：（是）“授权 Amazon Managed Service for Prometheus 向 SNS 发送消息。”
选择访问策略并将以下策略声明添加到现有策略中：
「Principal」: {
「Service」: 「aps.amazonaws.com」
},
「Action」: [
「sns:Publish」
「sns:GetTopicAttributes」

209 / 363

209.

No.209
该公司在 AWS Organizations 中的组织有一个 OU。该公司在 OU 账户中运行 Amazon EC2 实例。您的公司必须将每个 EC2 实例凭证的使用限制在分配给该凭证的特定 EC2 实例上。 DevOps 工程师需要为 EC2 实例配置安全性。
哪种解决方案可以满足这些要求？

A. 创建指定 VPC CIDR 块的 SCP。配置 SCP 以检查指定块内 aws:VpcSourcelp 条件键的值是否存在。相同的 SCP 检查 aws：EC2InstanceSourcePrivatelPv4 和 aws：SourceVpc 条件键是否具有相同的值。如果任何条件为假，则访问被拒绝。将 SCP 应用于 OU。

B.创建一个SCP，检查aws：EC2InstanceSourceVPC和aws：SourceVpc条件键的值是否相同。如果值不一样，则拒绝访问。相同的 SCP 检查验证 aws：EC2InstanceSourcePrivateIPv4 和 aws：VpcSourceIp 条件键的值是否相同。如果值不一样，则拒绝访问。将 SCP 应用于 OU。

C.创建一个包含允许的 VPC 值列表的 SCP，并检查 aws:SourceVpc 条件键的值是否在列表中。在同一个 SCP 检查中，您定义一个允许的 IP 地址值列表，并检查 aws:VpcSourceIp 条件键的值是否在列表之内。如果任何条件为假，则访问被拒绝。将 SCP 应用于您组织中的每个帐户。

D.创建一个SCP，检查aws：EC2InstanceSourceVPC和aws：VpcSourceIp条件键的值是否相同。如果值不一样，则拒绝访问。相同的 SCP 检查验证 aws：EC2InstanceSourcePrivateIPv4 和 aws：SourceVpc 条件键的值是否相同。如果值不一样，则拒绝访问。将 SCP 应用于您组织中的每个帐户。

答案：B

解释：
B是最合适的解决方案：
选项 A 引入了多个条件的不必要的复杂性，并且可能无法提供预期的限制。
选项 C 建议创建一个带有允许值列表的 SCP，但这并不容易，而且可能难以维护。
选项 D 具有与选项 A 相同的问题，并且引入了多种情况的复杂情况。

210 / 363

210.

No.210
一家公司在单个 AWS 账户中拥有一批运行 Linux 的 Amazon EC2 实例。该公司在其 EC2 实例中使用 AWS Systems Manager 自动化任务。
在最近的修补周期中，由于缺少可用磁盘空间，几个 EC2 实例进入错误状态。 DevOps 工程师必须确保 EC2 实例在即将进行的修补过程中有足够的可用磁盘空间。
哪些步骤组合可以满足这些要求？（选择两个。）

A.确保所有 EC2 实例上都安装了 Amazon CloudWatch 代理。

B. 创建一个安装在每个 EC2 实例上的 cron 作业，以定期删除临时文件。

C. 为 EC2 实例创建 Amazon CloudWatch 日志组。配置安装在每个 EC2 实例上的 cron 作业，以将可用磁盘空间写入关联 EC2 实例的 CloudWatch 日志流。

D. 创建一个 Amazon CloudWatch 警报，监控所有 EC2 实例上的可用磁盘空间。将警报作为安全控制添加到系统管理器自动化任务中。

E. 创建一个 AWS Lambda 函数，通过评估每个 EC2 实例的相应 Amazon CloudWatch 日志流定期检查所有 EC2 实例是否有足够的可用磁盘空间。

答案：A.D.

解释：

A.确保所有 EC2 实例上都安装了 Amazon CloudWatch 代理。

Amazon CloudWatch 代理可以收集系统级指标（例如磁盘空间使用情况），并将其发送到 Amazon CloudWatch。这使您可以监控每个 EC2 实例上的可用磁盘空间。

D. 创建一个 Amazon CloudWatch 警报，监控所有 EC2 实例上的可用磁盘空间。将警报作为安全控制添加到系统管理器自动化任务中。

您可以设置 CloudWatch 警报来监控可用磁盘空间，并在磁盘空间低于某个阈值时触发操作或通知。将此警报作为安全控制添加到系统管理器自动化任务中可确保只有在有足够可用磁盘空间的情况下修补过程才会继续。

211 / 363

211.

No.211
一位 DevOps 工程师正在构建一个使用 AWS Lambda 函数查询 Amazon Aurora MySQL DB 集群的应用程序。 Lambda 函数仅执行读取查询。 Amazon EventBridge 事件调用 Lambda 函数。
每秒调用 Lambda 函数的事件越多，数据库延迟就越大，数据库吞吐量就越低。 DevOps 工程师需要提高应用程序性能。
哪些步骤组合可以满足这些要求？（选择三个。）

A.使用 Amazon RDS Proxy 创建代理。将代理连接到 Aurora 集群的读取器终端节点。设置代理的最大连接速率。

B. 在 Lambda 代码中实现数据库连接池。设置数据库连接池的最大连接数。

C.在 Lambda 事件处理程序代码之外实现打开数据库连接。

D. 在 Lambda 事件处理程序代码中实现数据库连接的打开和关闭。

E.从 Lambda 函数连接到代理端点。

F.从 Lambda 函数连接到 Aurora 集群端点。

答案：ACE

解释：
在 Lambda 处理程序之外打开和关闭数据库连接可以实现高效的连接重用并实现连接池。

212 / 363

212.

No.212
一家公司拥有一个部署在单个 AWS 账户中的 AWS CloudFormation 堆栈。该公司配置了堆栈以将事件通知发送到 Amazon Simple Notification Service (Amazon SNS) 主题。
DevOps 工程师必须实施自动化解决方案，仅在堆栈更新成功后才将标签应用于特定的 CloudFormation 堆栈实例。一位 DevOps 工程师创建了一个 AWS Lambda 函数，使用此标签更新特定的堆栈实例。
哪种解决方案可以满足这些要求？

A.当 Systems Manager 在 CloudFormation 堆栈的实例状态中检测到 UPDATE_COMPLETE 事件时，运行 AWS Systems Manager Automation 运行手册 AWS-UpdateCloudFormationStack。配置运行手册来调用 Lambda 函数。

B. 创建一个自定义 AWS Config 规则，当 CloudFormation 堆栈的实例状态为 UPDATE_COMPLETE 时生成合规性变更事件。配置 AWS Config 以通过直接调用 Lambda 函数自动修复变更事件。

C. 创建一个与 CloudFormation 堆栈实例状态的 UPDATE_COMPLETE 事件模式匹配的 Amazon EventBridge 规则。配置规则以调用 Lambda 函数。

D.调整 CloudFormation 堆栈的设置，以便仅针对 UPDATE_COMPLETE 实例状态事件向 SNS 主题发送通知。将 Lambda 函数订阅到 SNS 主题。

答案：C

解释：
EventBridge 旨在检测 AWS 服务中的特定事件，并可配置为匹配来自 CloudFormation 的 UPDATE_COMPLETE 等事件。
这样，您就可以在发生 UPDATE_COMPLETE 事件时自动执行标记 CloudFormation 堆栈实例的过程。
EventBridge 规则触发 Lambda 函数以将所需标签应用到堆栈。

213 / 363

213.

No.213
一家公司在两个 AWS 区域部署了一个应用程序。您的应用程序会在位于同一区域的 Amazon S3 存储桶中创建并存储对象。应用程序的两个部署都必须能够访问两个区域中的所有对象及其元数据。该公司已配置 S3 存储桶之间的双向复制，并在每个 S3 存储桶上启用了 S3 复制指标。
如果对象复制失败，DevOps 工程师必须实施解决方案来重试复制过程。
哪种解决方案可以满足这些要求？

A. 创建一个 Amazon EventBridge 规则，用于监听失败复制事件的 S3 事件通知。创建一个 AWS Lambda 函数，下载失败的复制对象并在目标存储桶中为其运行 PutObject 命令。配置 EventBridge 规则以调用 Lambda 函数来处理复制失败的对象。

B. 创建一个 Amazon Simple Queue Service (Amazon SQS) 队列。配置 S3 事件通知以将失败的复制通知发送到 SQS 队列。创建一个 AWS Lambda 函数，下载失败的复制对象并在目标存储桶中为其运行 PutObject 命令。配置 Lambda 函数来轮询队列以处理通知。

C. 创建一个 Amazon EventBridge 规则，用于监听复制失败的 S3 事件通知。创建一个 AWS Lambda 函数，下载失败的复制对象并在目标存储桶中为其运行 PutObject 命令。

D. 创建一个 AWS Lambda 函数，使用 S3 批处理操作对失败复制的现有对象进行重试复制。配置 S3 事件通知以将失败的复制通知发送到 Lambda 函数。

答案：D

解释：
S3 批量复制允许您复制应用复制设置之前存在的对象、之前复制的对象以及复制失败的对象。
https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-batch-replication-batch.html

214 / 363

214.

No.214
一家公司需要为应用程序实现故障转移。该应用程序包括 AWS 区域中的 Amazon CloudFront 分发和公共应用程序负载均衡器 (ALB)。该公司将 ALB 配置为其分销的默认原点。
在最近的一次应用程序中断之后，该公司希望实现 0 秒的 RTO。该公司在二级区域以热备用配置部署其应用程序。 DevOps 工程师需要自动将应用程序故障转移到辅助区域，以便 HTTP GET 请求满足所需的 RTO。
哪种解决方案可以满足这些要求？

A. 创建第二个 CloudFront 分发，并以辅助 ALB 作为默认原点。对于两个 CloudFront 分发版，创建故障转移策略和 Amazon Route 53 别名记录，并将目标运行状况评估设置为是。更新您的应用程序以使用新的记录集。

B. 在辅助 ALB 分布中创建一个新的源。创建一个新的原点组。将原始 ALB 设置为主要原点。配置您的原始组以在 HTTP 5xx 状态代码上进行故障转移。更新默认行为以使用原始组。

C. 创建一个 Amazon Route 53 别名记录，并将两个 ALB 的故障转移策略和目标健康评估设置为“是”。将两个记录的 TTL 设置为 0。更新您的分发源以使用新的记录集。

D. 创建一个检测 HTTP 5xx 状态代码的 CloudFront 函数。配置您的函数，以便在函数遇到 5xx 状态代码时向辅助 ALB 返回 307 临时重定向错误响应。更新分发的默认行为以将原始响应发送到您的函数。

答案：B

解释：
B.
mazon CloudFront 提供原点故障转移。如果对主终端节点的特定请求失败，CloudFront 会将该请求路由到辅助终端节点。与上面描述的故障转移操作不同，所有后续请求将继续发送到主端点，并且故障转移是根据每个请求执行的。

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating

215 / 363

215.

No.215
云团队使用 AWS Organizations 和 AWS IAM Identity Center（AWS Single Sign-On）来管理公司的 AWS 账户。该公司最近成立了一个研究团队。研究团队需要能够完全控制其账户内的资源。研究团队不应该能够创建 IAM 用户。
云团队在 IAM Identity Center 中为研究团队创建研究管理员权限集。权限集附加了 AdministratorAccess AWS 托管策略。云团队需要确保研究团队中的任何人都不能创建 IAM 用户。
哪种解决方案可以满足这些要求？

A.创建一个拒绝 iam:CreateUser 操作的 IAM 策略。将 IAM 策略附加到研究管理员权限集。

B.创建一个 IAM 策略，允许除 iam:CreateUser 操作之外的所有操作。使用 IAM 策略为研究管理员权限集设置权限边界。

C.创建一个拒绝 iam:CreateUser 操作的 SCP。将 SCP 附加到研究团队的 AWS 账户。

D. 创建一个删除 IAM 用户的 AWS Lambda 函数。创建 Amazon EventBridge 规则来检测 IAM CreateUser 事件。配置规则以调用 Lambda 函数。

答案：C

解释：
IAM 策略可以拒绝操作，但通常附加到个人用户或角色。在这种情况下，您希望限制研究团队帐户中的用户创建，因此 SCP 将是更好的选择。

216 / 363

216.

No.216
一家公司在新的 AWS 账户中发布了一款新的应用程序。该应用程序包括一个 AWS Lambda 函数，用于处理来自 Amazon Simple Queue Service (Amazon SQS) 标准队列的消息。 Lambda 函数将结果存储在 Amazon S3 存储桶中，以供进一步的下游处理。您的 Lambda 函数必须在消息发布后的特定时间段内处理该消息。 Lambda 函数的批次大小为 10 条消息，处理该批次消息需要几秒钟。
随着应用程序服务第一天的负载增加，队列中的消息累积速度超过了 Lambda 函数的处理速度。一些消息错过了所需的处理时间表。日志显示队列中的许多消息包含无效数据。公司必须满足消息的时间线要求以及有效的数据。
哪种解决方案可以满足这些要求？

A.增加 Lambda 函数的批处理大小。将 SQS 标准队列更改为 SQS FIFO 队列。请求在 AWS 区域中增加 Lambda 并发性。

B.减少 Lambda 函数的批量大小。增加您的 SQS 消息吞吐量配额。请求增加 AWS 区域中的 Lambda 并发数。

C.增加 Lambda 函数的批量大小。在您的 S3 存储桶上配置 S3 传输加速。配置 SQS 死信队列。

D.保持 Lambda 函数的批量大小保持不变。配置 Lambda 函数以报告失败的批处理项目。配置 SQS 死信队列。

答案：D

解释：
配置死信队列以防止无服务器应用程序架构中出现滚雪球式反模式。有关更多信息，请参阅本指南的避免 Snowball 反模式部分。

配置 Lambda 函数的事件源映射，以便您只看到失败消息。为此，在配置事件源映射时，必须在 FunctionResponseTypes 列表中包含值 ReportBatchItemFailures。 https://docs.aws.amazon.com/prescriptive-guidance/latest/lambda-event-filtering-partial-batch-responses-for-sqs/best-practices-partial-batch-responses.html

217 / 363

217.

No.217
一家公司有一个在 AWS Lambda 上运行的应用程序，并将日志发送到 Amazon CloudWatch Logs。 Amazon Kinesis 数据流订阅了 CloudWatch Logs 中的日志组。单个消费者 Lambda 函数处理来自数据流的日志并将其存储在 Amazon S3 存储桶中。
该公司的 DevOps 团队注意到在处理和提取某些日志期间存在较高的延迟。
哪些步骤组合可以减少延迟？（选择三项）

A. 创建具有增强扇出功能的数据流消费者。配置作为消费者处理日志的 Lambda 函数。

B. 增加 Lambda 事件源映射中的 ParallelizationFactor 设置。

C. 为处理日志的 Lambda 函数配置预留并发。

D.增加 Kinesis 数据流的批量大小。

E.关闭 Lambda 事件源映射中的 ReportBatchItemFailures 设置。

F.增加 Kinesis 数据流中的分片数量。

答案：ABF

解释：
答：Kinesis 增强扇出功能是 Amazon Kinesis Data Streams 的一项功能，使消费者能够以每个分片高达 2 MB/秒的专用吞吐量从数据流接收记录。使用增强扇出功能的消费者不必与从流中接收数据的其他消费者竞争。

B：保留并发 - 这代表将分配给您的函数的最大并发实例数。当一个函数保留了并发性时，其他函数就不能使用该并发性。保留并发有助于确保您的最关键功能始终具有足够的并发来处理传入的请求。

F：流的数据容量由您为该流指定的分片数量决定。流的总容量是其分片容量的总和。

218 / 363

218.

No.218
一家公司在 AWS Organizations 内其自身组织内的 AWS 账户之间运行敏感工作负载。该公司使用 IP 地址范围来委托 Amazon VPC CIDR 块和其所有非云硬件的 IP 地址。
该公司需要一种解决方案，以防止其自身 IP 地址范围之外的主体在其账户中执行 AWS 操作。
哪种解决方案可以满足这些要求？

A.为您的组织配置 AWS 防火墙管理器。创建一个 AWS 网络防火墙策略，仅允许来自您自己的 IP 地址范围的源流量。将策略范围设定为组织内的所有账户。

B. 在组织中，创建一个拒绝公司 IP 地址范围之外的源 IP 地址的 SCP。将 SCP 附加到您的组织的根目录。

C. 为您的组织配置 Amazon GuardDuty。为您公司的 IP 范围创建 GuardDuty 可信 IP 地址列表。激活您组织的可信 IP 列表。

D. 在组织中，创建一个允许公司 IP 地址范围内的源 IP 地址的 SCP。将 SCP 附加到您的组织的根目录。

答案：B

解释：
答案 b
使用 AWS Organizations 中的 SCP 拒绝公司 IP 地址范围之外的源 IP 地址，并根据组织内所有账户和资源的源 IP 地址对 AWS 操作进行集中、组织范围的控制。

219 / 363

219.

No.219
一家公司在两个 AWS 区域部署了一个应用程序。该应用程序当前使用主区域中的 Amazon S3 存储桶来存储数据。
DevOps 工程师需要确保应用程序在两个区域都具有高可用性。 DevOps 工程师在次要区域创建了一个新的 S3 存储桶。所有现有对象和新对象都必须存在于两个 S3 存储桶中。应用程序需要在区域之间进行故障转移，并且不能丢失数据。
哪些步骤组合能够最有效地满足这些要求？（选择三项）

A.创建一个新的 IAM 角色，允许 Amazon S3 和 S3 批量操作服务主体承担具有 S3 复制所需权限的角色。

B. 创建一个新的 IAM 角色，允许 AWS Batch 服务主体承担具有 S3 复制所需权限的角色。

C. 在源 S3 存储桶上创建 S3 跨区域复制 (CRR) 规则。配置规则以使用 Amazon S3 的 IAM 角色复制到目标 S3 存储桶。

D. 在源 S3 存储桶上创建双向复制规则。配置规则以使用 Amazon S3 的 IAM 角色复制到目标 S3 存储桶。

E.创建 AWS Fargate 业务流程类型的 AWS Batch 作业。配置您的作业以使用 AWS Batch 的 IAM 角色。使用 AWS CLI 指定 Bash 命令以同步源和目标 S3 存储桶的内容

F. 在 S3 批量操作中，创建一个将源 S3 存储桶的内容复制到目标 S3 存储桶的操作。配置操作以使用 Amazon S3 的 IAM 角色。

答案：ADF

解释：
ADF，“所有现有和新对象必须存在于两个 S3 存储桶中。”这需要双向复制。

220 / 363

220.

No.220
一家公司使用 AWS Organizations 中的组织来管理多个 AWS 账户。当实例收到特定标签时，公司需要所有 AWS 账户的自动化流程来隔离受损的 Amazon EC2 实例。
哪些步骤组合可以满足这些要求？（选择两个。）

A.使用 AWS CloudFormation StackSets 在所有 AWS 账户中部署 CloudFormation 堆栈。

B. 创建一个 SCP，其中包含针对 ec2:* 操作的拒绝语句以及“aws:RequestTag/isolation”：false 的条件。

C. 将 SCP 附加到组织的根。

D. 创建一个 AWS CloudFormation 模板，该模板创建未附加任何 IAM 策略的 EC2 实例角色。配置模板以拥有一个安全组，该安全组对所有流量具有明确的拒绝规则。使用 CloudFormation 模板创建一个将 IAM 角色附加到实例的 AWS Lambda 函数。配置您的 Lambda 函数以添加网络 ACL。配置一条 Amazon EventBridge 规则，当特定标签应用于受损的 EC2 实例时，该规则将调用 Lambda 函数。

E. 创建一个 AWS CloudFormation 模板，该模板创建未附加任何 IAM 策略的 EC2 实例角色。配置模板以创建没有入站或出站规则的安全组。使用 CloudFormation 模板创建一个将 IAM 角色附加到实例的 AWS Lambda 函数。配置 Lambda 函数以用新的安全组替换现有的安全组。配置一条 Amazon EventBridge 规则，当特定标签应用于受损的 EC2 实例时，该规则将调用 Lambda 函数。

答案：AE

解释：
B + C 表示组织内的所有账户都不允许在标记的 EC2 上执行任何操作，但要求的是需要在标记的 EC2 上进行隔离（即网络隔离）。因此，A + E 在这里是一个不错的选择。

221 / 363

221.

No.221
一家公司使用 AWS Organizations 管理多个 AWS 账户，其中 OU 针对不同的业务部门。该公司正在更新其企业网络以使用新的 IP 地址范围。该公司在不同的 AWS 账户中拥有 10 个 Amazon S3 存储桶。 S3 存储桶存储各个部门的报告。 S3 存储桶配置仅允许私有企业网络 IP 地址访问 S3 存储桶。
DevOps 工程师需要更改有权访问 S3 存储桶内容的 IP 地址范围。 DevOps 工程师还需要撤销公司内两个 OU 的权限。
哪种解决方案可以满足这些要求？

A. 创建一个包含两个语句的新 SCP：一个语句允许访问所有 S3 存储桶的新 IP 地址范围，另一个语句拒绝访问所有 S3 存储桶的旧 IP 地址范围。为两个 OU 中的 OrganizationAccountAccessRole 角色设置权限边界，以拒绝访问 S3 存储桶。

B. 创建一个新的 SCP，其中包含一条语句，该语句仅允许新范围的 IP 地址访问 S3 存储桶。创建另一个 SCP 以拒绝访问 S3 存储桶。将第二个 SCP 附加到两个 OU。

C. 对于所有 S3 存储桶，配置基于资源的策略，仅允许新范围内的 IP 地址访问 S3 存储桶。创建一个新的 SCP 以拒绝访问 S3 存储桶。将 SCP 附加到两个 OU。

D. 对于所有 S3 存储桶，配置基于资源的策略，仅允许新范围内的 IP 地址访问 S3 存储桶。为两个 OU 中的 OrganizationAccountAccessRole 角色设置权限边界，以拒绝访问 S3 存储桶。

答案：C

解释：
C.
使用存储桶策略允许或拒绝从 IP 地址范围或 VPC 端点访问您的 S3 资源。最好使用 SCP 来限制 OU。

222 / 363

222.

No.222
一家公司已开始在多个团队中使用 AWS。每个团队都有多个账户和独特的安全配置文件。我的公司使用 AWS Organizations 来管理其组织内的账户。每个帐户都有自己的配置和安全控制。
该公司的 DevOps 团队希望通过预防和侦查控制来管理所有账户。当公司在其组织内创建新帐户时，DevOps 团队需要确保该帐户现在和将来的安全。
哪种解决方案可以满足这些要求？

A. 使用组织为每个团队创建一个 OU，并附加适当的 SCP。将团队账户放置在适当的 OU 中并应用安全控制。在适当的 OU 中创建新的团队帐户。

B. 创建 AWS Control Tower 着陆区。在 AWS Control Tower 中为您现有的团队配置 OU 和适当的控制。为 AWS Control Tower 配置可信访问。在与每个团队的适当安全策略相匹配的适当 OU 中注册现有帐户。使用 AWS Control Tower 配置新账户。

C. 在您组织的管理账户中创建一个 AWS CloudFormation 堆栈集。配置一个堆栈集，将包含所有控制配置规则和补救操作的 AWS Config 部署到组织中的每个账户。创建账户后，更新堆栈集以部署到新账户。

D.配置 AWS Config 以管理组织中所有 AWS 账户的 AWS Config 规则。部署一致性包，为您的组织提供 AWS Config 规则和补救措施。

答案：B

解释：
控制是提供对您的 AWS 环境的持续治理的高级规则。它用易于理解的语言表达。 AWS Control Tower 实施预防性、检测性和主动性控制，帮助您管理资源并监控跨 AWS 账户组的合规性。 https://docs.aws.amazon.com/controltower/latest/controlreference/controls.html

223 / 363

223.

No.223
一家公司使用 AWS CodeCommit 存储库来存储源代码和相应的单元测试。该公司建立了一个 AWS CodePipeline 管道，其中包括一个 AWS CodeBuild 项目，该项目在代码合并到存储库的主分支时运行。
该公司希望在 CodeBuild 项目中运行单元测试。如果单元测试通过，CodeBuild 项目应该标记最新的提交。
公司应如何配置其 CodeBuild 项目以满足这些要求？

A.配置您的 CodeBuild 项目以使用本机 Git 来运行您的 CodeCommit 存储库。配置您的项目以运行单元测试。如果您的代码通过单元测试，则配置您的项目以使用本机 Git 创建标签并将 Git 标签推送到存储库。

B. 配置 CodeBuild 项目以使用本机 Git 运行 CodeCommit 存储库。配置您的项目以运行单元测试。如果代码通过单元测试，则配置项目以使用 AWS CLI 命令在存储库中创建新的存储库标签。

C. 配置您的 CodeBuild 项目以使用 AWS CLI 命令从 CodeCommit 存储库复制代码。配置您的项目以运行单元测试。如果代码通过单元测试，则使用 AWS CLI 命令配置项目以在存储库中创建新的 Git 标签。

D.配置 CodeBuild 项目以使用 AWS CLI 命令从 CodeCommit 存储库复制代码。配置项目以运行单元测试。如果代码通过单元测试，则配置项目以使用 AWS CLI 命令在存储库中创建新的存储库标签。

答案：A

解释：
选项 A 通过使用标准 Git 操作进行克隆和标记有效地满足了您的要求，确保了在 AWS CodePipeline 中管理存储库的高效、清晰的工作流程。

224 / 363

No.224
一名 DevOps 工程师为一家公司管理 Amazon Elastic Container Service (Amazon ECS) 集群。集群在 Auto Scaling 组中的多个 Amazon EC2 实例上运行。 DevOps 工程师应该实施一个解决方案，记录所有停止的任务并检查错误。
哪种解决方案可以满足这些要求？

224.

A. 创建 Amazon EventBridge 规则来捕获任务状态变化。将事件发送到 Amazon CloudWatch Logs。要调查已停止的任务，请使用 CloudWatch Logs Insights。

B. 配置任务以嵌入式指标格式写入日志数据。将日志存储在 Amazon CloudWatch Logs 中。监控 ContainerInstanceCount 指标的变化。

C. 配置您的 EC2 实例以将日志存储在 Amazon CloudWatch Logs 中。创建使用来自 EC2 实例的日志数据的 CloudWatch Contributor Insights 规则。要调查停滞的任务，请使用 Contributor Insights 规则。

D. 为 EC2_INSTANCE_TERMINATING 缩减事件配置 EC2 Auto Scaling 生命周期挂钩。将 SystemEventLog 文件写入 Amazon S3。使用 Amazon Athena 查询日志文件中是否存在错误。

答案：A

解释：
通过使用 Amazon EventBridge 捕获 ECS 任务状态变化并将这些事件发送到 CloudWatch Logs，结合 CloudWatch Logs Insights 的分析功能，选项 A 为记录和调查已停止任务的错误提供了全面而简单的解决方案。

225 / 363

225.

No.225
一家公司希望在数百个 Amazon EC2 实例上部署工作负载。一家公司使用启动模板在 Auto Scaling 组中配置 EC2 实例。
工作负载从 Amazon S3 存储桶中提取文件、处理数据并将结果存储在另一个 S3 存储桶中。 EC2 实例必须具有最小权限并使用临时安全凭证。
哪些步骤组合可以满足这些要求？（选择两个。）

A.在 S3 存储桶上创建具有适当权限的 IAM 角色。将 IAM 角色添加到实例配置文件。

B. 更新启动模板以包含 IAM 实例配置文件。

C. 创建具有适当 Amazon S3 权限的 IAM 用户并生成私钥和令牌。

D. 创建信任锚和配置文件，并将 IAM 角色附加到该配置文件。

E.更新启动模板并更改用户数据以使用新的私钥和令牌。

答案：AB

解释：
A.此步骤为您的 EC2 实例提供访问 S3 存储桶所需的权限。 IAM 角色必须附加一个策略，允许它从一个 S3 存储桶中提取文件并将结果放置在另一个 S3 存储桶中。实例配置文件允许您将角色与 EC2 实例关联。
B.此步骤确保 Auto Scaling 组启动的 EC2 实例自动使用具有适当权限的实例配置文件（和 IAM 角色）。
C. 这种方法使用长期凭证
D.“信任锚”一词与 AWS IAM Identity Center（以前称为 AWS Single Sign-On）或 AWS Organizations 相关。通过 Auto Scaling 配置 EC2 实例权限时它不直接适用。
E. 用户数据在脚本中存储和使用私钥和令牌是不安全的，不建议这样做。

226 / 363

226.

No.226
一家公司使用 AWS CodeDeploy 来自动化软件部署。您的部署必须满足以下要求：
• 您需要一些实例来处理部署期间的流量。流量应该在实例之间保持平衡，并且实例在发生故障时应该能够自动修复。 • 需要启动一组新实例来自动部署新的修订版本。无需手动配置。
• 必须将流量重新路由到新环境，每次路由一半的新实例。只要流量重新路由到至少一半的实例，部署就会成功。否则就会失败。
• 在将流量路由到新的实例队列之前，您必须删除部署过程中生成的所有临时文件。
• 部署成功后，应立即删除部署组中原有的实例，以降低成本。
DevOps 工程师如何满足这些要求？

A.使用应用程序负载均衡器和就地部署。将 Auto Scaling 组与部署组关联。使用自动复制 Auto Scaling 组选项并使用 CodeDeployDefault.OneAtAtime 作为部署配置。指示 AWS CodeDeploy 终止部署组中的原始实例并使用 appspec.yml 中的 AllowTraffic 挂钩删除临时文件。

B.使用应用程序负载均衡器和蓝/绿部署。将 Auto Scaling 组和应用程序负载均衡器目标组与部署组关联。使用自动复制 Auto Scaling 组选项创建自定义部署配置，并将最低健康主机定义为 50%，然后将该配置分配给部署组。指示 AWS CodeDeploy 终止部署组中的原始实例并使用 appspec.yml 中的 BeforeBlockTraffic 挂钩删除临时文件。

C.使用应用程序负载均衡器和蓝/绿部署。将 Auto Scaling 组和应用程序负载均衡器目标组与部署组关联。使用自动复制 Auto Scaling 组选项并使用 CodeDeployDefault.HalfAtAtime 作为部署配置。指示 AWS CodeDeploy 终止部署组中的原始实例并使用 appspec.yml 中的 BeforeAllowTraffic 挂钩删除临时文件。

D.使用应用程序负载均衡器和就地部署。将 Auto Scaling 组和应用程序负载均衡器目标组与部署组关联。使用自动复制 Auto Scaling 组选项并使用 CodeDeployDefault.AllatOnce 作为部署配置。指示 AWS CodeDeploy 终止部署组中的原始实例并使用 appspec.yml 中的 BlockTraffic 挂钩删除临时文件。

答案：C

解释：
选项 C 是最佳选择，因为它通过使用蓝/绿部署策略、正确的流量路由、适当的临时文件清理时间和自动实例终止来控制成本，从而满足所有规定的要求。

选项B不正确，因为：
- 允许自定义部署配置，并且至少 50％的实例必须是健康的。但是，“半程改道”这个说法有点模糊。 50% 的定制部署保证一半将保持健康，但不能明确保证一半将重新路由。
- 使用 BeforeBlockTraffic 钩子，但这需要在实例配置之后和允许流量之前运行，因此现在不是清理临时文件的最佳时机。

227 / 363

227.

No.227
公司需要采用多账户策略来部署其应用程序和相关的 CI/CD 基础设施。该公司已在 AWS Organizations 中创建了一个组织，并启用了所有功能。该公司配置了 AWS Control Tower 并设置了着陆区。
该公司要求在组织内的所有 AWS 账户上使用 AWS Control Tower 控制（护栏）。公司需要为其多环境应用程序创建账户，并确保所有账户都配置到初始基线。
哪种解决方案能够满足这些要求，同时最大限度地减少运营开销？

A.创建使用基线配置的 AWS Control Tower 账户工厂定制 (AFC) 蓝图。使用 AWS Control Tower 账户工厂通过蓝图为每个环境配置专用的 AWS 和 CI/CD 账户。

B.使用 AWS Control Tower 账户工厂为每个环境配置专用的 AWS 和 CI/CD 账户。使用 AWS CloudFormation StackSets 将基线配置应用于新账户。

C.使用组织来配置多环境 AWS 和 CI/CD 账户。在 Organizations 管理账户中，创建一个 AWS Lambda 函数，该函数承担 Organizations 访问角色并将基线配置应用于新账户。

D.使用组织为每个环境配置专用的 AWS 账户、审计账户和 CI/CD 账户。使用 AWS CloudFormation StackSets 将基线配置应用于新账户。

答案：A

解释：
关键词：AWS Control Tower 账户工厂定制 (AFC)
选项 A 是最佳选择，因为它利用 AWS Control Tower 的账户工厂和自定义功能以最小的运营开销满足您的所有要求。此选项为帐户配置和基线配置提供了一种自动化、合规且一致的方法。

228 / 363

228.

No.228
DevOps 团队在 AWS Config 中创建了自定义 Lambda 规则。此规则监控 Amazon Elastic Container Repository (Amazon ECR) 策略声明的 ecr:* 操作。当检测到不合规的存储库时，Amazon EventBridge 会使用 Amazon Simple Notification Service (Amazon SNS) 向你的安全团队发送通知。
评估自定义 AWS Config 规则时，AWS Lambda 函数无法执行。
哪种解决方案可以解决这个问题？

A.修改 Lambda 函数的资源策略以授予 AWS Config 调用该函数的权限。

B. 修改 SNS 主题策略以包含 EventBridge 发布到 SNS 主题的配置更改。

C.修改 Lambda 函数的执行角色以包含自定义 AWS Config 规则的配置更改。

D. 修改所有 ECR 存储库策略以允许 AWS Config 访问所需的 ECR API 操作。

答案：A

解释：
当您创建使用 Lambda 函数的自定义 AWS Config 规则时，AWS Config 需要调用该函数的权限。这是通过向您的 Lambda 函数添加基于资源的策略来实现的，该策略明确允许 AWS Config 调用该函数。如果没有此权限，AWS Config 就无法触发 Lambda 函数，并且函数执行将失败。

229 / 363

229.

No.229
开发人员正在为新的软件即服务 (SaaS) 应用程序创建概念证明。该应用程序位于共享开发 AWS 账户中，该账户是 AWS Organizations 内某个组织的一部分。
开发人员必须为作为概念验证目标的 AWS 服务创建与服务相关的 IAM 角色。您的解决方案必须允许开发人员仅创建和配置与服务相关的角色。
哪种解决方案可以满足这些要求？

A.在组织的管理账户中为开发人员创建一个 IAM 用户。在开发账户中配置跨账户角色，供开发人员使用。将跨账户角色的范围限制为常见服务。

B. 将开发人员添加到 IAM 组。将 PowerUserAccess 托管策略附加到 IAM 组。对用户帐户强制实施多因素身份验证 (MFA)。

C. 向组织中的开发账户添加 SCP。要限制开发人员访问，请配置一个具有针对 iam:* 的拒绝规则的 SCP。

D. 创建具有必要 IAM 访问权限的 IAM 角色，以允许开发人员创建策略和角色。创建并附加权限边界到角色。授予开发人员访问权限以承担该角色。

答案：D

解释：
答：这种方法需要在管理账户中创建用户并设置跨账户角色。这增加了不必要的复杂性和潜在的安全风险。
B. PowerUserAccess 管理策略提供的权限不仅仅是创建和配置服务相关角色。这种方法不符合限制开发人员管理服务相关角色的能力的要求。
C.SCP 用于在组织或账户级别设置权限护栏，但不授予权限。用于限制操作，为 iam:* 配置带有拒绝规则的 SCP 可能会阻止开发人员执行他们需要的操作

D 有效满足要求

230 / 363

230.

No.230
一家公司使用 AWS Organizations 来管理其 AWS 账户。该公司希望他们的监控系统在 root 用户登录时收到警报。您还需要一个显示根用户生成的日志活动的仪表板。
哪些步骤组合可以满足这些要求？（选择三个。）

A.在多账户聚合器中启用 AWS Config。配置日志转发到 Amazon CloudWatch Logs。

B. 创建使用 Amazon CloudWatch Logs 查询的 Amazon QuickSight 仪表板。

C. 创建与根用户登录事件匹配的 Amazon CloudWatch Logs 指标过滤器。配置 CloudWatch 警报和 Amazon Simple Notification Service (Amazon SNS) 主题以向您公司的监控系统发送警报。

D. 创建与根用户登录事件匹配的 Amazon CloudWatch Logs 订阅过滤器。配置过滤器以将事件转发到 Amazon Simple Notification Service (Amazon SNS) 主题。配置 SNS 主题以向您公司的监控系统发送警报。

E. 创建 AWS CloudTrail 组织跟踪。配置组织跟踪以将事件发送到 Amazon CloudWatch Logs。

F.创建使用 CloudWatch Logs Insights 查询的 Amazon CloudWatch 仪表板。

答案：CEF

解释：
选项 E：使用 CloudTrail 捕获并转发根用户活动。

选项 C：配置指标过滤器和警报以对根用户登录事件发出警报。

选项 F：创建 CloudWatch 仪表板以可视化根用户活动。

补充说明：
CloudWatch Logs 订阅筛选器：
- 实时处理日志事件，但通常用于将日志数据传输到其他服务，例如 AWS Lambda 或 Elasticsearch。
- 不需要针对 root 用户登录事件发出警报的特定任务。

AWS Config 不直接参与捕获根用户登录事件并将其转发到 CloudWatch Logs。

231 / 363

231.

No.231
一家公司使用 AWS Organizations 来管理其 AWS 账户。 DevOps 工程师需要确保访问 AWS 管理控制台的所有用户都通过其公司的企业身份提供商 (IdP) 进行身份验证。
哪些步骤组合可以满足这些要求？（选择两个）

A. 使用委派管理员账户使用 Amazon GuardDuty。拒绝 IAM 用户使用 GuardDuty 登录。

B. 使用 AWS IAM Identity Center 配置与 SAML 2.0 的身份联合。

C. 在 AWS IAM Identity Center 中创建权限边界以拒绝 IAM 用户的密码登录。

D. 在 Organizations 管理账户中创建 IAM 组，以向所有 IAM 用户应用一致的权限。

E. 在组织中创建 SCP 以拒绝为 IAM 用户创建密码。

答案：BE

解释：
选项 B：使用 AWS IAM Identity Center 与 SAML 2.0 设置身份联合。

选项 E：实施 SCP 以拒绝为 IAM 用户创建密码并强制执行 IdP 身份验证。

C - 关于权力界限的说法不正确
- AWS IAM 身份中心权限边界定义了 IAM 实体可以拥有的最大权限，但不用于控制用户如何登录或拒绝密码登录。
- 权限边界不限制身份验证方法或强制联合。
- 权限边界不适用于拒绝 IAM 用户登录。

232 / 363

232.

No.232
一家公司推出了一个在 Amazon Elastic Kubernetes Service (Amazon EKS) 上运行的新平台。新平台将承载用户经常更新的网络应用程序。应用程序开发人员为其应用程序构建 Docker 镜像，并手动将 Docker 镜像部署到平台。
该平台的每日使用人数已增至500多人。频繁更新、为您的应用程序构建更新的 Docker 镜像以及手动将 Docker 镜像部署到您的平台都变得难以管理。
如果对 Docker 映像的扫描返回操作系统或编程语言包漏洞的“高”或“严重”发现，您的公司应该会收到 Amazon Simple Notification Service (Amazon SNS) 通知。
哪些步骤组合可以满足这些要求？（选择两个。）

A.创建一个 AWS CodeCommit 存储库来存储您的 Dockerfile 和 Kubernetes 部署文件。在 AWS CodePipeline 中创建管道。提交 Dockerfile 的新版本时使用 Amazon S3 事件调用管道。向您的管道添加一个启动 AWS CodeBuild 项目的步骤。

B. 创建一个 AWS CodeCommit 存储库来存储您的 Dockerfile 和 Kubernetes 部署文件。在 AWS CodePipeline 中创建管道。要在提交 Dockerfile 的新版本时调用管道，请使用 Amazon EventBridge 事件。通过向管道添加步骤来启动您的 AWS CodeBuild 项目。

C. 创建一个 AWS CodeBuild 项目，构建 Docker 映像并将 Docker 映像存储在 Amazon Elastic Container Registry (Amazon ECR) 存储库中。打开 ECR 存储库的基本扫描。创建 Amazon EventBridge 规则来监控 Amazon GuardDuty 事件。配置 EventBridge 规则，如果 finding-severity-counts 参数在 CRITICAL 或 HIGH 级别大于 0，则将事件发送到 SNS 主题。

D. 创建一个 AWS CodeBuild 项目，构建 Docker 映像并将 Docker 映像存储在 Amazon Elastic Container Registry (Amazon ECR) 存储库中。为您的 ECR 存储库启用扩展扫描。创建 Amazon EventBridge 规则来监控 ECR 映像扫描事件。配置 EventBridge 规则，如果 finding-severity-counts 参数在 CRITICAL 或 HIGH 级别大于 0，则将事件发送到您的 SNS 主题。

E.创建一个扫描 Dockerfiles 的 AWS CodeBuild 项目。如果扫描成功，则配置您的项目以构建 Docker 映像，并将 Docker 映像存储在 Amazon Elastic Container Registry (Amazon ECR) 存储库中。配置 SNS 主题，以便在扫描返回漏洞时提供通知。

答案：BD

解释：
选项 B：
- 一个 AWS CodeCommit 存储库，用于存储您的 Dockerfile 和 Kubernetes 部署文件。
- 提交 Dockerfile 的新版本时调用管道的 Amazon EventBridge 事件。

选项D：
- 一个 AWS CodeBuild 项目，用于构建 Docker 映像并将 Docker 映像存储在 Amazon Elastic Container Registry (Amazon ECR) 存储库中。
- 增强了对ECR存储库的扫描。

233 / 363

233.

No.233
一家公司将其 AWS 账户分组到 AWS Organizations 内组织内的 OU 中。该公司在其一个组织账户中部署了一组 Amazon API Gateway API。该API与账户的VPC绑定，没有现有的身份验证机制。只有特定 OU 内的主体才有权限调用 API。
该公司对 API 网关接口 VPC 端点应用以下策略：

{
"Statement": [
{
"Action": "*",
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": "o-company-org/r-company-root/ou-company-ou"
}
},
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Sid": "RestrictToOU"
}
],
"Version": "2012-10-17"
}
该公司还正在更新其 API 网关资源策略，以拒绝任何不通过接口 VPC 端点的调用。更新后，如果您尝试使用接口 VPC 端点 URL 调用 API，您将收到错误消息“用户：匿名未授权”。
哪些步骤组合可以解决这个问题？（选择两个。）

A.通过将 AWS JAM 配置为授权方法，为所有 API 方法启用 IAM 身份验证。

B. 创建一个基于令牌的 AWS Lambda 授权器，该授权器在承载令牌中传递调用者的身份。

C. 创建一个基于请求参数的 AWS Lambda 授权器，该授权器通过标头、查询字符串参数、阶段变量和 $cortext 变量的组合传递调用者的身份。

D.使用 Amazon Cognito 用户池作为授权者来控制对 API 的访问。

E. 使用签名版本 4 通过 AWS 凭证对客户端请求进行签名，以验证请求者的身份。

答案：AE

解释：
“Hope” 是选项 A 的拼写错误。 AWS JAM = AWS IAM

选项 A。将 AWS IAM 配置为身份验证方法，为所有 API 方法启用 IAM 身份验证。
- 这可确保对 API 的所有请求都使用 IAM 凭证进行身份验证，从而直接解决匿名访问问题。

选项 E。签名版本 4 用于使用 AWS 凭证签署客户端请求，以验证请求者的身份。
- 当您使用 AWS 签名版本 4 时，请求将根据链接到特定组织单位的 IAM 策略进行身份验证和授权。

234 / 363

234.

No.234
一家公司希望缩短开发新功能所需的时间。该公司使用 AWS CodeBuild 和 AWS CodeDeploy 来构建和部署应用程序。我们还使用 AWS CodePipeline 来部署每个微服务及其自己的 CI/CD 管道。
公司需要更清楚地了解发布新功能与部署失败后平均恢复时间之间的时间。
哪些解决方案能够以最少的配置工作提供这种可见性？

A. 编写一个 AWS Lambda 函数来创建 Amazon CloudWatch 自定义指标，其中包含有关每个管道成功和失败运行的信息。创建一个 Amazon EventBridge 规则，每 5 分钟调用一次 Lambda 函数。使用指标构建 CloudWatch 仪表板。

B. 编写一个 AWS Lambda 函数来创建 Amazon CloudWatch 自定义指标，其中包含有关每个管道成功和失败运行的信息。创建一个 Amazon EventBridge 规则，该规则在每次成功和失败的执行时调用一个 Lambda 函数。使用指标构建 CloudWatch 仪表板。

C. 编写一个 AWS Lambda 函数，将有关成功和失败执行的信息写入 Amazon DynamoDB。创建一个 Amazon EventBridge 规则，该规则在每次成功和失败的执行时调用一个 Lambda 函数。构建一个显示来自 DynamoDB 的信息的 Amazon QuickSight 仪表板。

D. 编写一个 AWS Lambda 函数，将有关成功和失败执行的信息写入 Amazon DynamoDB。创建一个 Amazon EventBridge 规则，每 5 分钟调用一次 Lambda 函数。构建一个显示来自 DynamoDB 的信息的 Amazon QuickSight 仪表板。

答案：B

解释：
A）每 5 分钟调用一次 Lambda 函数比事件驱动的调用效率较低。
B. 只需最少的设置工作即可为您提供所需的可视性
C 和 D. 使用 DynamoDB 和 QuickSight 需要更多配置。

235 / 363

235.

No.235
一家公司开发了一个静态网站，托管在 Amazon S3 存储桶中。该网站使用 AWS CloudFormation 部署。 CloudFormation 模板定义了一个 S3 存储桶和一个将内容从源位置复制到存储桶的自定义资源。
该公司决定将其网站迁移到新位置，因此他们需要删除并重新创建现有的 CloudFormation 堆栈。但是，CloudFormation 报告称无法干净地删除堆栈。
最可能的原因是什么？ DevOps 工程师如何缓解此网站以及网站未来版本的这个问题？

A. 删除失败，因为 S3 存储桶具有活动网站配置。修改您的 CloudFormation 模板以从 S3 存储桶资源中删除 WebsiteConfiguration 属性。

B. 删除失败，因为 S3 存储桶不为空。如果 RequestType 为 Delete，则修改自定义资源中的 AWS Lambda 函数代码以递归清空存储桶。

C.删除失败，因为自定义资源没有定义删除策略。在自定义资源定义中，添加一个值为 RemoveOnDeletion 的 DeletionPolicy 属性。

D.删除失败，因为 S3 存储桶不为空。修改 CloudFormation 模板中的 S3 存储桶资源以添加值为 Empty 的 DeletionPolicy 属性。

答案：B

解释：
默认情况下，CloudFormation 无法删除非空的 S3 存储桶。如果当您尝试删除堆栈时存储桶仍包含对象，则堆栈删除将失败。

尽管 Q 没有指定自定义资源使用 Lambda，但在这种情况下，由于自定义资源负责将内容复制到存储桶，因此我认为可以安全地假设它也可以用于处理清理过程。

236 / 363

236.

No.236
一家公司使用 Amazon EC2 作为其主要计算平台。 DevOps 团队想要审计公司的 EC2 实例，以查明 EC2 实例上是否安装了任何禁止的应用程序。
哪种解决方案能够最有效地满足这些要求？

A. 在每个实例上配置 AWS Systems Manager。使用 AWS Systems Manager Inventory。使用 Systems Manager 资源数据同步将发现结果同步并存储在 Amazon S3 存储桶中。创建一个 AWS Lambda 函数，当新对象添加到您的 S3 存储桶时运行。配置 Lambda 函数来识别禁止的应用程序。

B. 在每个实例上配置 AWS Systems Manager。使用系统管理器库存。创建一个 AWS Config 规则，监控 Systems Manager Inventory 的变化以识别被禁止的应用程序。

C. 在每个实例上配置 AWS Systems Manager。使用系统管理器库存。过滤 AWS CloudTrail 中的 Systems Manager Inventory 事件跟踪，以识别被禁止的应用程序。

D. 将 Amazon CloudWatch Logs 指定为所有应用程序实例的日志目标。在所有实例上运行自动脚本以创建已安装应用程序的清单。配置脚本以将结果转发到 CloudWatch Logs。创建一个 CloudWatch 警报，使用过滤模式搜索日志数据并识别被禁止的应用程序。

答案：B

解释：
选项 B：在每个实例上配置 AWS Systems Manager。使用 Systems Manager Inventory 创建 AWS Config 规则，监控 Systems Manager Inventory 的变化以识别被禁止的应用程序。

该方法利用 Systems Manager Inventory 和 AWS Config 来有效地跟踪和识别禁止的应用程序，同时最大限度地降低运营开销。

237 / 363

237.

No.237
一家公司有一个事件驱动的 JavaScript 应用程序。该应用程序使用解耦的 AWS 托管服务来发布、使用和路由事件。在您测试应用程序时，事件不会传送到 Amazon EventBridge 规则中指定的目标。
DevOps 团队需要为应用程序测试人员提供额外的功能，以便他们查看、排除故障并防止事件丢失，而无需重新部署应用程序。
DevOps 团队应采取哪些步骤组合来满足这些要求？（选择三项）

A. 使用您的标准测试环境和项目启动 AWS Device Farm 以运行您的应用程序的特定版本。

B.创建一个 Amazon S3 存储桶。启用 AWS CloudTrail。创建一个 CloudTrail 跟踪，指定 S3 存储桶作为存储位置。

C. 配置 EventBridge 规则以使用 Amazon Simple Queue Service (Amazon SQS) 标准队列作为死信队列。

D.配置 EventBridge 规则以使用 Amazon Simple Queue Service (Amazon SQS) FIFO 队列作为死信队列。

E. 在 Amazon CloudWatch Logs 中创建日志组。将日志组指定为 EventBridge 规则的附加目标。

F. 更新您的应用程序代码库并使用 AWS X-Ray SDK 跟踪功能来检测您的代码以支持 X-Amzn-Trace-Id 标头。

答案：BCE

解释：
关键字：无需重新部署应用程序。
选项 B：启用 CloudTrail 允许测试人员跟踪事件活动和与 AWS 服务的交互，这有助于进行故障排除。
选项 C：使用标准 SQS 队列作为 DLQ 可以捕获并分析或重试失败事件。
选项 E：添加 CloudWatch Logs 作为目标将立即记录事件处理，这有助于实时监控和故障排除。

238 / 363

238.

No.238
一家公司正在将其基于容器的工作负载转移到 AWS Organizations 中的多账户环境。该环境由公司用于部署和运行容器化工作负载的应用程序工作负载账户组成。该公司还为组织内共享的工作负载提供共享服务账户。
公司必须遵守严格的合规规定。所有容器镜像在部署到任何环境之前都必须经过安全扫描。如果图像通过扫描且没有任何严重漏洞，则可用于下游部署机制。预扫描图像和后扫描图像必须彼此分开，以便预扫描图像不会在部署中使用。
DevOps 工程师需要创建一个策略来集中这一过程。
哪些步骤组合能够满足这些要求，同时最大限度地减少管理开销？（选择两个。）

A. 在共享服务账户中创建一个 Amazon Elastic Container Registry (Amazon ECR) 存储库。每个预扫描图像有一个存储库，每个后扫描图像有一个存储库。配置 Amazon ECR 图像扫描以在将新图像推送到预扫描存储库时运行。使用基于资源的策略授予您的组织对预扫描存储库的写入权限以及对后扫描存储库的读取权限。

B. 在每个发布容器镜像的账户中创建预扫描 Amazon Elastic Container Registry (Amazon ECR) 存储库。在共享服务帐户中为后扫描图像创建一个存储库。预扫描配置 Amazon ECR 图像扫描以在将新图像推送到存储库时运行。使用基于资源的策略授予您的组织对后扫描存储库的读取权限。

C. 为每个图像配置从图像预扫描存储库到图像后扫描存储库的图像复制。

D. 在 AWS CodePipeline 中为每个预扫描存储库创建一个管道。创建一个源阶段，当新图像被推送到预扫描存储库时，该阶段将运行。创建一个使用 AWS CodeBuild 作为操作提供程序的阶段。编写一个 buildspec.yaml 定义，确定镜像扫描状态，并在扫描完成后将没有严重漏洞的镜像推送到存储库。

E.创建 AWS Lambda 函数。创建一个 Amazon EventBridge 规则，该规则调用 Lambda 函数来响应图像扫描完成事件。编写函数代码，判断镜像扫描状态，并在扫描完成后将没有严重漏洞的镜像推送到存储库。

答案：AE

解释：
最低的管理开销：
=> 您需要在共享服务账户中创建一个 ECR 存储库 => A
您只需要创建一个 Lambda 函数 => E

D 不正确。这是因为创建和管理多个管道会显著增加管理开销。

239 / 363

239.

No.239
一家公司使用 Amazon Elastic Kubernetes Service (Amazon EKS) 集群在容器中部署 Web 应用程序。 Web 应用程序包含敏感数据，没有特定凭证就无法解密。
DevOps 工程师将凭证存储在 AWS Secrets Manager 中。机密信息使用 AWS Key Management Service (AWS KMS) 中的客户管理密钥进行加密。第三方工具的 Kubernetes 服务账户可为您的应用程序提供机密信息。服务账户承担贵公司创建的 IAM 角色来访问机密。
当我尝试从 Secrets Manager 检索机密时，我的服务账户收到访问被拒绝 (403 禁止) 错误。
这个问题的根本原因是什么？

A.附加到 EKS 集群的 IAM 角色无权从 Secrets Manager 检索机密。

B. 客户管理密钥的密钥策略不允许 Kubernetes 服务账户的 IAM 角色使用该密钥。

C. 客户管理密钥的密钥策略不允许 EKS 集群的 IAM 角色使用该密钥。

D. Kubernetes 服务账户承担的 IAM 角色没有访问 EKS 集群的权限。

答案：B

解释：
当 Amazon EKS 服务账户尝试访问 AWS Secrets Manager 中的机密时，它会通过承担 IAM 角色来实现。访问这些机密所需的权限是：
- Secrets Manager 权限：IAM 角色必须具有从 AWS Secrets Manager 检索机密所需的权限。
- KMS 密钥权限：IAM 角色还需要使用加密机密的 AWS KMS 密钥的权限。

240 / 363

240.

No.240
一家公司正在将其产品开发团队从内部数据中心迁移到混合环境。新环境增加了四个 AWS 区域，使开发人员能够使用地理位置上距离他们最近的区域。
所有开发团队都使用一组共享的 Linux 应用程序。本地数据中心将应用程序存储在 NetApp ONTAP 存储设备上。存储卷以只读形式安装在开发本地虚拟机上。该公司每周更新一次共享卷上的应用程序。
DevOps 工程师必须将数据复制到每个新区域。 DevOps 工程师需要通过重复数据删除确保数据始终是最新的。此外，数据不能依赖于内部存储设备的可用性。
哪种解决方案可以满足这些要求？

A. 在您的本地数据中心创建 Amazon S3 文件网关。在每个区域中创建一个 S3 存储桶。设置一个 cron 作业以将数据从存储设备复制到 S3 文件网关。为每个区域中的 S3 存储桶配置 S3 跨区域复制 (CRR)。

B. 在一个区域中创建一个 Amazon FSx 文件网关。在每个区域的 Amazon FSx for Windows File Server 上创建一个文件服务器。设置一个 cron 作业以将数据从存储设备复制到 FSx 文件网关。

C. 在每个区域中为 NetApp ONTAP 实例和卷创建多可用区 Amazon FSx。在您的本地存储设备和 FSx for ONTAP 实例之间设置计划的 SnapMirror 关系。

D. 在每个区域中创建一个 Amazon Elastic File System (Amazon EFS) 文件系统。在您的本地数据中心部署 AWS DataSync 代理。安排 DataSync 每天将数据复制到 Amazon EFS。

答案：C

解释：
选项 C 使用 Amazon FSx for NetApp ONTAP，但未满足重复数据删除或独立于本地存储设备可用性的要求。此外，SnapMirror 关系通常用于同一存储系统内的数据复制，而不是跨多个区域的数据复制。

对于您对重复数据删除、隔离和多区域复制的特定要求，选项 D（使用 Amazon EFS 和 AWS DataSync）是更好的解决方案。

241 / 363

241.

No.241
一家公司有一个应用程序，可将数据（包括个人身份信息 (PII)）存储在 Amazon S3 存储桶中。所有数据均使用 AWS 密钥管理服务 (AWS KMS) 中的客户管理密钥加密。所有 AWS 资源均从 AWS CloudFormation 模板部署。
DevOps 工程师需要为不同 AWS 账户中的应用程序设置开发环境。开发 S3 存储桶应每周从生产 S3 存储桶刷新一次。
公司不得在未对 PII 进行匿名化处理的情况下将 PII 移出生产环境。每个环境中的数据必须使用不同的 KMS 客户管理密钥进行加密。
DevOps 工程师应采取哪些步骤组合来满足这些要求？（选择两个。）

A.在生产账户中的 S3 存储桶上激活 Amazon Macie。创建一个 AWS Step Functions 状态机来启动发现作业并在将文件复制到开发账户中的 S3 存储桶之前编辑任何 PII。授予您的状态机任务对生产账户中的 KMS 密钥的解密权限。授予开发账户中的状态机任务对KMS密钥的加密权限。

B. 在生产 S3 存储桶和开发 S3 存储桶之间配置 S3 复制。在您的开发 S3 存储桶上激活 Amazon Macie。创建 AWS Step Functions 状态机来启动发现作业，并在文件复制到开发 S3 存储桶时编辑任何 PII。授予开发账户中的状态机任务对KMS密钥的加密和解密权限。

C. 配置一个 S3 批量操作作业，将文件从生产 S3 存储桶复制到开发 S3 存储桶。在您的开发账户中，设置一个删除所有 PII 的 AWS Lambda 函数。配置 S3 对象 Lambda 以使用 Lambda 函数进行 S3 GET 请求。授予 Lambda 函数的 IAM 角色对开发账户中的 KMS 密钥的加密和解密权限。

D. 从开发账户中的 CloudFormation 模板创建开发环境。安排 Amazon EventBridge 规则以每周启动一次 AWS Step Functions 状态机。

E.从开发账户中的 CloudFormation 模板创建开发环境。在 Amazon EC2 实例上安排一个 cron 作业每周运行一次并启动 S3 批量操作作业。

答案：A.D.

解释：
选项 A 解决了在将数据移动到开发环境之前匿名化 PII 的需求。 Amazon Macie 允许您识别生产 S3 存储桶中的 PII。 AWS Step Functions 可以协调在传输数据之前编辑此 PII 的工作流程。这确保符合数据保护要求。当您在账户之间移动数据时，您必须提供必要的 KMS 密钥权限来解密和加密数据。

选项 D 确保数据刷新过程自动化且按计划进行。每周使用 Amazon EventBridge 触发一次 AWS Step Functions 状态机，以自动执行数据传输和去识别过程。

242 / 363

242.

No.242
一家公司使用 Amazon Elastic Kubernetes Service (Amazon EKS) 集群来托管机器学习 (ML) 应用程序。随着 ML 模型和容器镜像的大小不断增大，启动新 pod 所需的时间增加到几分钟。
DevOps 工程师需要将启动时间缩短至几秒钟。当 pod 在最近添加到集群的节点上运行时，该解决方案还应将启动时间缩短至几秒钟。
DevOps 工程师创建了一条 Amazon EventBridge 规则，用于调用 AWS Systems Manager 中的自动化功能。当新映像被推送到存储库时，自动化会从 Amazon Elastic Container Registry (Amazon ECR) 存储库预取容器映像。 DevOps 工程师还配置标签以应用于集群和节点组。
DevOps 工程师下一步应该做什么来满足要求？

A.创建一个 IAM 角色，并制定一个策略，允许 EventBridge 使用 Systems Manager 在 EKS 集群的控制平面节点上运行命令。创建一个系统管理器状态管理器关联，使用控制平面节点上的标签来预取相应的容器镜像。

B. 创建一个 IAM 角色，并制定一个策略，允许 EventBridge 使用 Systems Manager 在 EKS 集群中的节点上运行命令。创建一个系统管理器状态管理器关联，使用节点的机器大小来预取相应的容器映像。

C. 创建一个 IAM 角色，并制定一个策略，允许 EventBridge 使用 Systems Manager 在 EKS 集群中的节点上运行命令。创建一个系统管理器状态管理器关联，使用节点上的标签来预取相应的容器映像。

D. 创建一个 IAM 角色，并制定一个策略，允许 EventBridge 使用 Systems Manager 在 EKS 集群的控制平面节点上运行命令。创建一个系统管理器状态管理器关联，使用节点上的标签来预取相应的容器映像。

答案：C

解释：
控制平面管理 Kubernetes 集群，但不运行应用程序容器 => A 和 D 不正确
机器大小并不是确定预取图像位置的实用或灵活的方法。它必须是一个标签 => B 不正确

243 / 363

243.

No.243
公司的应用程序有一个检索工作负载指标的 API。公司需要审计、分析和可视化其应用程序中的这些指标，以检测大规模问题。
哪些步骤组合可以满足这些要求？（选择三个）

A. 设置 Amazon EventBridge 计划以调用 AWS Lambda 函数，该函数调用 API 来检索工作负载指标。将工作负载指标数据存储在 Amazon S3 存储桶中。

B. 设置 Amazon EventBridge 计划以调用 AWS Lambda 函数，该函数调用 API 来检索工作负载指标。将您的工作负载指标数据存储在启用 DynamoDB Streams 的 Amazon DynamoDB 表中。

C. 创建 AWS Glue 爬虫程序，将工作负载指标数据分类到 Amazon S3 存储桶中。在 Amazon Athena 中为分类数据创建视图。

D.将 AWS Glue 爬虫连接到 Amazon DynamoDB 流以对工作负载指标数据进行分类。在 Amazon Athena 中为分类数据创建视图。

E.从 Amazon Athena 视图创建 Amazon QuickSight 数据集。创建 QuickSight 分析以将工作负载指标数据可视化为仪表板。

F.创建一个 Amazon CloudWatch 仪表板，其中包含调用 AWS Lambda 函数的自定义小部件。配置 Lambda 函数以从 Amazon Athena 视图查询工作负载指标数据。

答案：ACE

解释：
选项 A：您可以使用 Amazon EventBridge 来安排 AWS Lambda 函数，该函数从 API 中提取工作负载指标并将数据存储在 Amazon S3 中，从而使数据收集和存储可扩展且自动化。

选项 C：使用 AWS Glue 对存储在 Amazon S3 中的数据进行分类，以便您可以使用 Amazon Athena 进行查询。在此步骤中，您将通过创建模式来准备数据以供分析，以便可以查询它。

选项 E：使用 Amazon QuickSight，您可以从 Athena 视图创建数据集并在仪表板中可视化数据。这使您可以大规模分析和可视化工作负载指标。

https://aws.amazon.com/blogs/mt/analyzing-amazon-cloudwatch-internet-monitor-measurement-logs-using-amazon-athena-amazon-quicksight/

244 / 363

244.

No.244
DevOps 工程师正在为应用程序构建基础设施。该应用程序必须在包含 Amazon EC2 实例的 Amazon Elastic Kubernetes Service (Amazon EKS) 集群上运行。您的 EC2 实例必须使用 Amazon Elastic File System (Amazon EFS) 文件系统作为其存储后端。 Amazon EFS 容器存储接口 (CSI) 驱动程序已安装在您的 EKS 集群上。
当 DevOps 工程师启动应用程序时，EC2 实例不会挂载 EFS 文件系统。
哪些解决方案可以解决这个问题？（选择三项）

A.将您的 EKS 节点从 Amazon EC2 切换到 AWS Fargate。

B. 向 EFS 文件系统的安全组添加入站规则，以允许来自 EKS 集群的 NFS 流量。

C. 创建一个 IAM 角色，允许 Amazon EFS CSI 驱动程序与文件系统交互。

D. 设置 AWS DataSync 以配置 EFS 文件系统和 EKS 节点之间的文件传输。

E. 在 EKS 节点的子网中为 EFS 文件系统创建挂载目标。

F. 禁用 EFS 文件系统加密。

答案：BCE

解释：
B：EFS 文件系统的安全组必须允许来自 EKS 集群中的 EC2 实例的 NFS 端口 (2049) 上的入站流量。如果没有此规则，您的 EC2 实例将无法与您的 EFS 文件系统通信。

C：EFS CSI 驱动程序需要权限才能与 EFS 文件系统交互。这涉及创建具有所需权限的 IAM 角色并将其与 EFS CSI 驱动程序关联。

E：EFS 要求在 EC2 实例所在的每个子网中都有一个挂载目标。此挂载目标促进了您的 EFS 文件系统和 EC2 实例之间的网络连接。

245 / 363

245.

No.245
一家公司在其内部数据中心的内部设备上部署了一个应用程序。该公司在其数据中心和 AWS 账户之间使用 AWS Direct Connect 连接。在您的本地设备初始设置和应用程序更新期间，您的应用程序需要从 Amazon Elastic File System (Amazon EFS) 文件系统检索配置文件。
从您的本地设备到 Amazon EFS 的所有流量都必须保持私密和加密。本地设备应遵守 AWS 访问的最小特权原则。公司的 DevOps 团队需要能够撤销从单个设备的访问权限，而不影响其他设备上的访问。
哪些步骤组合可以满足这些要求？（选择两个）

A. 为每个设备创建一个具有访问密钥和密钥的 IAM 用户。将 AmazonElasticFileSystemFullAccess 策略附加到所有 IAM 用户。在您的本地设备上配置 AWS CLI 以使用 IAM 用户的访问密钥和密钥。

B. 为 AWS 私有证书颁发机构中的每个本地设备生成一个证书。在 IAM Roles Anywhere 中创建指向您的 AWS Private CA 的信任锚。创建一个信任 IAM Roles Anywhere 的 IAM 角色。将 AmazonElasticFileSystemClientReadWriteAccess 附加到角色。为 IAM 角色创建 IAM Roles Anywhere 配置文件。在您的本地设备上配置 AWS CLI 并使用 aws_signing_helper 命令获取您的凭证。

C. 创建一个拥有所有设备访问权限和密钥的 IAM 用户。将 AmazonElasticFileSystemClientReadWriteAccess 策略附加到 IAM 用户。在您的本地设备上配置 AWS CLI 以使用 IAM 用户的访问密钥和密钥。

D. 使用 amazon-efs-utils 包挂载 EFS 文件系统。

E. 使用本机 Linux NFS 客户端挂载 EFS 文件系统。

答案：BD

解释：
B. 为 AWS 私有证书颁发机构中的每个本地设备生成一个证书。在 IAM Roles Anywhere 中创建指向您的 AWS Private CA 的信任锚。创建一个信任 IAM Roles Anywhere 的 IAM 角色。将 AmazonElasticFileSystemClientReadWriteAccess 策略附加到角色。为 IAM 角色创建 IAM Roles Anywhere 配置文件。在您的本地设备上配置 AWS CLI 并使用 aws_signing_helper 命令获取您的凭证。
D. 使用 amazon-efs-utils 包挂载 EFS 文件系统。

246 / 363

246.

★No.246
DevOps 工程师使用 AWS CodeDeploy 和 AWS CloudFormation 为其应用程序设置 Amazon Elastic Container Service (Amazon ECS) 蓝/绿部署。在部署期间，您的应用程序必须具有高可用性，并且 CodeDeploy 必须每分钟将 10% 的流量转移到新版本的应用程序，直到所有流量都转移完毕。
DevOps 工程师应该向 CloudFormation 模板添加哪些配置来满足这些要求？

A. 添加一个包含 CodeDeployDefault.ECSLinearl OPercentEveryl Minutes 部署配置的 AppSpec 文件。

B. 添加包含 CodeDeployDefault.ECSLinear10PercentEvery1Minutes 部署配置的 AWS::CodeDeployBlueGreen 转换和 AWS::CodeDeploy::BlueGreen 钩子参数。

C. 添加一个包含 ECSCanary10Percent5Minutes 部署配置的 AppSpec 文件。

D. 在 ECSCanary10Percent5Minutes 部署配置中，添加 AWS::CodeDeployBlueGreen 转换和 AWS::CodeDepioy::BlueGreen 钩子参数。

247 / 363

247.

No.247
一家公司使用 AWS Organizations 中的组织来管理其 AWS 账户。该公司的 DevOps 团队开发了一个 AWS Lambda 函数，该函数调用 Organizations API 来创建一个新的 AWS 账户。
Lambda 函数在组织的托管账户中运行。 DevOps 团队需要将 Lambda 函数从管理账户移至专用 AWS 账户。在将 Lambda 函数部署到新账户之前，您的 DevOps 团队必须确保 Lambda 函数只能在组织中创建新的 AWS 账户。
哪种解决方案可以满足这些要求？

A.在管理账户中，创建一个新的 IAM 角色，并赋予其在组织中创建新账户所需的权限。允许新 AWS 账户中的 Lambda 执行角色承担该角色。更新您的 Lambda 函数代码，以便 Lambda 函数在创建新的 AWS 账户时承担角色。更新 Lambda 执行角色以确保其有权承担新角色。

B. 在管理账户中，开启组织的委派管理。创建一个新的委派策略，授予新 AWS 账户在组织中创建新 AWS 账户的权限。验证您的 Lambda 执行角色是否具有 organizations:CreateAccount 权限。

C. 在管理账户中，创建一个新的 IAM 角色，并赋予其在组织中创建新账户所需的权限。允许 Lambda 服务主体承担该角色。更新您的 Lambda 函数代码，以便 Lambda 函数在创建新的 AWS 账户时承担角色。更新 Lambda 执行角色以确保其有权承担新角色。

D. 在管理账户中，启用 AWS Control Tower。在 AWS Control Tower 中启用委派管理。创建资源策略，允许新的 AWS 账户在 AWS Control Tower 中创建新的 AWS 账户。更新您的 Lambda 函数代码以在新 AWS 账户中使用 AWS Control Tower API。验证您的 Lambda 执行角色是否具有 controltower:CreateManagedAccount 权限。

答案：A

解释：
创建具有所需权限的 IAM 角色：
- 在管理账户中，创建一个 IAM 角色，并授予其调用 AWS Organizations API 创建新账户的权限。

允许承担角色：- 将此 IAM 角色配置为由新 AWS 账户中的 Lambda 执行角色承担。这使得新账户中的 Lambda 函数可以承担角色以获取必要的权限。

更新 Lambda 函数和执行角色：
- 如果需要创建新的 AWS 账户，则修改新账户中的 Lambda 函数代码以承担管理账户中创建的角色。另外，验证新账户中的 Lambda 执行角色是否具有承担管理账户中角色所需的权限。

248 / 363

248.

No.248
一家公司在单个 AWS 区域部署了一个应用程序。应用程序后端使用 Amazon DynamoDB 表和 Amazon S3 存储桶。
该公司希望将应用程序部署到次要区域。公司需要确保 DynamoDB 表和 S3 存储桶中的数据在两个区域中都保留。此外，数据必须在各个区域之间即时传播。
哪种解决方案能够最有效地满足这些要求？

A. 在主区域的 S3 存储桶和次区域的 S3 存储桶之间实现双向 S3 存储桶复制。将 DynamoDB 表转换为全局表。将次要区域配置为附加区域。

B. 为所有 S3 bucket 在主区域和辅区域之间实现 S3 批量操作复制作业。将 DynamoDB 表转换为全局表。将次要区域配置为附加区域。

C. 在主区域的 S3 存储桶和次区域的 S3 存储桶之间实现双向 S3 存储桶复制。在两个区域的 DynamoDB 表上启用 DynamoDB 流。在每个区域中，创建一个订阅 DynamoDB 流的 AWS Lambda 函数。配置 Lambda 函数以将新记录复制到另一个区域的 DynamoDB 表。

D. 为所有 S3 bucket 实现主 Region 和辅 Region 之间的 S3 批量操作复制作业。在两个区域的 DynamoDB 表上启用 DynamoDB 流。在每个区域中，创建一个订阅 DynamoDB 流的 AWS Lambda 函数。配置 Lambda 函数以将新记录复制到另一个区域的 DynamoDB 表。

答案：A

解释：
双向 S3 存储桶复制：

- 大多数情况下通常不需要双向复制（单向复制通常就足够了），但是如果您的要求要求您在两个区域保留数据副本并保持同步，请实施复制规则以确保不同区域的 S3 存储桶之间的数据一致性。

全局 DynamoDB 表：

- DynamoDB 全局表专为多区域、完全复制表而设计。当您将 DynamoDB 表转换为全局表并添加辅助区域时，DynamoDB 会自动且立即处理区域之间的数据复制。这提供了高效且一致的数据复制，而无需定制解决方案。

249 / 363

249.

No.249
一家公司为 RDS DB 实例配置了 Amazon RDS 存储自动扩展。 DevOps 团队需要在 Amazon CloudWatch 仪表板上可视化自动扩展事件。
哪种解决方案可以满足这一要求？

A.创建一个 Amazon EventBridge 规则，对来自 RDS 事件的 RDS 存储自动扩展事件做出反应。创建一个发布 CloudWatch 自定义指标的 AWS Lambda 函数。配置 EventBridge 规则以调用您的 Lambda 函数。使用 CloudWatch 仪表板可视化您的自定义指标。

B. 使用 AWS CloudTrail 创建跟踪并配置管理事件。配置您的跟踪以将管理事件发送到 Amazon CloudWatch Logs。在 CloudWatch Logs 中创建指标过滤器以匹配 RDS 存储自动扩展事件。使用 CloudWatch 仪表板可视化您的指标过滤器。

C. 创建一个 Amazon EventBridge 规则，对来自 RDS 事件的 RDS 存储自动扩展事件做出反应。创建 CloudWatch 警报。配置 EventBridge 规则以更改 CloudWatch 警报的状态。使用 CloudWatch 仪表板可视化您的警报状态。

D.使用 AWS CloudTrail 创建配置了数据事件的跟踪。配置您的跟踪以将数据事件发送到 Amazon CloudWatch Logs。在 CloudWatch Logs 中创建与 RDS 存储自动扩展事件匹配的指标过滤器。使用 CloudWatch 仪表板可视化您的指标过滤器。

答案：A

解释：
AWS CloudTrail 通过捕获对 Auto Scaling 服务发出的 API 调用来记录 Auto Scaling 操作。这意味着与扩展 EC2 实例相关的所有操作（例如扩大、缩小或调整扩展策略）都将记录在 CloudTrail 日志中。

250 / 363

250.

No.250
一家公司使用容器来开发其应用程序。该公司发现其一些容器图像缺少必要的安全设置。
DevOps 工程师需要实施一个创建标准基础镜像的解决方案。该解决方案要求每周向 us-west-2、us-east-2 和 eu-central-1 区域发布基础图像。
哪种解决方案可以满足这些要求？

A.创建一个使用容器配方来构建图像的 EC2 Image Builder 管道。配置您的管道以将图像分发到 us-west-2 中的 Amazon Elastic Container Registry (Amazon ECR) 存储库。配置从 us-west-2 到 us-east-2，以及从 us-east-2 到 eu-central-1 的 ECR 复制。将管道设置为每周运行一次。

B. 创建一个使用 AWS CodeBuild 项目来构建映像的 AWS CodePipeline 管道。使用 AWS CodeDeploy 将映像发布到 us-west-2 中的 Amazon Elastic Container Registry (Amazon ECR) 存储库。配置从 us-west-2 到 us-east-2，以及从 us-east-2 到 eu-central-1 的 ECR 复制。将管道设置为每周运行一次。

C. 创建一个使用容器配方来构建图像的 EC2 Image Builder 管道。配置您的管道以将图像分发到所有三个区域中的 Amazon Elastic Container Registry (Amazon ECR) 存储库。将管道设置为每周运行一次。

D. 创建一个使用 AWS CodeBuild 项目来构建映像的 AWS CodePipeline 管道。使用 AWS CodeDeploy 将映像发布到所有三个区域中的 Amazon Elastic Container Registry (Amazon ECR) 存储库。将管道设置为每周运行一次。

答案：C

解释：
EC2 映像生成器：
- 该服务旨在自动创建和分发容器镜像。它支持定义容器配方并自动化构建过程。
直接分销：
- 可以配置 EC2 Image Builder 将图像直接分发到不同区域的多个 ECR 存储库。这与将基础图像发布到 us-west-2、us-east-2 和 eu-central-1 区域的要求一致。
每周安排：
- EC2 Image Builder 可以安排每周运行一次，满足您的定期更新要求。

251 / 363

251.

No.251
一名 DevOps 工程师需要实施一项解决方案，在 AWS 账户中的所有 Amazon EC2 实例上安装防病毒软件。 EC2 实例运行最新版本的 Amazon Linux。
该解决方案应该发现所有实例，如果不存在则使用 AWS Systems Manager 文档来安装该软件。
哪种解决方案可以满足这些要求？

A. 在系统管理器状态管理器中创建关联。以所有管理节点为目标。将软件纳入关联中。配置关联以使用系统管理器文档。

B.配置 AWS Config 以记录您账户中的所有资源。创建自定义 AWS Config 规则，确定该软件是否安装在所有 EC2 实例上。配置使用 Systems Manager 文档针对不合规 EC2 实例的自动补救措施。

C. 在 Amazon Inspector 中激活 Amazon EC2 扫描，以确定该软件是否安装在所有 EC2 实例上。将调查结果与系统管理器文档关联起来。

D. 创建一个使用 AWS CloudTrail 检测 Runinstances API 调用的 Amazon EventBridge 规则。使用 Systems Manager Inventory 配置库存收集，以确定您的 EC2 实例上是否安装了软件。将系统管理器库存与系统管理器文档关联。

答案：A
解释：
AWS Systems Manager 状态管理器：
自动检测：
- 状态管理器允许您管理 AWS 资源（包括 EC2 实例）的所需状态。定位所有托管节点可确保范围包括 Systems Manager 管理下的所有 EC2 实例。
软件安装：
- 您可以指定系统管理器文档（SSM 文档）来定义安装防病毒软件所需的步骤。该协会确保在缺少该软件的实例上安装该软件。
持续合规：
- 状态管理器允许持续执行所需状态。这意味着定期检查软件是否存在并根据需要重新应用文档。

252 / 363

252.

No.252
公司需要加强生产中运行的容器镜像的安全性。该公司希望将容器操作系统扫描和编程语言包漏洞扫描集成到其 CI/CD 管道中。 CI/CD 管道是一个 AWS CodePipeline 管道，其中包含一个 AWS CodeBuild 构建项目、一个 AWS CodeDeploy 操作和一个 Amazon Elastic Container Registry (Amazon ECR) 存储库。
DevOps 工程师应该将图像扫描添加到他们的 CI/CD 管道中。您的 CI/CD 管道应该仅将没有 CRITICAL 和 HIGH 发现的图像部署到生产中。
哪些步骤组合可以满足这些要求？（选择两个）

A.使用 Amazon ECR Basic Scan。

B.使用Amazon ECR增强扫描。

C. 配置 Amazon ECR，当图像扫描返回 CRITICAL 或 HIGH 发现时将拒绝状态发送到您的 CI/CD 管道。

D. 配置 Amazon EventBridge 规则以在图像扫描完成时调用 AWS Lambda 函数。配置 Lambda 函数以使用 Amazon Inspector 扫描状态并将批准或拒绝状态发送到您的 CI/CD 管道。

E.配置 Amazon EventBridge 规则以在图像扫描完成后调用 AWS Lambda 函数。配置 Lambda 函数以使用 Clair 扫描状态并将批准或拒绝状态发送到您的 CI/CD 管道。

答案：BD
解释：
B.使用 Amazon ECR 增强扫描
- 全面的漏洞检查：Amazon ECR 增强扫描与 Amazon Inspector 集成，可对您的容器映像进行全面的安全检查。它可以扫描基本扫描不支持的操作系统漏洞和编程语言包中的应用程序级漏洞。
- 与 Amazon Inspector 集成：增强扫描利用 Amazon Inspector 进行更深入的漏洞分析，以确保您的图像在部署之前是安全的。
- 严重性和高严重性检测：增强的扫描选项专门识别严重性和高严重性漏洞，符合仅部署没有这些问题的图像的要求。

253 / 363

253.

No.253
一家公司的 DevOps 团队管理 AWS Organizations 内组织内的一组 AWS 账户。
该公司需要一个解决方案来确保所有 Amazon EC2 实例都使用由 DevOps 团队管理的已批准 AM。该解决方案还必须纠正未经授权的 AMI 的使用。个人账户管理员不应能够取消使用已批准 AMI 的限制。
哪种解决方案可以满足这些要求？

A.使用 AWS CloudFormation StackSets 将 Amazon EventBridge 规则部署到每个账户。配置规则以对 Amazon EC2 的 AWS CloudTrail 事件做出反应并将通知发送到 Amazon Simple Notification Service (Amazon SNS) 主题。让您的 DevOps 团队订阅 SNS 主题。

B.使用 AWS CloudFormation StackSets 将 approved-amis-by-id AWS Config 托管规则部署到每个账户。使用批准的 AMI 列表配置规则。配置规则以对不合规的 EC2 实例执行 AWS-StopEC2Instance AWS Systems Manager Automation 运行手册。

C. 创建一个 AWS Lambda 函数来处理 Amazon EC2 的 AWS CloudTrail 事件。配置 Lambda 函数以将通知发送到 Amazon Simple Notification Service (Amazon SNS) 主题。让您的 DevOps 团队订阅 SNS 主题。将 Lambda 函数部署到您组织中的每个账户。在每个账户中创建一个 Amazon EventBridge 规则。配置 EventBridge 规则以响应 Amazon EC2 的 AWS CloudTrail 事件并调用 Lambda 函数。

D. 在您的组织内启用 AWS Config。使用您批准的 AMI 列表来创建使用 approved-amis-by-id AWS Config 托管规则的一致性包。在您的组织内部署一致性包。配置规则以对不合规的 EC2 实例执行 AWS-StopEC2lnstance AWS Systems Manager Automation 运行手册。

答案：D

解释：
A 和 C. 仅发出警报，不会自动修复不合规的实例
B.通过 CloudFormation StackSets 部署到个人账户允许账户管理员修改或删除规则。

254 / 363

254.

No.254
一家公司授予员工有限的 AWS 权限。 DevOps工程师可以承担管理员角色。为了跟踪目的，安全团队希望在担任管理员角色时收到近乎实时的通知。
我们如何才能实现这个目标？

A.配置 AWS Config 以将日志发布到 Amazon S3 存储桶。当担任管理员角色时，使用 Amazon Athena 查询日志并向您的安全团队发送通知。

B.配置 Amazon GuardDuty 以监控何时担任管理员角色并向您的安全团队发送通知。

C. 使用 AWS 管理控制台登录事件事件模式，创建一个 Amazon EventBridge 事件规则，该规则在担任管理员角色时将消息发布到 Amazon SNS 主题。

D. 使用 AWS API 调用创建 Amazon EventBridge 事件规则，以调用 AWS Lambda 函数，该函数使用 AWS CloudTrail 事件模式在承担管理员角色的情况下将消息发布到 Amazon SNS 主题。

答案：D

解释：
选项 D 利用 AWS CloudTrail、Amazon EventBridge、AWS Lambda 和 Amazon SNS 的功能，提供一种强大而有效的方法来跟踪和警报管理员角色假设。

选项 C 是错误的事件模式：此选项指定监控与用于以编程方式承担角色的 AssumeRole API 调用无关的 AWS 管理控制台登录事件。未检测到通过 CLI 或 SDK 进行的角色假设。

255 / 363

255.

No.255
公司需要针对数据和应用程序制定故障转移和灾难恢复策略。该应用程序使用 MySQL 数据库和 Amazon EC2 实例。您的公司始终要求其数据和应用程序的最大 RPO 为 2 小时，最大 RTO 为 10 分钟。
哪种部署策略组合可以满足这些要求？（选择两个）

A. 在多个 AWS 区域中创建 Amazon Aurora 单可用区集群作为数据存储。如果发生灾难，请使用 Aurora 的自动恢复功能。

B. 在两个 AWS 区域创建一个 Amazon Aurora 全球数据库作为数据存储。如果发生中断，请将辅助区域提升为应用程序的主要区域。更新您的应用程序以使用辅助区域中的 Aurora 集群终端节点。

C. 在多个 AWS 区域中创建 Amazon Aurora 集群作为数据存储。使用网络负载均衡器来平衡不同区域之间的数据库流量。

D.在两个 AWS 区域中设置应用程序。使用指向两个区域中的应用程序负载均衡器的 Amazon Route 53 故障转移路由。在每个区域中使用健康检查和 Auto Scaling 组。

E.在两个 AWS 区域中设置应用程序。配置 AWS Global Accelerator 以指向两个区域中的应用程序负载均衡器 (ALB)。将两个 ALB 添加到单个端点组。在每个区域中使用健康检查和 Auto Scaling 组。

答案：BD

解释：
E. 全局加速器会增加故障转移速度，但在这种情况下没有必要。

256 / 363

256.

No.256
开发人员正在使用 AWS 无服务器应用程序模型 (AWS SAM) 来制作 AWS Lambda 函数原型。 AWS SAM 模板包含一个 AWS::Serverless::Function 资源，该资源具有指向 Amazon S3 位置的 CodeUri 属性。在创建 CI/CD 管道之前，开发人员希望确定正确的部署命令。
开发人员创建一个名为 package.zip 的 Lambda 函数代码的档案。开发人员将 .zip 文件档案上传到 CodeUri 属性指定的 S3 位置。开发人员运行 sam deploy 命令来部署 Lambda 函数。开发人员使用相同的步骤更新 Lambda 函数代码并部署新版本的 Lambda 函数。 sam deploy 命令失败，并显示错误“没有要部署的更改”。
哪些解决方案部署了新版本？（选择两个。）

A.使用 aws cloudformation update-stack 命令而不是 sam deploy 命令。

B. 不要使用 sam deploy 命令，而要使用 aws cloudformation update-stack-instances 命令。

C. 更新 CodeUri 属性以指向您的本地应用程序代码文件夹。使用 sam deploy 命令。

D. 更新 CodeUri 属性以指向您的本地应用程序代码文件夹。使用 aws cloudformation create-change-set 和 aws cloudformation execute-change-set 命令。

E. 更新 CodeUri 属性以指向您的本地应用程序代码文件夹。使用 aws cloudformation package 和 aws cloudformation deploy 命令。

答案：CE

解释：
C. 更新 CodeUri 属性以指向您的本地应用程序代码文件夹。 AWS SAM 在“sam deploy”命令期间处理打包并将您的代码上传到 S3。
E.
- “aws cloudformation package”命令打包本地工件（例如 Lambda 函数代码）并将其上传到 S3 存储桶。然后，生成引用这些工件的 CloudFormation 模板。
- “aws cloudformation deploy”命令部署生成的 CloudFormation 模板。

A.“aws cloudformation update-stack”：如果没有打包步骤，Lambda 函数代码更改将无法识别
B.用于堆栈集实例
D.如果本地代码没有正确打包，可能无法正确检测到更改。

257 / 363

257.

No.257
一家公司正在 AWS App Runner 上运行其容器工作负载。 DevOps 工程师在 Amazon Elastic Container Registry (Amazon ECR) 中管理公司的容器存储库。
DevOps 工程师需要实施一个能够持续监控其容器存储库的解决方案。该解决方案应该在检测到操作系统漏洞或语言包漏洞时创建一个新的容器映像。
哪种解决方案可以满足这些要求？

A.使用 EC2 Image Builder 创建容器映像管道。使用 Amazon ECR 作为目标存储库。在您的 ECR 存储库上启用增强扫描。检查员？创建 Amazon EventBridge 规则来捕获发现事件。使用事件来调用图像管道。将容器重新上传到存储库。

B.使用 EC2 Image Builder 创建容器映像管道。使用 Amazon ECR 作为目标存储库。在容器工作负载上启用 Amazon GuardDuty 恶意软件防护。创建 Amazon EventBridge 规则来捕获 GuardDuty 检测事件。使用事件来调用图像管道。

C.创建一个 AWS CodeBuild 项目来构建容器映像。使用 Amazon ECR 作为目标存储库。开启基本存储库扫描。创建 Amazon EventBridge 规则来捕获 ECR 图像操作事件。使用该事件调用 CodeBuild 项目。将容器重新上传到存储库。

D.创建一个 AWS CodeBuild 项目来构建容器映像。使用 Amazon ECR 作为目标存储库。配置 AWS Systems Manager Compliance 以扫描所有托管节点。创建 Amazon EventBridge 规则来捕获配置合规性状态变化事件。使用该事件调用 CodeBuild 项目。

答案：A

解释：
在您的 Amazon ECR 存储库设置中打开增强扫描。这使 Amazon Inspector 能够扫描您的图像以查找漏洞。

258 / 363

258.

No.258
一家公司希望使用 AWS Systems Manager 文档为其开发人员引导物理笔记本电脑。引导代码存储在 GitHub 上。 DevOps 工程师已经创建了 Systems Manager 激活，并使用注册码和激活 ID 在所有笔记本电脑上安装了 Systems Manager 代理。
您下一步应该采取什么措施？

A. 配置 Systems Manager 文档以使用 AWS-RunShellScript 命令将文件从 GitHub 复制到 Amazon S3，然后使用 sourceType 为 S3 的 aws-downloadContent 插件。

B. 配置 Systems Manager 文档以使用带有安装操作的 aws-configurePackage 插件并指定 Git 存储库。

C. 配置 Systems Manager 文档以使用 aws-downloadContent 插件，其中 sourceType 为 GitHub，sourceInfo 包含存储库详细信息。

D. 配置 Systems Manager 文档以使用 aws:softwareInventory 插件并从 Git 存储库运行脚本。

答案：C

解释：
aws:下载内容
（模式版本 2.0 及以上）从远程位置下载 SSM 文档和脚本。不支持 GitHub Enterprise 存储库。该插件支持 Linux 和 Windows Server 操作系统。

259 / 363

No.259
一家公司的开发团队使用 AWS CloudFormation 来部署应用程序资源。团队应该使用 CloudFormation 来对其环境进行所有更改。团队不能直接使用 AWS 管理控制台或 AWS CLI 进行手动更改。
您的团队将使用开发人员 IAM 角色访问环境。此角色配置有 AdministratorAccess 管理 IAM 策略。该公司创建了一个新的 CloudFormationDeployment IAM 角色，并附加了以下策略：

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:*",
"lambda:*",
"dynamodb:*"
],
"Resource": "*"
}
]
}

259. 该公司希望新角色仅对 CloudFormation 可用。开发团队无法手动更改已部署的资源。

哪些步骤组合可以满足这些要求？（选择三个）

A. 删除 AdministratorAccess 策略。将 ReadOnlyAccess 托管 IAM 策略分配给开发人员角色。当您的开发人员部署新堆栈时，指导他们使用 CloudFormationDeployment 角色作为 CloudFormation 服务角色。

B. 更新 CloudFormationDeployment 角色的信任策略，以允许开发人员 IAM 角色承担 CloudFormationDeployment 角色。

C. 配置开发人员 IAM 角色，以便如果 iam:PassedToService 等于，则能够获取并传递 CloudFormationDeployment 角色。配置 CloudFormationDeployment 角色以允许对所有资源执行所有云信息操作。

D. 更新 CloudFormationDeployment 角色的信任策略，以允许 cloudformation.amazonaws.com AWS 主体执行 iam:AssumeRole 操作。

E. 删除 AdministratorAccess 策略。将 ReadOnlyAccess 托管 IAM 策略分配给开发人员角色。当开发人员想要部署新的堆栈时，您指示开发人员承担 CloudFormationDeployment 角色。

F. 向 CloudFormationDeployment 角色添加 IAM 策略以允许所有资源上使用 cloudformation:*。如果 iam:PassedToService 等于 cloudformation.amazonaws.com，则添加允许对 CloudFormationDeployment 角色 ARN 执行 iam:PassRole 操作的策略。

答案：ADF

解释：
A. 删除 AdministratorAccess 策略。将 ReadOnlyAccess 托管 IAM 策略分配给开发人员角色。当您的开发人员部署新堆栈时，指导他们使用 CloudFormationDeployment 角色作为 CloudFormation 服务角色。

D. 更新 CloudFormationDeployment 角色的信任策略，以允许 cloudformation.amazonaws.com AWS 主体执行 iam:AssumeRole 操作。

260 / 363

260.

No.260
一家公司正在使用 AWS CloudFormation 为 Web 应用程序开发基础设施。数据库工程团队使用 CloudFormation 模板管理数据库资源，软件开发团队使用不同的 CloudFormation 模板管理 Web 应用程序资源。随着应用程序范围的扩大，软件开发团队必须使用数据库工程团队管理的资源。然而，两个团队都有他们想要维护的自己的审查和生命周期管理流程。它还需要对两个团队的变更集进行资源级别的审查。软件开发团队希望使用 CI/CD 管道部署对此模板的更改。
哪种解决方案可以满足这些要求？

A.从数据库 CloudFormation 模板创建堆栈导出，并将这些引用导入 Web 应用程序 CloudFormation 模板。

B. 创建 CloudFormation 嵌套堆栈，以便两个堆栈都可以使用跨堆栈资源引用和参数。

C. 创建一个 CloudFormation 堆栈集，以便两个堆栈都可以使用跨堆栈资源引用和参数。

D. 在 Web 应用程序 CloudFormation 模板中创建输入参数，并从数据库堆栈中传入资源名称和 ID。

答案：A

解释：
B.嵌套堆栈将所有堆栈组合成一个堆栈，这会使每个团队的独立生命周期和审查过程变得复杂。
C.堆栈集通常用于跨多个 AWS 账户和区域部署堆栈
D.它可能有效，但每当数据库堆栈资源发生变化时，就需要人工干预来更新参数值。

261 / 363

261.

No.261
一家公司在 AWS Organizations 中有一个组织。 DevOps 工程师需要管理其组织中属于不同 OU 的多个 AWS 账户。您账户中的所有资源（包括 IAM 和 Amazon S3 策略）均通过 AWS CloudFormation 部署。所有模板和代码均在 AWS CodeCommit 存储库中进行管理。最近，一些开发人员无法从我们组织中的某些账户访问 S3 存储桶。
以下策略附加到 S3 存储桶：
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject*",
"s3:PutObject*"
],
"Principal": {
"AWS": "arn:aws:sts::*:assumed-role/developer-role/access-session"
},
"Resource": [
"arn:aws:s3:::DOC-EXAMPLE-BUCKET",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
]
}
]
}
DevOps 工程师应该怎么做才能解决这个访问问题？

A.修改S3存储桶策略。关闭 S3 存储桶的 S3 阻止公共访问设置。在您的 S3 策略中，添加 aws:SourceAccount 条件。添加所有遇到该问题的开发人员的 AWS 账户 ID。

B.验证 IAM 权限边界不会拒绝开发人员访问 S3 存储桶。对您的 IAM 权限边界进行任何必要的更改。使用遇到问题的各个开发者账户中的 AWS Config 记录器来恢复阻止访问的更改。将您的修复提交到您的 CodeCommit 存储库。要应用更改，请通过 CloudFormation 调用部署。

C. 配置一个 SCP，防止任何人修改开发人员 OU 中的 IAM 资源。在您的 S3 策略中，添加 aws:SourceAccount 条件。添加所有遇到该问题的开发人员的 AWS 账户 ID。将您的修复提交到您的 CodeCommit 存储库。要应用更改，请通过 CloudFormation 调用部署。

D.验证 SCP 没有阻止开发人员访问 S3 存储桶。验证您的 IAM 策略中的权限边界不会拒绝开发人员 IAM 用户的访问。对 CodeCommit 存储库的 SCP 和 IAM 策略中的权限边界进行必要的更改。通过 CloudFormation 调用部署来应用更改。

答案：D

解释：
选项 D 是最全面且符合您的要求的：
- 验证 SCP 和 IAM 策略是否配置正确。
- 坚持使用 CloudFormation 进行所有更改。
- 解决紧急问题，同时提供可扩展且易于管理的方法。

262 / 363

262.

No.262
一家公司在 AWS Organizations 中有一个组织，用于多账户环境。 DevOps 工程师正在开发基于 AWS CodeArtifact 的策略，用于整个组织的应用程序包管理。贵公司的每个应用程序团队在组织内都有自己的帐户。每个应用程序团队对集中共享服务帐户的访问权限也有限。
每个应用程序团队都需要完全访问权限才能下载、发布和授予对他们自己的包的访问权限。应用程序团队使用的某些公共库包也需要在整个组织内共享。
哪些步骤组合可以满足这些要求并最大限度地减少管理开销？（选择三个。）

A. 在每个应用程序团队的账户中创建一个域。授予每个应用程序团队帐户对应用程序团队域的完全读写权限。

B. 为共享服务帐户创建一个域。授予组织读取和创建存储库访问权限。

C. 在每个应用程序团队的账户中创建一个存储库。授予每个应用程序团队帐户对其自己的存储库的完全读写权限。

D. 在共享服务帐户中创建一个存储库。授予您的组织对共享服务帐户存储库的读取权限。在每个应用程序团队存储库中，将存储库设置为上游存储库。

E. 对于需要共享包的团队，创建一个基于资源的策略，允许从其他应用程序团队的帐户读取存储库。

F. 将其他应用程序团队的存储库设置为上游存储库。

答案：BCD

解释：
B：建立共享服务账户的集中域，为组织提供对公共库的访问。
D：在共享服务账户中为公共库创建存储库，允许整个组织的读取权限，并配置上游存储库。
C：在每个团队的帐户中创建单独的存储库，并授予他们完全访问权限来管理他们自己的包。

263 / 363

No.263
一家公司在 Amazon EC2 实例上部署了一个应用程序。该应用程序运行 Amazon Linux 2 并使用 AWS CodeDeploy。应用程序代码库的文件结构将如下所示：
appspec.yml
config/config.txt
application/web

263. appspec.yml 文件的 files 部分包含以下内容：

文件：
- 来源：config/config.txt
目的地：/usr/local/src/config.txt
- 酱汁： /
目的地：/var/www/html

部署 config.txt 文件的结果是什么？

A. config.txt文件仅部署到/var/www/html/config/config.txt。

B. config.txt 文件将被部署到 /usr/local/src/config.txt 和 /var/www/html/config/config.txt。

C. config.txt文件仅部署到/usr/local/src/config.txt。

D. config.txt文件部署到/usr/local/src/config.txt和/var/www/html/application/web/config.txt。

答案：B

解释：
根据第一个映射，config/config.txt 文件被复制到 /usr/local/src/config.txt。

整个源目录（/）也映射到/var/www/html，因此 config/config.txt 也被复制到/var/www/html/config/config.txt。

264 / 363

264.

No.264
一家公司使用公共上游存储库建立了 AWS CodeArtifact 存储库。该公司的开发团队使用位于公司内部网络上的存储库的开源依赖项。
该公司的安全团队最近在开发团队使用的最新版本的软件包中发现了一个严重的漏洞。安全团队已经创建了补丁版本来修复该漏洞。公司应该阻止下载有漏洞的版本。公司应该允许其安全团队发布修补版本。
哪些步骤组合可以满足这些要求？（选择两个）

A. 将受影响的 CodeArtifact 包版本的状态更新为未发布。

B. 将受影响的 CodeArtifact 包版本的状态更新为已删除。

C. 将受影响的 CodeArtifact 包版本的状态更新为 Archive。

D.更新 CodeArtifact 包的原始控制设置以允许直接发布并阻止上游操作。

E. 更新 CodeArtifact 包的来源控制设置以阻止直接发布并允许上游操作。

答案：CD

解释：

A - 私密并不阻止下载

B - 删除了无效的代码工件包版本状态

C - 已存档，无法下载

https://docs.aws.amazon.com/codeartifact/latest/ug/packages-overview.html#package-version-status

265 / 363

265.

No.265
一家公司运行一个处理记录的定制应用程序。所有组件都在 Auto Scaling 组中运行的 Amazon EC2 实例上运行。处理每条记录是一项计算密集型、多步骤、连续的操作。每个步骤总是需要不到 5 分钟的时间来完成。
当前系统的一个限制是，如果任何步骤失败，应用程序必须从头开始重新处理记录。该公司希望更新其架构，以便应用程序仅重新处理失败的步骤。
满足这些要求且最具运营效率的解决方案是什么？

A.创建一个将记录写入 Amazon S3 的 Web 应用程序。使用 S3 事件通知发布到 Amazon Simple Notification Service (Amazon SNS) 主题。使用 EC2 实例轮询 Amazon SNS 并启动处理。将中间结果存储在Amazon S3中并传递给下一步。

B. 使用应用程序内的逻辑执行处理步骤。将您的应用程序代码转换为在容器中运行。使用 AWS Fargate 管理您的容器实例。配置容器来调用自身并将状态从一个步骤传递到下一个步骤。

C. 创建一个将记录放入 Amazon Kinesis 数据流的 Web 应用程序。使用 Kinesis 数据流和 AWS Lambda 函数来分离处理。

D. 创建一个将记录传递给 AWS Step Functions 的 Web 应用程序。将处理分为 Step Functions 任务和 AWS Lambda 函数。

答案：D

解释：
Step Functions 和 Lambda：
- 任务分离
- 错误处理和重试逻辑
- 状态管理

266 / 363

266.

No.266
一家公司正在将本地 Windows 和 Linux 应用程序迁移到 AWS。该公司使用自动化启动 Amazon EC2 实例来镜像其内部部署配置。迁移的应用程序需要使用 Windows 的 SMB 和 Linux 的 NFS 访问共享存储。
该公司还正在另一个 AWS 区域创建试点灾难恢复 (DR) 环境。该公司使用自动化在 DR 区域启动和配置 EC2 实例。公司需要将存储复制到 DR 区域。
哪种存储解决方案可以满足这些要求？

A.使用 Amazon S3 进行应用程序存储。在主区域创建一个 S3 存储桶，在 DR 区域创建一个 S3 存储桶。配置从主区域到 DR 区域的 S3 跨区域复制 (CRR)。

B. 使用 Amazon Elastic Block Store (Amazon EBS) 进行应用程序存储。在 AWS Backup 中创建一个备份计划，在主区域中创建 EBS 卷的快照并将该快照复制到 DR 区域。

C.使用 AWS Storage Gateway 的卷网关进行应用程序存储。为卷网关配置从主区域到 DR 区域的跨区域复制 (CRR)。

D. 使用 Amazon FSx for NetApp ONTAP 进行应用程序存储。在 DR 区域中创建 FSx for ONTAP 实例。配置从主区域到 DR 区域的 NetApp SnapMirror 复制。

答案：D

解释：
Amazon FSx for NetApp ONTAP 支持使用网络文件系统 (NFS)、服务器消息块 (SMB)、互联网小型计算机系统接口 (iSCSI) 和非易失性内存快速 (NVMe) 协议进行多协议数据访问
https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/what-is-fsx-ontap.html#features-overview

267 / 363

267.

No.267
一家公司的应用程序使用一组 Amazon EC2 按需实例来分析和处理数据。 EC2 实例位于 Auto Scaling 组中。 Auto Scaling 组是应用程序负载均衡器 (ALB) 的目标组。该应用程序分析不能容忍中断的关键数据。它还分析可以容忍中断的非关键数据。
关键任务数据分析需要快速扩展以满足实时应用需求。非平凡的数据分析会消耗内存。 DevOps 工程师需要实施可减少关键数据的扩展延迟的解决方案。该解决方案还必须处理非关键数据。
哪些步骤组合可以满足这些要求？（选择两个）

A.对于关键数据，修改现有的 Auto Scaling 组。创建一个已停止的热池实例。定义温池的大小。创建新版本的启动模板并启用详细监控。使用 Spot 实例。

B.对于关键数据，修改现有的Auto Scaling组。创建一个已停止的热池实例。定义温池的大小。创建新版本的启动模板并启用详细监控。使用按需实例。

C. 修改现有的 Auto Scaling 组以获取关键数据。创建生命周期钩子以确保引导脚本成功完成。在注册实例之前，请确保实例上的应用程序已准备好接受流量。创建新版本的启动模板并启用详细监控。

D.对于非关键数据，创建使用启动模板的第二个 Auto Scaling 组。配置启动模板以安装统一的 Amazon CloudWatch 代理，并使用自定义内存利用率指标配置 CloudWatch 代理。使用 Spot 实例。将新的 Auto Scaling 组添加为 ALB 的目标组。修改您的应用程序以使用两个目标组：一个用于关键数据，一个用于非关键数据。

E. 为非关键数据创建第二个 Auto Scaling 组。为目标跟踪扩展策略选择预定义的内存利用率指标类型。使用 Spot 实例。将新的 Auto Scaling 组添加为 ALB 的目标组。修改应用程序以使用两个目标组：关键数据和非关键数据。

答案：BD

解释：
选项 B（对于关键数据）：创建一个温池并使用按需实例实现快速扩展和低延迟扩展需求。

选项 D（针对非关键数据）：使用基于内存的扩展策略的 Spot 实例来有效处理非关键数据。

268 / 363

268.

No.268
一家公司最近将其应用程序迁移到使用 Amazon EC2 实例的 Amazon Elastic Kubernetes Service (Amazon EKS) 集群。该公司将其应用程序配置为根据 CPU 利用率自动扩展。
应用程序在高负载下会产生内存错误。此外，应用程序的扩展能力不足以处理增加的负载。该公司需要随着时间的推移收集和分析其应用程序的内存指标。
哪些步骤组合可以满足这些要求？（选择三项）

A.将 CloudWatchAgentServerPolicy 管理的 IAM 策略附加到您的集群使用的 IAM 实例配置文件。

B. 将 CloudWatchAgentServerPolicy 管理的 IAM 策略附加到集群的服务账户角色。

C. 将集成的 Amazon CloudWatch 代理部署到集群中现有的 EC2 实例以收集性能指标。将代理添加到集群中添加的任何新 EC2 实例的 AMI。

D. 将 AWS Distro for OpenTelemetry 收集器部署为 DaemonSet 来收集性能日志。

E.使用服务维度分析 ContainerInsights 命名空间中的 pod_memory_utilization Amazon CloudWatch 指标。

F.使用 ClusterName 维度分析 ContainerInsights 命名空间中的 node_memory_utilization Amazon CloudWatch 指标。

答案：ACE

解释：
答：此策略授予 Amazon CloudWatch 代理从 EC2 实例收集和发布指标所需的权限。
C.统一的 Amazon CloudWatch 代理可以收集 CPU 和内存利用率指标。一旦部署，这将允许您捕获 EKS 集群中所有 EC2 实例的内存指标。
E. pod_memory_utilization 指标提供了有关 pod 级别内存使用情况的详细信息

B.服务账户角色与在需要 AWS 权限的 Kubernetes pod 内运行的应用程序相关。
D. 不相关
F 节点级指标没有提供有效诊断 pod 级内存问题所需的详细程度

269 / 363

269.

No.269
一家公司的视频流平台在多个国家/地区的每日使用量从 10,000 名用户增加到 50,000 名用户。该公司在 Amazon Elastic Kubernetes Service (Amazon EKS) 上部署了其流媒体平台。在观看高峰时段，EKS 工作负载可扩展到数千个节点。
该公司的用户报告了未经授权登录的情况。也有报道称，该平台突然中断并被退出。
该公司希望在其平台上增加安全措施。他们还需要一目了然地了解整个 AWS 环境中的资源行为和交互。摘要视图应显示登录尝试、API 调用和网络流量。该解决方案必须能够进行网络流量分析，同时最大限度地减少日志管理开销。您的解决方案还应该快速调查与您的 EKS 工作负载相关的任何潜在恶意行为。
哪种解决方案可以满足这些要求？

A. 启用 Amazon GuardDuty 进行 EKS 审计日志监控。启用 AWS CloudTrail 日志记录。将 EKS 审计日志和 CloudTrail 日志文件存储在 Amazon S3 存储桶中。使用 Amazon Athena 创建外部表。使用 Amazon QuickSight 创建仪表板。

B. 启用 Amazon GuardDuty 进行 EKS 审计日志监控。在您公司的 AWS 账户中启用 Amazon Detective。从 Detective 可选源包启用 EKS 审计日志记录。

C.启用 Amazon CloudWatch Container Insights。启用 AWS CloudTrail 日志记录。将 EKS 审计日志和 CloudTrail 日志文件存储在 Amazon S3 存储桶中。使用 Amazon Athena 创建外部表。使用 Amazon QuickSight 创建仪表板。

D. 启用 Amazon GuardDuty 进行 EKS 审计日志监控。启用 Amazon CloudWatch Container Insights 和 VPC Flow Logs。启用 AWS CloudTrail 日志记录。

答案：B

解释：
Amazon Detective 通过生成表示资源随时间推移的行为和交互的数据可视化来帮助您快速分析和调查一个或多个 AWS 账户中的安全事件。 Detective 提供 GuardDuty 发现的可视化。
https://docs.aws.amazon.com/guardduty/latest/ug/detective-integration.html

Amazon EKS 审计日志是一个可选的数据源包，可以添加到 Detective 的行为图中。
https://docs.aws.amazon.com/detective/latest/userguide/source-data-types-EKS.html

270 / 363

270.

No.270
一家公司使用 AWS Organizations 来管理数百个 AWS 账户。该公司有一个负责 AWS 身份和访问管理 (IAM) 的团队。
IAM 团队希望实施 AWS IAM Identity Center（AWS Single Sign-On）。 IAM 团队只需要管理 IAM 身份中心所需的最低权限。您的 IAM 团队必须确保没有人能够获得对组织管理账户的不必要访问权限。您的 IAM 团队需要能够为现有和新成员账户配置新的 IAM 身份中心权限集和分配。
哪些步骤组合可以满足这些要求？（选择三项）

A. 为 IAM 团队创建一个新的 AWS 账户。在新账户中，启用 IAM 身份中心。在组织管理账户中，将新账户注册为 IAM 身份中心的委派管理员。

B. 为 IAM 团队创建一个新的 AWS 账户。在您的组织管理账户中，启用 IAM 身份中心。在组织管理账户中，将新账户注册为 IAM 身份中心的委派管理员。

C. 在 IAM 身份中心创建 IAM 团队用户和组。将用户添加到组。创建一个新的权限集。将 AWSSSODirectoryAdministrator 管理的 IAM 策略附加到该组。

D. 在 IAM 身份中心，创建 IAM 团队用户和组。将用户添加到组。创建一个新的权限集。将 AWSSSOMemberAccountAdministrator 托管 IAM 策略附加到该组。

E. 将权限集分配给组织管理员账户。使权限集可供 IAM 团队组使用。

F.将权限集分配给新的 AWS 账户。使权限集可供 IAM 团队组使用。

答案：ADF

解释：
确保 IAM 团队在他们自己的账户内运作，将权限和活动与组织的管理账户隔离。
D 为 IAM 团队提供跨成员账户管理 IAM 身份中心所需的权限，而无需授予更广泛的访问权限。
*请注意，AWSSSODirectoryAdministrator 策略授予的权限超出了必要的范围。
F.确保 IAM 团队在指定账户内拥有必要的权限

B.“IAM 团队需要确保没有人能够获得对组织管理账户的不必要访问权限”=> 因此，B 不正确
C 违反了最小特权原则。
应避免使用 E，以防止 IAM 团队获得不必要的访问权限。

271 / 363

271.

No.271
一家公司在 AWS Organizations 中有一个组织，并启用了所有功能。该公司在其主账户中使用 AWS Backup，并使用 AWS Key Management Service (AWS KMS) 密钥加密备份。
该公司需要自动对主账户中由 AWS Backup 备份的资源进行跨账户备份。该公司使用组织管理账户配置跨账户备份。该公司为其组织创建了一个新的 AWS 账户，并在新账户中配置了一个 AWS Backup 备份库。该公司在新账户中创建 KMS 密钥来加密备份。最后，企业在主账户中配置新的备份计划。您的新备份计划将保存到新帐户的备份库中。
在主账户中调用 AWS Backup 作业时，该作业会在主账户中创建备份。但是，您的备份不会被复制到新帐户中的备份库中。
要将备份复制到新帐户中的备份库，必须执行哪些步骤组合？（选择两个）

A. 编辑新账户的备份保险库访问策略以允许访问主账户。

B. 编辑主账户的备份保险库访问策略以允许新账户访问。

C. 编辑主账户的备份保管库访问策略，以允许访问新账户的 KMS 密钥。

D. 编辑主账户中的KMS密钥的密钥策略，与新账户共享密钥。

E. 编辑新账户中的KMS密钥的密钥策略，与主账户共享密钥。

答案：A.D.

解释：
https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html

在目标账户中，您需要创建一个备份保管库。接下来，您分配一个客户管理密钥来加密目标账户中的备份，并分配一个基于资源的访问策略，允许 AWS Backup 访问您要复制的资源。在源账户中，如果资源使用客户管理密钥加密，则必须与目标账户共享此客户管理密钥。然后，您可以创建备份计划并选择属于 AWS Organizations 中组织单位的目标账户。

272 / 363

272.

No.272
一家公司运行一款使用 Amazon S3 存储桶存储图像的应用程序。 DevOps 工程师需要为存储在 S3 存储桶中的对象实施多区域策略。该公司需要能够故障转移到另一个 AWS 区域的 S3 存储桶。当将图像添加到任何 S3 存储桶时，必须在 15 分钟内将其复制到另一个 S3 存储桶。
DevOps 工程师启用 S3 存储桶之间的双向复制。
DevOps 工程师接下来应该采取哪些步骤组合来满足要求？（选择三个。）

A. 在每个复制规则上启用 S3 复制时间控制 (S3 RTC)。

B. 在主动/被动配置中创建 S3 多区域接入点。

C. 如果您的公司需要故障转移到另一个区域的 S3 存储桶，则可以调用 AWS API 中的 SubmitMultiRegionAccessPointRoutes 操作。

D. 在两个 S3 存储桶上启用 S3 传输加速。

E. 在 Amazon Route 53 恢复控制器中配置路由控制。在主动/被动配置中添加 S3 存储桶。

F.如果您的公司需要故障转移到另一个区域的 S3 存储桶，则可以调用 AWS API 中的 UpdateRoutingControlStates 操作。

答案：ABC

解释：
A. 在每个复制规则上启用 S3 复制时间控制 (S3 RTC)。这可确保 99.99% 的对象在 15 分钟内被复制。

B. 在主动/被动配置中创建 S3 多区域接入点。这对于管理跨不同 AWS 区域的多个 S3 存储桶的数据访问和促进故障转移非常重要。

C. 如果您的公司需要故障转移到另一个区域的 S3 存储桶，则可以调用 AWS API 中的 SubmitMultiRegionAccessPointRoutes 操作。此操作更新路由以将流量引导至指定的 S3 存储桶并启用故障转移。

273 / 363

No.273
一家公司使用 AWS 云开发工具包 (AWS CDK) 来定义其应用程序。该公司使用由 AWS CodePipeline 和 AWS CodeBuild 组成的管道部署 CDK 应用程序。
该公司希望将单元测试引入其流程来测试各种基础设施组件。该公司希望确保如果没有单元测试失败，部署就能继续。
哪些步骤组合可以强制执行管道中的测试要求？（选择两个。）

273.

A. 在部署应用程序之前，更新您的 CodeBuild 构建阶段命令以运行测试。将 OnFailure 阶段属性设置为 ABORT。

B. 更新 CodeBuild 构建阶段命令以在部署应用程序之前运行测试。将 --rollback true 标志添加到您的 cdk deploy 命令。

C. 更新 CodeBuild 构建阶段命令以在部署应用程序之前运行测试。将 --require-approval any-change 标志添加到您的 cdk deploy 命令。

D. 编写一个使用 AWS CDK 断言模块的测试。使用 template.hasResourceProperties 断言来测试资源是否具有预期属性。

E. 编写一个使用 cdk diff 命令的测试。如果资源发生变化，则配置测试失败。

答案：A.D.

解释：
选项 A: <OnFailure 阶段>
- 在此选项中，您可以配置 CodeBuild 构建阶段以在部署之前运行测试。如果测试失败，将 OnFailure 阶段属性设置为 ABORT 将停止构建过程并且不会继续部署。
- 这确保只有测试成功后，构建和部署过程才会继续。这对于维护应用程序的完整性非常重要。

选项 D: <CDK 断言>
- 在此选项中，您可以使用 AWS CDK 断言模块编写单元测试。 template.hasResourceProperties 断言检查 CloudFormation 模板是否具有带预期属性的资源，确保基础设施的逻辑正确性。
- 通过检查您的 CloudFormation 模板是否具有预期属性来强制进行单元测试，确保您的应用程序基础设施符合预期。

274 / 363

274.

No.274
一家公司在应用程序负载均衡器 (ALB) 后面的 Amazon EC2 实例上运行一个应用程序。 EC2 实例位于多个可用区域。该应用程序在一个可用区域中配置错误，导致部分应用程序中断。
DevOps 工程师实施了一些变更，以确保一个可用区中不健康的 EC2 实例不会影响其他可用区中健康的 EC2 实例。 DevOps 工程师需要测试应用程序故障转移并更改 ALB 发送流量的位置。在故障转移期间，ALB 不得将流量发送到故障的可用区。
哪种解决方案可以满足这些要求？

A.关闭 ALB 中的跨区域负载平衡。使用 Amazon Route 53 应用程序恢复控制器启动从一个可用区到另一个可用区的区域转移。

B. 关闭 ALB 目标组中的跨区域负载平衡。使用 Amazon Route 53 应用程序恢复控制器启动从一个可用区到另一个可用区的区域转移。

C. 创建使用 ALB 的 DNS 主机名的 Amazon Route 53 应用程序恢复控制器资源集。从可用区域启动一组资源的区域转移。

D. 创建使用 ALB 目标组的 ARN 的 Amazon Route 53 应用程序恢复控制器资源集。创建使用 ElbV2TargetGroupsCanServeTraffic 规则的就绪情况检查。

答案：A

解释：
对我来说，正确答案是 A：“请注意，要使用此功能，您必须关闭 Elastic Load Balancing 资源上的跨区域负载平衡。”
https://docs.aws.amazon.com/r53recovery/latest/dg/arc-zonal-shift.html

275 / 363

275.

No.275
一家公司将 AWS 网络防火墙流日志发送到 Amazon S3 存储桶。然后我们使用 Amazon Athena 分析流日志。
在将流日志传送到您现有的 S3 存储桶之前，需要对其进行转换并添加数据。
哪种解决方案可以满足这些要求？

A. 创建一个 AWS Lambda 函数，转换数据并将新对象写入现有的 S3 存储桶。为现有 S3 存储桶配置带有 S3 触发器的 Lambda 函数。将事件类型指定为所有对象创建事件。检查递归调用。

B. 在现有 S3 存储桶上启用 Amazon EventBridge 通知。创建自定义 EventBridge 事件总线。创建与您的自定义事件总线关联的 EventBridge 规则。配置规则以对现有 S3 存储桶中的所有对象创建事件做出反应并调用 AWS Step Functions 工作流。配置 Step Functions 任务来转换数据并将数据写入新的 S3 存储桶。

C. 创建与默认 EventBridge 事件总线关联的 Amazon EventBridge 规则。配置规则以对现有 S3 存储桶的所有对象创建事件做出反应。将新的 S3 存储桶定义为规则的目标。创建 EventBridge 输入转换以在将事件传递给规则目标之前对其进行自定义。

D. 创建配置了 AWS Lambda 转换器的 Amazon Kinesis Data Firehose 传输流。指定现有的 S3 存储桶作为目标。将您的网络防火墙日志目标从 Amazon S3 更改为 Kinesis Data Firehose。

答案：D

解释：
Amazon Kinesis Data Firehose：
Kinesis Data Firehose 专为实时流数据传输和转换而设计。您可以提取数据，使用 Lambda 函数处理数据，并将转换后的数据传送到 Amazon S3、Redshift 或 Elasticsearch 等目的地。
https://aws.amazon.com/firehose/faqs/

AWS Lambda Transformer：
通过将 Lambda 函数配置为 Kinesis Data Firehose 中的转换器，您可以实现自定义逻辑来转换流日志并在将日志写入现有 S3 存储桶之前添加所需的任何其他数据。

276 / 363

276.

No.276
DevOps 工程师需要将集成测试实施到 Amazon Elastic Container Service (Amazon ECS) 服务的现有 AWS CodePipeline CI/CD 工作流中。 CI/CD 工作流从 AWS CodeCommit 存储库检索新的应用程序代码并构建容器映像。然后，Cl/CD 工作流将使用新映像标签版本的容器映像上传到 Amazon Elastic Container Registry (Amazon ECR)。
您的集成测试应该验证新版本的服务端点是否可以访问，以及各种 API 方法是否返回成功的响应数据。 DevOps 工程师已经创建了一个 ECS 集群来测试该服务。
哪些步骤组合可以满足这些要求，同时最大限度地减少管理开销？（选择三个）

A.向您的管道添加部署阶段。将 Amazon ECS 配置为操作提供程序。

B. 向管道添加部署阶段。将 AWS CodeDeploy 配置为操作提供程序。

C. 将 appspec.yml 文件添加到您的 CodeCommit 存储库。

D. 更新您的图像构建管道阶段以输出引用新图像标签的 imagedefinitions.json 文件。

E. 创建一个 AWS Lambda 函数，执行连接检查和对服务的 API 调用。使用 Lambda 操作阶段将 Lambda 函数与 CodePipeline 集成。

F. 创建一个脚本来针对服务运行集成测试。将脚本上传到 Amazon S3 存储桶。使用 S3 操作阶段将 S3 存储桶中的脚本与 CodePipeline 集成。

答案：ADE

解释：
关键字：最低管理开销

A.向您的管道添加部署阶段。将 Amazon ECS 配置为操作提供程序。
- 将您的容器镜像直接部署到 ECS，确保您的服务使用最新代码进行更新，而不会产生不必要的复杂性。

D. 更新您的图像构建管道阶段以输出引用新图像标签的图像 definitions.json 文件。

- 需要 ECS 识别和部署新的映像版本并促进自动更新。

E. 创建一个 AWS Lambda 函数，执行连接检查和对服务的 API 调用。使用 Lambda 操作阶段将 Lambda 函数与 CodePipeline 集成。
- 利用 AWS Lambda 的无服务器功能为运行集成测试提供低管理解决方案。

277 / 363

277.

No.277
一家公司在 Windows 和 Linux Amazon EC2 实例上运行应用程序。这些实例在 AWS 区域内的多个可用区中运行。该公司对每个应用程序都使用 Auto Scaling 组。
该公司需要为其实例提供高度耐用的存储解决方案。此解决方案需要对于 Windows 使用 SMB 以及对于 Linux 使用 NFS。该解决方案的延迟还必须小于 1ms。所有实例都读取和写入数据。
哪些步骤组合可以满足这些要求？（选择三个）

A. 创建一个具有多个可用区域目标的 Amazon Elastic File System (Amazon EFS) 文件系统。

B. 创建 Amazon FSx for NetApp ONTAP Multi-AZ 文件系统。

C. 创建通用 SSD (gp3) Amazon Elastic Block Store (Amazon EBS) 卷用于共享存储。

D. 更新每个应用程序的启动模板中的用户数据以挂载文件系统。

E. 在每个 Auto Scaling 组中执行实例刷新。

F. 更新每个应用程序的 EC2 实例，以便在启动新实例时挂载文件系统。

答案：BDE

解释：
为了满足场景要求，公司必须采取以下步骤：

创建 Amazon FSx for NetApp ONTAP Multi-AZ 文件系统（选项 B）：Amazon FSx for NetApp ONTAP 同时支持 SMB（适用于 Windows）和 NFS（适用于 Linux），并提供亚毫秒级延迟。它还支持多可用区配置，以实现高可用性和耐用性。
更新每个应用程序启动模板中的用户数据以挂载文件系统（选项 D）：这会将文件系统挂载在 Auto Scaling 组启动的所有新实例上。
在每个 Auto Scaling 组上运行实例刷新（选项 E）：这将使用新的启动模板配置更新现有实例并挂载文件系统。

278 / 363

278.

No.278
一家公司使用 AWS Organizations 内由其安全和 DevOps 团队管理的组织。两个团队都使用 AWS IAM Identity Center 访问他们的账户。
每个团队都创建了一个专门的小组。 DevOps 团队的组被分配了一个名为 DevOps 的权限集。权限集附加了 AdministratorAccess 管理的 IAM 策略。该权限集适用于组织内的所有账户。
安全团队不希望 DevOps 团队访问组织管理账户的 IAM 身份中心。安全团队已将以下 SCP 附加到组织的根目录：
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyIAMIdentityCenter",
"Effect": "Deny",
"Action": [
"sso:*",
"sso-directory:*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalARN": [
"arn:aws:iam::*:role/AWSReservedSSO_DevOps_*"
]
}
}
}
]
}
实施该策略后，安全团队发现 DevOps 团队仍然可以访问 IAM 身份中心。
哪种解决方案可以解决您的问题？

A. 在您组织的管理帐户中，创建一个新的 OU。将您组织的管理帐户移至新的 OU。将 SCP 与组织根分离。将 SCP 附加到新的 OU。

B. 在组织的管理账户中，将 SCP 条件引用更新为 DevOps 团队组角色的 ARN，以包含组织管理账户的 AWS 账户 ID。

C. 在 IAM 身份中心，创建一个新的权限集。确保分配的策略具有完全访问权限，但明确拒绝 sso:* 和 sso-directory:* 操作的权限。在您组织的管理帐户中，更新分配给您的 DevOps 团队的组角色的权限集。删除 SCP。

D. 在 IAM 身份中心，更新 DevOps 权限集。确保分配的策略具有完全访问权限，但明确拒绝 sso:* 和 sso-directory:* 操作的权限。在 Deny 语句中，添加一个 StringEquals 条件，将 aws:SourceAccount 全局条件上下文键与组织的管理账户 IDelete 进行比较。删除 SCP。

答案：D

解释：
A 和 B 不起作用。 SCP 不适用于管理帐户。
https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html
最佳做法是限制对管理帐户的访问或将单独的成员帐户委托给 Identity Centro。但是，这不是这些答案中的选项，因此限制权限集是次佳选择。

279 / 363

279.

No.279
Amazon EC2 Auto Scaling 组管理从 AMI 创建的 EC2 实例。 AMI 附带安装的 AWS Systems Manager Agent。当 EC2 实例启动到 Auto Scaling 组时，标签将应用于 EC2 实例。
Auto Scaling 组启动的 EC2 实例必须具有正确的操作系统配置。
哪种解决方案可以满足这些要求？

A. 创建一个 Systems Manager Run Command 文档来配置所需的实例配置。配置 Systems Manager Compliance，以在 EC2 实例不符合最新补丁时调用 Run Command 文档。

B. 创建一个链接到系统管理器命令文档的系统管理器状态管理器关联。创建一个立即运行的标签查询。

C. 创建一个指定所需实例配置的 Systems Manager Run Command 任务。在 Systems Manager 维护窗口中创建每日维护窗口。为维护窗口注册一个运行命令任务。指定目标。

D. 创建使用与 Auto Scaling 组应用的相同标签的 Systems Manager Patch Manager 补丁基线和补丁组。将补丁组注册到补丁基线。定义一个 Systems Manager 命令文档来修补您的实例。使用 Systems Manager Run Command 调用该文档。

答案：B

解释：
选项 B：创建一个链接到系统管理器命令文档的系统管理器状态管理器关联。创建一个立即运行的标签查询。

原因如下：

状态管理器使您能够定义并维护实例的一致配置。通过创建链接到命令文档的关联，您可以确保在启动实例时立即应用所需的配置。
标签查询可确保根据 Auto Scaling 组应用的标签将配置应用于正确的实例。

280 / 363

280.

No.280
一家公司使用 AWS Organizations 来管理其 AWS 账户。组织根有一个名为“部门”的子 OU。部门 OU 有一个名为“工程”的子 OU。默认的 FullAWSAccess 策略附加到根、部门 OU 和工程 OU。
该公司在工程 OU 中拥有多个 AWS 账户。每个账户都有一个管理 IAM 角色，并附加了 AdministratorAccess IAM 策略。每个账户还附加一个默认的 FullAWSAccessPolicy。
一名 DevOps 工程师计划从部门 OU 中删除 FullAWSAccess 策略。 DevOps 工程师将该策略替换为包含所有 Amazon EC2 API 操作的允许语句的策略。
这一变化会导致 Admin 1AM 角色的权限发生什么变化？

A. 允许对所有资源执行所有 API 操作。

B. 允许对 EC2 资源执行所有 API 操作。所有其他 API 操作均被拒绝。

C. 所有资源上的所有 API 操作都被拒绝。

D.针对 EC2 资源的所有 API 操作都被拒绝。允许所有其他 API 操作。

答案：B

解释：
如果将 FullAWSAccess 策略替换为仅允许 EC2 操作的策略，则此新的 SCP 充当边界。即使您账户中的 IAM 角色或用户拥有更广泛的权限（例如 AdministratorAccess），SCP 也会限制他们可以执行的操作。

281 / 363

281.

No.281
一家公司在 AWS Organizations 中管理其 AWS 账户。该公司需要一个解决方案，将 Amazon CloudWatch Logs 数据发送到专用 AWS 账户中的 Amazon S3 存储桶。该解决方案必须支持所有现有和未来的 CloudWatch Logs 日志组。
哪种解决方案可以满足这些要求？

A. 启用组织备份策略，将所有日志组备份到专用的 S3 存储桶。添加一个 S3 存储桶策略，允许从属于您公司的所有账户进行访问。

B. 在 AWS Backup 中创建备份计划。指定专用的 S3 存储桶作为您的备份保管库。将所有 CloudWatch Logs 日志组资源分配给备份计划。在备份计划中为属于您公司的所有账户创建资源分配。

C. 在 AWS Backup 中创建备份计划。指定专用的 S3 存储桶作为您的备份保管库。将所有现有日志组分配给备份计划。在备份计划中为属于您公司的所有账户创建资源分配。创建 AWS Systems Manager Automation 运行手册，将日志组分配给备份计划。为所有不合规日志组创建具有自动补救措施的 AWS Config 规则。指定运行手册作为规则的目标。

D. 在专用 AWS 账户中创建 CloudWatch Logs 目标和 Amazon Kinesis Data Firehose 传输流。指定一个 S3 存储桶作为传输流的目标。在所有账户的所有现有日志组上创建订阅过滤器。创建一个调用 CloudWatch Logs PutSubscriptionFilter API 操作的 AWS Lambda 函数。创建一个 Amazon EventBridge 规则，当发生 CreateLogGroup 事件时调用 Lambda 函数。

答案：D

解释：
C 似乎是最优雅的解决方案，但我找不到任何支持它的文档。

对于选项 D，我找到了此链接 - https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SubscriptionFilters.html#FirehoseExample

282 / 363

282.

No.282
一名 DevOps 工程师管理着一个基于 Java 的应用程序，该应用程序在 AWS Fargate 上的 Amazon Elastic Container Service (Amazon ECS) 集群上运行。该应用程序未配置自动缩放。
DevOps 工程师已经确定 Java 虚拟机 (JVM) 线程的数量是何时扩展应用程序的一个很好的指标。该应用程序在端口 8080 上为客户流量提供服务，并在端口 9404 上提供 JVM 指标。
最近，应用程序的使用有所增加。 DevOps 工程师需要为应用程序配置自动扩展。
哪种解决方案能够以最少的运营开销满足这些要求？（选择两个。）

A.将 Amazon CloudWatch 代理部署为容器侧车。配置 CloudWatch 代理以从端口 9404 检索 JVM 指标。要扩展您的应用程序，请在 JVM 线程数指标上创建 CloudWatch 警报。向 Fargate 添加步进扩展策略，以根据 CloudWatch 警报进行扩大或缩小。

B. 将 Amazon CloudWatch 代理部署为容器侧车。在 CloudWatch 代理的 CloudWatch 日志组中，为 JVM 线程数指标配置指标过滤器。在 Fargate 中添加目标跟踪策略。从指标过滤器中选择一个指标作为缩放目标。

C. 为 Prometheus 工作区创建 Amazon Managed Service。将 AWS Distro for OpenTelemetry 部署为容器侧车，以将 JVM 指标公开给端口 9404 上的 Prometheus 工作区。在您的工作区中配置规则，以使用 JVM 线程数指标扩展您的应用程序。在 Fargate 中添加分步扩展策略。选择可扩大和缩小的 Prometheus 规则。

D. 为 Prometheus 工作区创建 Amazon Managed Service。将 AWS Distro for OpenTelemetry 部署为容器侧车，以从端口 9404 捕获 JVM 指标，并将 JVM 指标从端口 9404 发布到 Prometheus 工作区。在 Fargate 中添加目标跟踪策略。选择 Prometheus 指标作为规模目标。

答案：A.D.

解释：
根据以下链接，A 和 D 都是可行的：
https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-step-scaling-policies.html
https://aws.amazon.com/blogs/containers/autoscaling-amazon-ecs-services-based-on-custom-metrics-with-application-auto-scaling/

283 / 363

283.

No.283
一家公司有一个在单个 AWS 区域运行的应用程序。该应用程序在 Amazon Elastic Kubernetes Service (Amazon EKS) 集群上运行并连接到 Amazon Aurora MySQL 集群。该应用程序是在 AWS CodeBuild 项目中构建的。容器镜像发布到 Amazon Elastic Container Registry (Amazon ECR)。
该公司需要将其容器镜像和数据库的应用程序状态复制到第二个区域。
哪种解决方案能够以最具运营效率的方式满足这些要求？

A. 在保存 ECR 容器映像的存储桶上打开 Amazon S3 跨区域复制 (CRR)。通过在 Kubernetes 部署文件中引用容器映像的新 S3 存储桶对象 URL，将您的应用程序部署到第二个区域中的 EKS 集群。在第二个区域配置跨区域 Aurora 副本。配置新的应用程序部署以使用跨区域 Aurora Replica 终端节点。

B. 创建一个 Amazon EventBridge 规则，对推送到 ECR 存储库的图像做出反应。配置 EventBridge 规则以调用 AWS Lambda 函数将图像复制到第二个区域中的新 ECR 存储库。通过在 Kubernetes 部署文件中引用新的 ECR 存储库，将您的应用程序部署到第二个区域的 EKS 集群。在第二个区域设置跨区域的 Aurora 副本。配置新的应用程序部署以使用跨区域 Aurora Replica 终端节点。

C. 开启跨区域复制，将 ECR 存储库复制到第二个区域。通过在 Kubernetes 部署文件中引用新的 ECR 存储库，将您的应用程序部署到第二个区域的 EKS 集群。设置具有第一和第二个区域的集群的 Aurora 全局数据库。配置新的应用程序部署以使用 Aurora 全局数据库中第二个区域中的集群的终端节点。

D.配置 CodeBuild 项目以将容器映像推送到第二个区域中的 ECR 存储库。通过在 Kubernetes 部署文件中引用新的 ECR 存储库，将您的应用程序部署到第二个区域的 EKS 集群。将第二个区域中的 Aurora MySQL 集群配置为从第一个区域中的 Aurora MySQL 集群进行二进制日志复制的目标。配置新的应用程序部署以使用第二个区域中的集群的端点。

答案：C

解释：
这就是为什么这是最具操作效率的：

• 最小的管理开销：AWS 管理 ECR 映像和 Aurora 数据库的复制。无需配置或维护任何额外的 Lambda 函数或 EventBridge 规则。

• 可扩展性：Aurora 全局数据库和 ECR 复制专为生产级系统而设计，可扩展到大型工作负载。

• 可靠性：该解决方案利用 AWS 原生功能，减少出现错误和运营中断的可能性。

284 / 363

284.

No.284
一家公司正在构建一个使用 AWS Lambda 函数处理数据的无服务器应用程序。
BeginResponse Lambda 函数初始化数据以响应特定的应用程序事件。该公司需要在 BeginResponse Lambda 函数执行后调用一些 Lambda 函数。每个 Lambda 函数都并行调用，并且仅依赖于 BeginResponse Lambda 函数的输出。每个 Lambda 函数都应该具有调用重试逻辑，以微调并发性而不会丢失数据。
哪种解决方案能够最有效地满足这些要求？

A.创建一个 Amazon Simple Notification Service (Amazon SNS) 主题。修改您的 BeginResponse Lambda 函数，以便在其完成执行之前发布到 SNS 主题。将执行 BeginResponse Lambda 函数后需要调用的所有 Lambda 函数订阅到 SNS 主题。将新的 Lambda 函数订阅到 SNS 主题。

B. 为 BeginResponse Lambda 函数运行后需要运行的每个 Lambda 函数创建一个 Amazon Simple Queue Service (Amazon SQS) 队列。将每个 Lambda 函数订阅到其自己的 SQS 队列。创建 Amazon Simple Notification Service (Amazon SNS) 主题。将每个 SQS 队列订阅到 SNS 主题。修改 BeginResponse 函数，使其在执行完毕后发布到 SNS 主题。

C. 为 BeginResponse Lambda 函数运行后需要运行的每个 Lambda 函数创建一个 Amazon Simple Queue Service (Amazon SQS) 队列。将 Lambda 函数订阅到 SQS 队列。对于每个 SQS 队列，创建一个 Amazon Simple Notification Service (Amazon SNS) 主题。将 SQS 队列订阅到 SNS 主题。修改 BeginResponse 函数，以便在函数执行完毕时发布到 SNS 主题。

D.创建 AWS Step Functions 标准工作流程。在工作流中设置状态以按顺序调用 Lambda 函数。创建 Amazon Simple Notification Service (Amazon SNS) 主题。修改您的 BeginResponse Lambda 函数，以便在 Lambda 函数完成执行之前发布到 SNS 主题。创建一个订阅 SNS 主题并调用 Step Functions 工作流的新 Lambda 函数。

答案：B

解释：
B行为：

1. BeginResponse函数：处理完成后，发布到单个SNS主题。

2. SNS 扇出：SNS 主题将消息发送到多个 SQS 队列，每个依赖的 Lambda 函数一个。

3. SQS 队列和 Lambda：每个 Lambda 函数都订阅自己的 SQS 队列并独立处理消息。

4. 重试和并发：SQS 队列允许在处理失败时重试消息，并可以限制每个队列的 Lambda 并发。

285 / 363

285.

No.285
一家公司从多个 AWS 区域运营一个全球分布的产品。该公司的 DevOps 团队需要使用 Amazon API Gateway 来部署支持该产品的 API。
API 应该冗余部署。部署必须提供独立于每个企业位置的可用性。您的部署需要响应自定义域 URL，还需要优化 API 用户请求的性能。
哪种解决方案可以满足这些要求？

A. 在 us-east-1 区域部署 API 网关边缘优化 API 端点。为您的 API 创建 API 网关自定义域。为您的 API 的自定义域创建具有地理邻近度路由策略的 Amazon Route 53 记录集。将地理偏差增加到允许的最大值。

B. 在 us-east-1 区域部署 API 网关区域 API 端点。将您的 API 网关 API 与公共应用程序负载均衡器 (ALB) 集成。创建 AWS Global Accelerator 标准加速器。将端点与 AL 关联。创建一个 Amazon Route 53 别名记录集，将您的自定义域名指向分配给您的加速器 (DNS) 名称。

C. 在公司产品部署的所有 AWS 区域部署 API 网关区域 API 端点。在每个区域中为已部署的 API 网关 API 创建一个 API 网关自定义域。为所有已部署的 API Gateway 自定义域创建具有延迟路由策略的 Amazon Route 53 记录集。

D. 在 us-east-1 区域部署 API 网关边缘优化 API 端点。创建 Amazon CloudFront 分发。使用备用域名配置 CloudFront 分发。将 API 网关调用 URL 指定为源域。使用简单的路由策略创建 Amazon Route 53 别名记录集。将路由策略指向CloudFront分发域名。

答案：C

解释：
1. **将 Amazon API Gateway 部署到多个区域**：
- 在多个 AWS 区域部署 API 网关，以确保冗余和独立可用性。
2. **为API网关配置自定义域名**：
- 在 API 网关中创建自定义域名并将其映射到每个区域的 API。
3. **使用 Amazon Route 53 进行全局 DNS 和基于延迟的路由**：
- 使用 Amazon Route 53 为您的自定义域创建全局 DNS 条目并配置基于延迟的路由以将用户请求定向到最近的 API 网关部署。

286 / 363

286.

No.286
DevOps 工程师经常使用 AWS CodeBuild 来创建软件包。 CodeBuild 项目构建了大规模 Docker 镜像，DevOps 工程师可以在多个构建中使用这些镜像。
DevOps 工程师希望提高构建性能并最大限度地降低成本。
哪种解决方案可以满足这些要求？

A. 将您的 Docker 镜像存储在 Amazon Elastic Container Registry (Amazon ECR) 存储库中。为 CodeBuild 实现本地 Docker 层缓存。

B. 将 Docker 镜像缓存在可供多个构建主机使用的 Amazon S3 存储桶中。使用 S3 生命周期策略来使缓存过期。

C. 将 Docker 映像存储在 Amazon Elastic Container Registry (Amazon ECR) 存储库中。更改 CodeBuild 项目的运行时配置以始终使用最新的图像版本。

D.创建包含缓存的 Docker 镜像的自定义 AMI。您的 CodeBuild 构建从您的自定义 AMI 启动 Amazon EC2 实例。

答案：A

解释：
1. Amazon ECR 用于集中存储：
• 将 Docker 映像存储在 Amazon ECR 中允许您在构建过程中维护和重复使用映像。通过减少重复重建基础图像的需要，这提高了构建性能。
• ECR 与 AWS CodeBuild 无缝集成，使其成为管理容器映像的可扩展、经济高效的解决方案。
2.本地Docker层缓存：
• Docker 层缓存通过避免重新下载和重新创建未改变的层，显著减少了构建时间。
• CodeBuild 支持启用类型为LOCAL_DOCKER_LAYER_CACHE 的本地缓存。该缓存将中间图像层本地存储在构建主机上，从而加快后续构建速度。

287 / 363

287.

No.287
最近，一家大公司收购了一家小企业。较大的企业邀请小型企业作为新的 OU 加入较大企业在 AWS Organizations 中的现有组织。
一位 DevOps 工程师确定一家小型企业需要为公司的应用程序工作负载启动 t3.small Amazon EC2 实例类型。中小型企业应仅在美国 AWS 区域内部署实例。
DevOps 工程师必须在新的小型企业 OU 中使用 SCP，以确保小型企业只能启动其所需的实例类型。
哪种解决方案可以满足这些要求？

A. 配置一个语句，如果 ec2:InstanceType 条件不等于 t3.small，则拒绝对所有 EC2 实例资源执行 ec2:RunInstances 操作。如果 aws:RequestedRegion 条件不等于 us-*，则配置另一个语句以拒绝针对所有 EC2 实例资源执行 ec2:RunInstances 操作。

B. 配置一个语句，当 ec2:InstanceType 条件不等于 t3.small 时，允许对所有 EC2 实例资源执行 ec2:RunInstances 操作。如果 aws:RequestedRegion 条件不等于 us-*，则配置另一个语句以允许对所有 EC2 实例资源执行 ec2:RunInstances 操作。

C. 配置一个语句，拒绝所有 ec2:InstanceType 条件等于 t3.small 的 EC2 实例资源的 ec2:RunInstances 操作。配置另一个语句，当 aws:RequestedRegion 条件等于 us-* 时，拒绝对所有 EC2 实例资源执行 ec2:RunInstances 操作。

D. 配置一个语句，当 ec2:InstanceType 条件等于 t3.small 时允许对所有 EC2 实例资源执行 ec2:RunInstances 操作。配置另一个语句，以在 aws:RequestedRegion 条件等于 us-* 时允许对所有 EC2 实例资源执行 ec2:RunInstances 操作。

答案：A

解释：
如果 ec2:InstanceType 条件不等于 t3.small，则拒绝对所有 EC2 实例资源执行 ec2:RunInstances 操作

如果 aws:RequestedRegion 条件不等于 us-*，则拒绝对所有 EC2 实例资源执行 ec2:RunInstances 操作

288 / 363

288.

No.288
DevOps 团队管理应用程序的基础设施。该应用程序使用长时间运行的进程来处理来自 Amazon Simple Queue Service (Amazon SQS) 队列的项目。该应用程序部署在 Auto Scaling 组中。
我们的应用程序最近遇到了一个问题，导致项目的处理时间变得更长。由于队列超出预期大小，各种业务流程停止正常运行。该应用程序将所有信息记录到第三方工具。
该团队目前订阅了用于警报的 Amazon Simple Notification Service (Amazon SNS) 主题。如果队列超出预期大小，则应向您的团队发送警报。
哪种解决方案能够最有效地满足这些要求？

A. 创建一个 Amazon CloudWatch 指标警报，周期为 1 小时，并设置一个静态阈值，当 approximationNumberOfMessagesDelayed 指标的平均值大于您的预期值时发出警报。设置闹钟来通知 SNS 主题。

B. 创建一个 Amazon CloudWatch 指标警报，周期为 1 小时，并设置一个静态阈值，当 approximationNumberOfMessagesVisible 指标的总和大于您的预期值时发出警报。设置闹钟来通知 SNS 主题。

C. 创建一个 AWS Lambda 函数，检索 preciseNumberOfMessages SQS 队列属性值并将该值发布为新的 CloudWatch 自定义指标。创建一个 Amazon EventBridge 规则，计划每 5 分钟运行一次并调用 Lambda 函数。配置一个 CloudWatch 指标警报，周期为一小时，并设置一个静态阈值，当新的自定义指标总和大于预期值时发出警报。

D. 创建一个 AWS Lambda 函数，检查 preciseNumberOfMessagesDelayed SQS 队列属性并将其值与函数中定义的预期大小进行比较。创建一个 Amazon EventBridge 规则，计划每 5 分钟运行一次并调用 Lambda 函数。当 SQS 队列属性 approximationNumberOfMessagesDelayed 超出预期大小时，向 SNS 主题发送通知。

答案：B

解释：
在CloudWatch警报和Lambda函数之间，CloudWatch警报的操作性更强。这里的关键点是approximateNumberOfMessagesVisible 对应于需要处理的消息数量，而approximateNumberOfMessagesDelayed 是队列中延迟且不能立即读取的消息数量。基于此，答案是 B。

289 / 363

289.

No.289
大型企业跨多个 AWS 账户运行关键工作负载。 AWS 账户在 AWS Organizations 中进行管理，所有功能均已启用。该公司将敏感的客户数据存储在 Amazon S3 存储桶中。访问 S3 存储桶需要多层授权。
该公司希望使用 AWS CLI 监控对其 S3 存储桶的访问。您还希望深入了解其他用户在您的 AWS 账户中的所有其他 S3 存储桶上执行的各种活动，以检测任何问题。
哪种解决方案可以满足这些要求？

A. 在每个 AWS 账户中创建一个 AWS CloudTrail 跟踪，并将其传送到 Amazon CloudWatch。为所有 S3 存储桶启用数据事件日志记录。使用 Amazon GuardDuty 对所有 AWS 账户进行异常检测。使用 Amazon Athena 针对从 CloudTrail 日志创建的自定义指标运行 SQL 查询。

B. 在 Organizations 管理账户中创建传送到 Amazon CloudWatch 的 AWS CloudTrail 组织跟踪。为所有 S3 存储桶启用数据事件日志记录。在您的所有 AWS 账户中使用 Amazon CloudWatch 异常检测。使用 Amazon Athena 针对从 CloudTrail 日志创建的自定义指标运行 SQL 查询。

C. 在 Organizations 管理账户中创建传送到 Amazon CloudWatch 的 AWS CloudTrail 组织跟踪。为所有 S3 存储桶启用数据事件日志记录。在您的所有 AWS 账户中使用 Amazon CloudWatch 异常检测。使用 Amazon CloudWatch Metrics Insights 针对从 CloudTrail 日志创建的自定义指标运行 SQL 查询。

D. 在每个 AWS 账户中创建一个 AWS CloudTrail 跟踪，并将其传送到 Amazon CloudWatch。为所有 S3 存储桶启用数据事件日志记录。使用自定义解决方案对所有 AWS 账户进行异常检测。使用 Amazon CloudWatch Metrics Insights 针对从 CloudTrail 日志创建的自定义指标运行 SQL 查询。

答案：C

解释：
Athena 只能查询 S3 存储桶，而不能查询 CloudWatch 指标。

290 / 363

290.

No.290
DevOps 团队正在为 Amazon Elastic Kubernetes Service (Amazon EKS) 集群上的应用程序部署微服务。该集群使用托管节点组。 DevOps 团队希望根据特定的 CPU 利用率实现微服务 pod 的自动扩展。 DevOps 团队已经在他们的集群上安装了 Kubernetes Metrics Server。
哪种解决方案能够以最具运营效率的方式满足这些要求？

A.编辑与 EKS 集群的工作节点关联的 Auto Scaling 组。配置您的 Auto Scaling 组以使用目标跟踪扩展策略，该策略在 Auto Scaling 组的平均 CPU 利用率达到一定百分比时进行扩展。

B. 将 Kubernetes 水平 Pod 自动扩缩器 (HPA) 和 Kubernetes 垂直 Pod 自动扩缩器 (VPA) 部署到您的集群。根据目标 CPU 利用率配置 HPA 以进行扩展。配置 VPA 以使用推荐模式设置。

C. 运行 AWS Systems Manager AWS-UpdateEKSManagedNodeGroup 自动化文档。根据您对所需节点大小的估计，更改 NodeGroupDesiredSize、NodeGroupMaxSize 和 NodeGroupMinSize 的值。

D. 将 Kubernetes Horizontal Pod Autoscaler（HPA）和 Kubernetes Cluster Autoscaler 部署到您的集群。根据目标 CPU 利用率配置 HPA 以进行扩展。配置 Cluster Autoscaler 以使用自动发现设置。

答案：D

解释：
为什么选项D是正确的：

水平 Pod 自动扩缩器（HPA）：
HPA 根据观察到的 CPU 或内存利用率或自定义指标自动调整 Kubernetes Deployment、ReplicaSet 或 StatefulSet 中的 Pod 数量。
如果您已经安装了 Kubernetes Metrics Server，HPA 可以监控 CPU 利用率指标并扩展 Pod 以维持目标 CPU 利用率。
集群自动扩缩器：
如果由于 HPA 导致 pod 数量增加，并且集群没有足够的资源，则 Cluster Autoscaler 会动态地向托管节点组添加更多节点。
自动发现功能允许 Cluster Autoscaler 自动发现适当的节点组并根据需要扩大或缩小它们。
运营效率：
这种组合允许首先在工作负载级别（HPA）对 Pod 进行扩展，然后仅在需要时在基础设施级别（Cluster Autoscaler）对 Pod 进行扩展。这种方法可以最大限度地降低成本并确保最佳的资源利用率。

291 / 363

291.

No.291
一家公司有多个 AWS 账户。该公司使用与第三方 SAML 2.0 身份提供商 (IdP) 集成的 AWS IAM Identity Center。
在 IAM 身份中心，访问控制功能的属性已启用。属性映射列表将 IdP 的部门键映射到 ${path:enterprise.department} 属性。所有现有的 Amazon EC2 实例都有部门标签 d1、d2 和 d3，分别与公司的三个部门相对应。
DevOps 工程师必须根据匹配的属性创建策略。该策略应允许每个用户只访问标有用户各自部门名称的 EC2 实例。
DevOps 工程师应在自定义权限策略中包含哪些条件键来满足这些要求？

A. { "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "department" ] } } }

B. { "Condition": { "StringEquals": { "aws:PrincipalTag/department": "${aws:ResourceTag/department}" } } }

C. { "Condition": { "StringEquals": { "ec2:ResourceTag/department": "${aws:PrincipalTag/department}" } } }

D. { "Condition": { "ForAllValues:StringEquals": { "ec2:ResourceTag/department": [ "d1", "d2", "d3" ] } } }

答案：C

解释：
aws:PrincipalTag 条件键必须具有完全相同的名称（即“ec2:ResourceTag/CostCenter”：“${aws:PrincipalTag/CostCenter}”）。

292 / 363

292.

No.292
您的安全团队希望使用 AWS CloudTrail 监控 AWS Organizations 内同一组织内多个账户的所有操作和 API 调用。安全团队必须阻止账户用户关闭其账户上的 CloudTrail。
哪种解决方案可以满足这一要求？

A. 将 SCP 应用于所有 OU 以拒绝 cloudtrail:StopLogging 和 cloudtrail:DeleteTrail 操作。

B. 在每个账户中创建一个 IAM 策略来拒绝 cloudtrail:StopLogging 和 cloudtrail:DeleteTrail 操作。

C. 设置 Amazon CloudWatch 警报，当用户在账户上禁用 CloudTrail 时通知您的安全团队。

D. 如果用户在其账户中禁用 CloudTrail，则使用 AWS Config 自动重新启用 CloudTrail。

293 / 363

293.

No.293
DevOps 工程师需要为现有的 3 层应用程序配置蓝/绿部署。该应用程序在 Amazon EC2 实例上运行并使用 Amazon RDS 数据库。 EC2 实例在应用程序负载均衡器 (ALB) 后面运行，并位于 Auto Scaling 组中。
DevOps 工程师为蓝环境和绿环境创建了启动模板、Auto Scaling 组和 ALB 目标组。每个目标组指定将加载到 EC2 实例上的应用程序版本（蓝色或绿色）。 www.example.com 的 Amazon Route 53 记录指向 ALB。
部署需要一次性将流量从蓝色环境转移到绿色环境。
哪种解决方案可以满足这些要求？

A. 启动绿色环境的 Auto Scaling 组的滚动重启，以将新应用程序版本部署到绿色环境的 EC2 实例。滚动重启完成后，使用 AWS CLI 命令更新 ALB，以将流量发送到绿色环境中的目标组。

B. 使用 AWS CLI 命令更新 ALB 以将流量发送到绿色环境中的目标组。通过在绿色环境中启动 Auto Scaling 组的滚动重启，将新应用程序版本部署到绿色环境中的 EC2 实例。

C. 更新启动模板，将应用程序版本从绿色环境部署到蓝色环境中的 EC2 实例。在任一环境中，都不要修改目标组或 Auto Scaling 组。对蓝色环境中的 EC2 实例执行滚动重启。

D. 通过启动绿色环境的 Auto Scaling 组的滚动重启，将新应用程序版本部署到绿色环境中的 EC2 实例。滚动重启完成后，更新 Route 53 以指向 ALB 上的绿色环境端点。

答案：A

解释：
答案当然是“A”。首先，使用新版本更新新的（或“绿色”）集群。然后，将 ALB 的流量从第一个目标组转移到第二个目标组。

294 / 363

294.

No.294
一家公司有一个在 Auto Scaling 组中的 Amazon EC2 实例上运行的应用程序。该应用程序处理来自 Amazon Simple Queue Service (Amazon SQS) 队列的大量消息。
一位 DevOps 工程师注意到应用程序需要花费数小时来处理来自 SQS 队列的一组消息。 Auto Scaling 组在处理消息时的平均 CPU 利用率没有超过目标跟踪扩展策略的阈值。处理 SQS 队列的应用程序将日志发布到“Amazon CloudWatch Logs”。
DevOps 工程师需要确保队列得到快速处理。
哪种解决方案能够以最少的运营开销满足这些要求？

A.创建一个 AWS Lambda 函数。配置 Lambda 函数以使用 preciseNumberOfMessagesVisible SQS 队列属性和 GroupInServiceInstances Auto Scaling 组属性发布自定义指标，从而为每个实例发布队列消息。安排 Amazon EventBridge 规则每小时运行一次 Lambda 函数。为使用自定义指标进行扩展和缩小的 Auto Scaling 组创建目标跟踪扩展策略。

B.创建 AWS Lambda 函数。要为每个实例发布队列消息，请配置一个 Lambda 函数，以使用 preciseNumberOfMessagesVisible SQS 队列属性和 GroupInServiceInstances Auto Scaling 组属性发布自定义指标。为您的应用程序日志创建 CloudWatch 订阅过滤器，并以您的 Lambda 函数作为目标。为使用自定义指标进行扩展和缩小的 Auto Scaling 组创建目标跟踪扩展策略。

C. 为 Auto Scaling 组创建目标跟踪扩展策略。在您的目标跟踪策略中，使用 preciseNumberOfMessagesVisible SQS 队列属性和 GroupInServiceInstances Auto Scaling 组属性让您的指标计算按实例数计算队列中的消息数。使用计算属性来扩大和缩小。

D. 创建一个 AWS Lambda 函数，将 SQS 队列的 preciseNumberOfMessagesVisible 属性记录到 CloudWatch Logs 日志组。安排 Amazon EventBridge 规则每 5 分钟运行一次 Lambda 函数。创建一个指标过滤器，用于计算 CloudWatch 日志组中的日志事件数量。为您的 Auto Scaling 组创建使用自定义指标进行扩展和缩小的目标跟踪扩展策略。

答案：C

解释：
为什么选项C是正确的：
• 目标跟踪扩展策略：问题指定扩展策略需要帮助快速处理队列。您可以将 preciseNumberOfMessagesVisible SQS 队列属性与 GroupInServiceInstances Auto Scaling 组属性结合起来，使用指标计算根据实际消息数量和可用实例进行有效扩展。
• 与 Auto Scaling 直接集成：该解决方案直接与您的 Auto Scaling 组的目标跟踪策略集成，以便 EC2 实例能够根据来自 SQS 的指标自动动态地扩展，从而加快消息处理速度。

295 / 363

295.

★No.295
一家公司拥有一个 AWS 账户，该账户在单个 AWS 区域运行数百个 Amazon EC2 实例。该公司每小时都会启动和终止新的 EC2 实例。您的账户包含已运行一周以上的现有 EC2 实例。
贵公司的安全策略要求将 EC2 实例配置文件附加到每个正在运行的 EC2 实例。该公司创建了一个默认的 EC2 实例配置文件。所有未附加配置文件的 EC2 实例都必须附加默认 EC2 实例配置文件。
哪种解决方案可以满足这些要求？

A.配置与 Amazon EC2 RunInstances API 调用匹配的 Amazon EventBridge 规则。配置规则以调用 AWS Lambda 函数并将默认实例配置文件附加到 EC2 实例。

B.配置 AWS Config。部署 AWS Config ec2-instance-profile-attached 托管规则。配置自动补救措施，调用 AWS Systems Manager Automation 运行手册将默认实例配置文件附加到 EC2 实例。

C. 配置与 Amazon EC2 StartInstances API 调用匹配的 Amazon EventBridge 规则。配置一条规则，调用 AWS Systems Manager Automation 运行手册将默认实例配置文件附加到 EC2 实例。

D.配置 AWS Config。部署 AWS Config iam-role-managed-policy-check 托管规则。配置自动补救操作，调用 AWS Lambda 函数将默认实例配置文件附加到 EC2 实例。

296 / 363

296.

No.296
一家公司使用 AWS Organizations 来管理数百个 AWS 账户。该公司有一个负责 AWS 身份和访问管理 (IAM) 的团队。
IAM 团队希望实施 AWS IAM Identity Center。 IAM 团队只需要管理 IAM 身份中心所需的最低权限。您的 IAM 团队必须确保没有人能够获得对组织管理账户的不必要访问权限。您的 IAM 团队需要能够为新老成员账户配置新的 IAM 身份中心权限集和分配。
哪些步骤组合可以满足这些要求？（选择三个）

A. 为 IAM 团队创建一个新的 AWS 账户。在新账户中启用 IAM Identity Center。在组织管理账户中，将新账户注册为 IAM 身份中心的委派管理员。

B. 为 IAM 团队创建一个新的 AWS 账户。在您的组织管理账户中启用 IAM 身份中心。在组织管理账户中，将新账户注册为 IAM 身份中心的委派管理员。

C. 在组织中创建 SCP。为您的组织管理账户创建一个新的 OU，并将新的 SCP 链接到该 OU。配置 SCP 以拒绝对 IAM 身份中心的所有访问。

D.在 IAM 身份中心为 IAM 团队创建 IAM 用户和 IAM 组。将用户添加到组。创建一个新的权限集。将 AWSSSOMemberAccountAdministrator 托管 IAM 策略附加到该组。

E. 将新的权限集分配给组织管理员帐户。使权限集可供 IAM 团队的群组使用。

F.将新的权限集分配给新的 AWS 账户。使权限集可供 IAM 团队的群组使用。

答案：BDF

解释：

答：不正确。您必须首先在管理帐户上启用身份中心，然后创建委托帐户。
C 不正确。 SCP 与 IdP 不同。
E 不正确。权限集必须分配给成员，而不是管理员帐户。

297 / 363

297.

No.297
一家公司使用具有两个辅助 AWS 区域的 Amazon Aurora PostgreSQL 全局数据库。 DevOps 工程师配置了数据库参数组以保证 60 秒的 RPO。由于 RPO 设置，对主集群的写入操作偶尔会被阻止。
DevOps 工程师需要减少阻塞写入操作的频率
哪种解决方案可以满足这些要求？

A. 向全局数据库添加辅助集群。

B.启用全局数据库写入转发。

C. 从全局数据库中删除一个辅助集群。

D.配置全局数据库的同步复制。

答案：C

解释：
为了减少 Amazon Aurora PostgreSQL 全局数据库中阻止写入操作的频率，特别是在您使用 60 秒恢复点目标 (RPO) 的情况下，目标是提高复制性能，以便主集群与其辅助区域之间的延迟不超过 60 秒阈值。

298 / 363

298.

★No.298
一家公司有一个托管在 Amazon Elastic Kubernetes Service (Amazon EKS) 集群上的 Web 应用程序。 EKS 集群在 AWS Fargate 上运行，可通过面向互联网的应用程序负载均衡器访问。
该应用程序存在稳定性问题并且响应时间缓慢。 DevOps 工程师需要使用 Amazon CloudWatch 设置可观察性来解决问题。您的解决方案应该仅提供必要的最低权限。
哪些步骤组合可以满足这些要求？（选择三个。）

A.将 CloudWatch 代理作为 Kubernetes StatefulSet 部署到您的 EKS 集群中。

B. 将 AWS Distro for OpenTelemetry Collector 作为 Kubernetes DaemonSet 部署到您的 EKS 集群中。

C. 使用 Amazon EKS 中服务账户的 IAM 角色将 Kubernetes 服务账户与 IAM 角色关联。使用 CloudWatchAgentServerPolicy AWS 托管策略。

D. 使用 Amazon EKS 服务账户的 IAM 角色将 Kubernetes 服务账户与 IAM 角色关联。使用 CloudWatchAgentAdminPolicy AWS 托管策略。

E. 为您的 EKS 集群配置 IAM OpenID Connect (OIDC) 提供程序。

F.为您的 EKS 集群启用 EKS 控制平面日志记录。

答案：ACF

解释：
https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-EKS.html

- 缺少 Fargate 守护进程集
- CloudWatchAgentServerPolicy 正确
- 控制平面日志

299 / 363

299.

No.299
一家公司将其基于 Python 的应用程序代码存储在 AWS CodeCommit 中。该公司使用 AWS CodePipeline 部署应用程序。 CodeCommit 存储库和 CodePipeline 管道部署到同一个 AWS 账户。
贵公司的安全团队要求在部署到生产之前对所有代码进行漏洞扫描。如果发现漏洞，则必须停止部署。
哪种解决方案可以满足这些要求？

A.创建一个新的CodeBuild项目。使用 Amazon CodeGuru Security 配置您的项目以对您的代码运行安全扫描。配置您的 CodeBuild 项目，如果 CodeGuru Security 发现漏洞则引发错误。创建一个具有足够权限的新 IAM 角色来运行 CodeGuru 安全扫描。将该角色分配给您的 CodeBuild 项目。在您的 CodePipeline 管道中，在部署阶段之前添加一个新阶段。选择 AWS CodeBuild 作为新阶段的操作提供程序。使用来自 CodeCommit 存储库的源工件。配置操作以使用 CodeBuild 项目。

B.创建一个新的 CodeBuild 项目。配置您的项目以使用 Amazon Inspector 对您的代码运行安全扫描。配置您的 CodeBuild 项目，以便在 Amazon Inspector 发现漏洞时引发错误。创建具有足够权限的新 IAM 角色来运行 Amazon Inspector 扫描。将角色分配给 CodeBuild 项目。在您的 CodePipeline 管道中，在部署阶段之前添加一个新阶段。选择 AWS CodeBuild 作为新阶段的操作提供程序。使用来自 CodeCommit 存储库的源工件。配置操作以使用 CodeBuild 项目。

C. 更新附加到 CodePipeline 的 IAM 角色，以包含调用 Amazon DevOps Guru 的足够权限。在您的 CodePipeline 管道中，在部署阶段之前添加一个新阶段。选择 DevOps Guru 作为新阶段的操作提供者。使用来自 CodeCommit 存储库的源工件。

D. 更新附加到 CodePipeline 的 IAM 角色，以包含调用 Amazon DevOps Guru 的足够权限。在您的 CodePipeline 管道中，在部署阶段之前添加一个新阶段。选择 CodeGuru Security 作为新阶段的操作提供者。使用来自 CodeCommit 存储库的源工件。

答案：A

解释：
Amazon CodeGuru Security 使用 ML 和自动推理来检测、跟踪和修复开发周期每个阶段的代码安全漏洞。

300 / 363

300.

No.300
DevOps 工程师将应用程序部署到一组 Amazon Linux EC2 实例。 DevOps 工程师需要监控整个集群的系统指标。一位 DevOps 工程师想要监控网络流量和其应用程序代码的内存利用率之间的关系。一位 DevOps 工程师想要以 60 秒的间隔跟踪数据。
哪种解决方案可以满足这些要求？

A. 使用 Amazon CloudWatch Basic Monitoring 收集 NetworkIn 和 MemoryBytesUsed 指标。绘制 CloudWatch 中的指标图表。

B. 使用 Amazon CloudWatch 详细监控收集 NetworkIn 和 MemoryBytesUsed 指标。绘制 CloudWatch 中的指标图表。

C. 使用 Amazon CloudWatch 详细监控收集 NetworkIn 指标。在您的 EC2 实例上安装 CloudWatch 代理以收集 mem_used 指标。绘制 CloudWatch 中的指标图表。

D. 使用 Amazon CloudWatch Basic Monitoring 收集内置 NetworkIn 指标。要收集 mem_used 指标，请在您的 EC2 实例上安装 CloudWatch 代理。绘制 CloudWatch 中的指标图表。

答案：C

解释：
使用 Amazon CloudWatch 详细监控收集 NetworkIn 指标。要收集 mem_used 指标，请在您的 EC2 实例上安装 CloudWatch 代理。绘制 CloudWatch 中的指标图表。

301 / 363

301.

No.301
一家公司使用 AWS Systems Manager 来管理安装了 SSM 代理的 Amazon Linux EC2 实例队列。所有 EC2 实例都配置为使用实例元数据服务版本 2 (IMDSv2)，并且在同一 AWS 账户和 AWS 区域中运行。公司政策要求开发人员专门使用 Amazon Linux。
一家公司希望所有新的 EC2 实例在创建后都由 Systems Manager 自动管理。
哪种解决方案能够最有效地满足这些要求？

A. 创建一个具有信任策略的 IAM 角色，允许 Systems Manager 承担该角色。将 AmazonSSMManagedEC2InstanceDefaultPolicy 策略附加到角色。配置 default-ec2-instance-management-role SSM 服务设置以使用该角色。

B.验证 AWS Config 是否已设置。创建一个 AWS Config 规则，验证您的 EC2 实例是否安装了 SSM 代理。配置在 EC2 配置改变时运行的规则。为运行 AWS-InstallSSMAgent SSM 文档的规则配置自动修复以安装 SSM 代理。

C. 配置系统管理器补丁管理器。创建一个补丁基准，在所有新的 EC2 实例上自动安装 SSM 代理。为所有 EC2 实例创建一个补丁组。将补丁基线附加到补丁组。创建维护时段和维护时段任务以开始每天安装 SSM 代理。

D.创建一个具有信任策略的 EC2 实例角色，允许 Amazon EC2 承担该角色。将 AmazonSSMManagedInstanceCore 策略附加到角色。验证 AWS Config 是否已设置。使用 ec2-instance-profile-attached 管理的 AWS Config 规则来验证 EC2 实例是否附加了角色。配置在您的 EC2 配置发生改变时运行的规则。通过运行 AWS-SetupManagedRoleOnEc2Instance SSM 文档将角色附加到 EC2 实例，为规则配置自动修复。

答案：A

解释：
1.自动角色关联：
• AWS Systems Manager 支持默认实例管理角色，该角色会在新的 EC2 实例创建时自动附加到这些实例上。
• 当您配置 default-ec2-instance-management-role SSM 服务设置时，新的 EC2 实例会自动与指定的 IAM 角色关联。
2.IAM角色和策略：
• AmazonSSMManagedEC2InstanceDefaultPolicy 为 SSM 代理提供管理实例所需的权限，包括访问 Systems Manager 服务、Amazon S3 和 AWS Config 日志。
3.运营效率：
• 该解决方案会自动向 Systems Manager 注册新的 EC2 实例，无需任何额外的手动步骤或配置更改。
• 不再需要 AWS Config 规则、补丁基准或补救文档，从而简化了管理流程。

302 / 363

302.

No.302
一家公司为 AWS Lambda 函数配置了 Amazon S3 事件源。当在特定的 S3 存储桶中创建新对象或修改现有对象时，公司需要运行 Lambda 函数。 Lambda 函数使用传入事件中的 S3 存储桶名称和 S3 对象键来读取新的或更改的 S3 对象的内容。 Lambda 函数解析内容并将解析的内容存储在 Amazon DynamoDB 表中。
Lambda 函数的执行角色具有从 S3 存储桶读取和写入 DynamoDB 表的权限。在测试期间，DevOps 工程师发现，当将对象添加到 S3 存储桶或修改现有对象时，Lambda 函数不会执行。
哪些解决方案可以解决这些问题？

A.创建一个 S3 存储桶策略，授予 S3 存储桶调用 Lambda 函数的权限。

B. 为 Lambda 函数创建资源策略，以授予 Amazon S3 调用 S3 存储桶中的 Lambda 函数的权限。

C. 将 Amazon Simple Queue Service (Amazon SQS) 队列配置为 Lambda 函数的 OnFailure 目标。更新您的 Lambda 函数以处理来自 SQS 队列和 S3 事件通知的消息。

D. 将 Amazon Simple Queue Service (Amazon SQS) 队列配置为 S3 存储桶事件通知的目的地。更新 Lambda 函数的执行角色，以便它有权从 SQS 队列读取。更新您的 Lambda 函数以使用来自 SQS 队列的消息。

答案：B

解释：
1. S3 到 Lambda 调用：
• 当您配置 Amazon S3 以触发 AWS Lambda 函数时，S3 需要明确的权限才能调用该函数。这是通过将基于资源的策略附加到 Lambda 函数来实现的。
• 如果没有此策略，即使配置了 S3 事件通知，您的 Lambda 函数也不会被触发，因为 S3 没有调用您的函数所需的权限。
2.解决方案详情：
• Lambda 函数的资源策略指定S3 存储桶可以调用Lambda 函数。您可以使用 AWS CLI、AWS SDK 或直接在 AWS 管理控制台中配置此项。

303 / 363

303.

No.303
一家公司最近为 AWS Organizations 中的某个组织设置了 AWS Control Tower。该公司将其所有现有的 AWS 账户注册到 AWS Control Tower。该公司希望所有新的 AWS 账户都能自动注册到 AWS Control Tower。
该公司有一个现有的 AWS Step Functions 工作流程，可以创建新的 AWS 账户并在创建账户的过程中执行所需的操作。 Step Functions 工作流程在与 AWS Control Tower 相同的 AWS 账户中定义。
为了满足这些要求，公司应在其 Step Functions 工作流程中添加哪些步骤组合？（选择两个。）

A. 使用 aws.controltower 源和 CreateManagedAccount 详细类型创建 Amazon EventBridge 事件。将新的 AWS 账户详细信息添加到事件详细信息字段。

B. 使用 aws.controltower 源和 SetupLandingZone 详细类型创建 Amazon EventBridge 事件。将新的 AWS 账户详细信息添加到事件详细信息字段。

C. 在新 AWS 账户中创建 AWSControlTowerExecution 角色。配置角色以允许 AWS Control Tower 管理员账户承担该角色。

D. 使用新的 AWS 账户详细信息调用 AWS Service Catalog ProvisionProduct API 操作。

E. 使用 controltower.amazonaws.com 服务名称和您的新 AWS 账户详细信息调用 Organizations EnableAWSServiceAccess API 操作。

答案：CD

解释：
选项详细信息：

1.C.创建 AWSControlTowerExecution 角色：
• AWS Control Tower 要求新账户具有 AWSControlTowerExecution 角色。
• 此角色允许 AWS Control Tower 控制账户并应用所需的防护措施、策略和配置。
• 如果没有此角色，AWS Control Tower 就无法管理该账户。
2.D. 调用 AWS Service Catalog ProvisionProduct API 操作：
• Account Factory 使用 AWS Service Catalog 创建新账户并将其注册到 AWS Control Tower。
• ProvisionProduct API 操作使您能够通过 Account Factory 以编程方式配置新帐户并确保其在 Control Tower 治理中的注册。

304 / 363

304.

No.304
一家公司的 Web 应用程序使用应用程序负载均衡器 (ALB) 将流量引导至三个可用区中的 Amazon EC2 实例。
该公司在一个可用区域部署了其应用程序的新版本以进行测试。如果检测到应用程序存在问题，公司希望将流量从受影响的可用区转移出去，直到部署可以回滚。在回滚过程中，应用程序必须保持可用并维持静态稳定性。
哪种解决方案能够最有效地满足这些要求？

A. 禁用 ALB 目标组上的跨区域负载平衡。在 ALB 上启动区域转移，以将流量从受影响的可用区引导出去。

B. 禁用 ALB 目标组上的跨区域负载平衡。手动删除目标组中属于受影响可用区域的实例。

C. 在 ALB 的目标组上配置跨区域负载平衡以继承来自 ALB 的设置。在 ALB 上启动区域转移，以将流量从受影响的可用区引导出去。

D. 在 ALB 的目标组上配置跨区域负载平衡以继承来自 ALB 的设置。删除与受影响的可用区域关联的子网。

答案：A

解释：
禁用跨区域负载平衡：

如果禁用跨区域负载平衡，则每个可用区域将仅处理其自己的目标的流量。如有必要，这可让您隔离来自特定区域的流量。
开始区域转换：

AWS 提供区域转移（通过 AWS Elastic Disaster Recovery 或 AWS Global Accelerator）以将流量暂时转移出特定的可用区。通过实现自动重新路由，无需手动更改目标组或实例配置，从而显著提高了运营效率。
区域转移允许您快速重定向流量，同时在回滚或测试期间保持应用程序的高可用性和稳定性。
参考-https://docs.aws.amazon.com/r53recovery/latest/dg/arc-zonal-shift.html

305 / 363

305.

No.305
一家公司有多个 AWS 账户。每个账户都运行一个 Amazon Connect 实例。该公司使用 Amazon EventBridge 的默认事件总线来处理每个账户中的事件。
DevOps 团队需要在一个 DevOps 账户中接收所有 Amazon Connect 事件。
哪种解决方案可以满足这些要求？

A. 更新每个账户中默认事件总线的基于资源的策略，以允许 DevOps 账户重播事件。在您的 DevOps 账户中，配置一个与 Amazon Connect 事件匹配并以其他账户的默认事件总线为目标的 EventBridge 规则。

B. 更新每个账户中默认事件总线的基于资源的策略，以允许 DevOps 账户接收事件。在您的 DevOps 账户中，配置一个与 Amazon Connect 事件匹配并以其他账户的默认事件总线为目标的 EventBridge 规则。

C. 更新 DevOps 账户中默认事件总线的基于资源的策略。更新您的政策以允许从您的帐户接收事件。在每个账户中，配置一个与 Amazon Connect 事件匹配并以 DevOps 账户中的默认事件总线为目标的 EventBridge 规则。

D. 更新 DevOps 账户中默认事件总线的基于资源的策略。更新您的策略以允许该帐户重播事件。在每个账户中，配置一个与 Amazon Connect 事件匹配并以 DevOps 账户中的默认事件总线为目标的 EventBridge 规则。

答案：C

解释：

要将来自多个 AWS 账户的 Amazon Connect 事件集中到单个账户中的 EventBridge 事件总线中，需要执行以下步骤：

1. 更新 DevOps 账户中 EventBridge 事件总线的基于资源的策略。

• 此策略允许 DevOps 账户中的事件总线接受来自其他账户的事件。

• 该策略必须在Principal 字段中指定发送账户身份，并授予执行操作（例如events:PutEvents）的权限。
2. 在每个 Amazon Connect 账户中创建一个 EventBridge 规则。
• 这些规则匹配特定的 Amazon Connect 事件（例如联系人事件、代理状态更新）并将它们转发到您的 DevOps 账户中的默认事件总线。

306 / 363

306.

No.306
一家公司使用 Amazon EC2 节点组部署了 Amazon Elastic Kubernetes Service (Amazon EKS) 集群。该公司的 DevOps 团队使用 Kubernetes Horizontal Pod Autoscaler，并且最近安装了受支持的 EKS Cluster Autoscaler。
DevOps 团队应该实施一项解决方案来收集 EKS 集群的指标和日志，以建立性能基准。 DevOps 团队为某些指标创建一组初始阈值，并在使用集群时更新这些阈值。当超出初始阈值集或 EKS 集群自动扩展器无法正常运行时，DevOps 团队需要接收 Amazon Simple Notification Service (Amazon SNS) 电子邮件通知。
该解决方案必须收集集群、节点和 pod 指标。该解决方案还必须捕获 Amazon CloudWatch 中的日志。
DevOps 团队应采取哪些步骤组合来满足这些要求？（选择三个。）

A. 将 CloudWatch 代理和 Fluent Bit 部署到您的集群。验证您的 EKS 集群是否具有将指标和日志发送到 CloudWatch 的正确权限。

B. 将 AWS Distro for OpenTelemetry 部署到您的集群。验证您的 EKS 集群是否具有将指标和日志发送到 CloudWatch 的正确权限。

C. 创建 CloudWatch 警报来监控集群的 CPU、内存和节点故障指标。配置警报，当超出阈值时向您的 DevOps 团队发送 SNS 和电子邮件通知。

D. 创建一个 CloudWatch 复合警报，监控集群的 CPU、内存和节点指标的指标日志过滤器。配置警报，当检测到异常时向您的 DevOps 团队发送 SNS 和电子邮件通知。

E. 创建 CloudWatch 警报来监控 Autoscaler 部署日志中是否存在错误。配置警报，当超出阈值时向您的 DevOps 团队发送 SNS 电子邮件通知。

F. 创建 CloudWatch 警报来监控指标日志过滤器中 Autoscaler 部署中的错误。配置警报，当超出阈值时向您的 DevOps 团队发送 SNS 电子邮件通知。

答案：ACF

解释：
问题要求您“收集指标和日志”。
您需要安装CloudWatch代理，它是A。
您需要收集 C 类指标。
您需要收集 E 的日志。

307 / 363

307.

No.307
一家公司发现他们的生产和灾难恢复 (DR) 环境部署在同一个 AWS 区域。所有生产应用程序都在 Amazon EC2 实例上运行，并通过 AWS CloudFormation 部署。该应用程序使用 Amazon FSx for NetApp ONTAP 卷进行应用程序存储。 EC2 实例上没有应用程序数据。
DevOps 工程师将所需的 AMI 复制到新的 DR 区域。 DevOps 工程师还更新 CloudFormation 代码以接受区域作为参数。在 DR 区域，存储的 RPO 应为 10 分钟。
哪种解决方案可以满足这些要求？

A. 在两个区域中创建一个 Amazon S3 存储桶。为您的 S3 存储桶配置 S3 跨区域复制 (CRR)。创建一个计划的 AWS Lambda 函数，将新内容从 FSx for ONTAP 卷复制到生产区域中的 S3 存储桶。

B. 使用 AWS Backup 创建备份库和间隔 10 分钟的自定义备份计划。指定 DR 区域作为目标区域。将生产区域中的 EC2 实例分配给您的备份计划。

C. 创建一个 AWS Lambda 函数来创建附加到 EC2 实例的实例存储卷的快照。配置 Lambda 函数以将快照复制到 DR 区域并删除之前的副本。创建一个 Amazon EventBridge 计划规则，每 10 分钟调用一次 Lambda 函数。

D. 在 DR 区域创建 FSx for ONTAP 实例。设置卷级别 NetApp SnapMirror 5 分钟计划，将卷从生产区域复制到 DR 区域。

答案：D

解释：
实施步骤：
在 DR 区域创建 FSx for ONTAP 实例：

在新的 DR 区域中部署 FSx for NetApp ONTAP 实例。
设置 SnapMirror 复制：

设置从生产区域中的 FSx 卷到 DR 区域中的 FSx 实例的 SnapMirror。

为了满足 10 分钟的 RPO 要求，将复制计划设置为 5 分钟。

测试 DR 设置：

确保 DR 区域中的复制卷一致且可访问。

验证您的 DR 环境是否可以故障转移到复制的 FSx 卷。

CloudFormation 更新：

验证更新后的 CloudFormation 模板是否在 DR 区域中部署了 EC2 实例并且能够挂载复制的 FSx 卷。

308 / 363

308.

No.308
在一次安全审计期间，一家公司发现一些安全组允许来自 0.0.0.0/0 的 SSH 流量。安全团队应尽快实施解决方案来检测并修复此问题。该公司使用 AWS Organizations 中的单一组织来管理公司的所有 AWS 账户。
哪种解决方案可以满足这些要求？

A. 为您的所有 AWS 账户启用 AWS Config。使用定期触发器激活 vpe-sg-port-restriction-check AWS Config 规则。创建 AWS Lambda 函数来修复不合规的规则。

B. 在每个 AWS 账户中创建一个 AWS Lambda 函数来删除所有安全组规则。创建与安全组更新或创建事件匹配的 Amazon EventBridge 规则。在每个账户中配置一个 Lambda 函数作为规则的目标。

C. 在所有 AWS 账户中启用 AWS Config。创建在 restricted-ssh 配置更改触发器上运行的自定义 AWS Config 规则。配置规则以调用 AWS Lambda 函数来修复不合规的资源。

D. 在每个账户中创建一个 AWS Systems Manager Automation 文档，以检查所有安全组并删除不合规的规则。使用 Amazon EventBridge 规则每小时运行一次自动化文档。

答案：C

解释：
此选项通过在所有账户中启用 AWS Config、部署受限 ssh 规则以及设置自动补救措施来解决不合规的安全组，从而有效地满足要求。

309 / 363

309.

★No.309
一家公司的 DevOps 工程师需要在 30 台本地虚拟机和 15 个 Amazon EC2 实例上安装软件包。
DevOps 工程师需要确保每个 VM 都通过可审计流程接收包，并且可以自动识别和警报 VM 上的任何配置漂移。该公司使用 AWS Direct Connect 将其本地数据中心连接到 AWS。
哪种解决方案能够最有效地满足这些要求？

A. 创建一个脚本，每周遍历虚拟机列表一次。配置脚本来检查包，如果未找到则安装。配置脚本，如果找不到包，则向系统管理员发送电子邮件消息通知。

B. 在所有虚拟机上安装 AWS Systems Manager 代理（SSM 代理）。使用 SSM 代理安装该包。使用 AWS Config 监控配置偏差。如果发现任何偏差，则使用 Amazon Simple Notification Service (Amazon SNS) 通知系统管理员。

C. 创建一个脚本来检查该包是否已安装在您的环境中。配置脚本以创建所有不合规虚拟机的列表。配置一个脚本，将列表发送给系统管理员，系统管理员将在非兼容的虚拟机上安装软件包。

D. 登录到每个虚拟机。使用本地包管理器安装该包。使用 AWS Config 监控 AWS 资源的配置变化。创建一个脚本来监控您的本地资源。

310 / 363

310.

No.310
一家公司在 eu-west-1 区域拥有一条 AWS CodePipeline 管道。管道将构建工件存储在 Amazon S3 存储桶中。管道使用 AWS CloudFormation 部署操作构建和部署 AWS Lambda 函数。
DevOps 工程师必须更新其现有管道，以将 Lambda 函数部署到 us-east-1 区域。该管道已更新，以创建额外的工件来部署到 us-east-1。
DevOps 工程师应执行哪些步骤组合来满足这些要求？（选择两个）

A.修改您的 CloudFormation 模板以包含 Lambda 函数代码 .zip 文件位置的参数。在管道中的 us-east-1 中创建一个新的 CloudFormation 部署操作。配置新的部署操作并将 us-east-1 工件位置作为参数覆盖传入：

B. 在管道中的 us-east-1 中创建一个新的 CloudFormation 部署操作。配置一个新的部署操作，以使用 CloudFormation 模板来为 us-east-1 创建附加工件。

C. 在 us-east-1 中创建一个 S3 存储桶。配置您的 S3 存储桶策略以允许 CodePipeline 读取和写入访问。

D. 在 us-east-1 中创建一个 S3 存储桶。配置从 eu-west-1 中的 S3 存储桶到 us-east-1 中的 S3 存储桶的 S3 跨区域复制 (CRR)。

E. 修改管道以将 us-east-1 中的 S3 存储桶作为工件存储包含其中。在管道中的 us-east-1 中创建一个新的 CloudFormation 部署操作。配置一个新的部署操作以使用来自 us-east-1 工件的 CloudFormation 模板。

答案：CE

解释：
正确答案是“C”和“E”。
“A”肯定是错的。仅仅绕过新 Lambda 代码的位置作为现有 CloudFormation 模板中的参数是不够的。您不仅需要不同的 Lambda 代码位置，还需要不同的区域、不同的 VPC ID 等。
因此，我们需要两个专门用于此目的的单独模板。

311 / 363

311.

No.311
一家公司使用 AWS 云开发工具包 (AWS CDK) 应用程序作为其基础设施。 AWS CDK 应用程序创建一个 AWS Lambda 函数以及附加到该函数的 IAM 角色。该公司还使用 AWS Organizations。该公司的开发人员可以承担 AWS CDK 应用程序的部署角色。
该公司的安全团队发现开发人员所使用的以及部署 AWS CDK 应用程序的角色拥有超出必要的权限。安全团队还发现，CDK 应用程序创建的 Lambda 函数所附加的角色具有比必要更多的权限。开发人员不能拥有授予额外权限的权力。
哪种解决方案能够满足这些要求，同时最大限度地减少运营开销？

A.创建一个 SCP，拒绝开发人员角色和 AWS CDK 应用程序部署角色的 iam:CreateRole 和 iam:UpdateRole 操作。集中创建一个新的 IAM 角色以附加到 Lambda 函数，开发人员将使用该角色来配置 Lambda 函数。

B.创建 IAM 权限边界策略。定义 AWS CDK 应用程序在策略中需要的最大操作。更新您账户的 AWS CDK 引导程序以使用权限边界。在您的 AWS CDK 应用程序中，更新配置，以便默认权限边界使用您的策略。

C.创建 IAM 权限边界策略。定义 AWS CDK 应用程序在策略中需要的最大操作。指导您的开发人员在其 AWS CDK 应用程序代码中创建角色时使用权限边界策略名称。

D.创建一个 SCP，拒绝开发人员角色的 iam:CreateRole 和 iam:UpdateRole 操作。授予 AWS CDK 部署角色访问权限以创建与 Lambda 函数关联的角色。运行 AWS Identity and Access Management 访问分析器以验证您的 Lambda 函数角色是否缺少权限。

答案：B

解释：
选项 B 直接在 CDK 工作流中使用权限边界，确保创建的角色本质上是合规的，并且无需 IAM 访问分析器反应验证步骤。这种方法降低了操作复杂性并符合主动安全的最佳实践。

312 / 363

312.

No.312
一家公司使用 Amazon Elastic Container Registry (Amazon ECR) 私有注册表来存储其容器映像。
DevOps 团队应确保定期扫描容器映像以查找软件包中的漏洞。
哪种解决方案可以满足这一要求？

A. 在 Amazon ECR 中启用私有注册表的增强扫描。

B. 在 Amazon ECR 中启用私有注册表的基本持续扫描。

C. 创建 AWS System Manager Automation 文档以使用 AWS SDK 扫描图像。配置一个自动化文档，当新图像推送到您的 ECR 注册表时运行。

D. 创建一个 AWS Lambda 函数，使用 AWS SDK 扫描 Amazon ECR 中的所有图像。创建一个 Amazon EventBridge 规则以每日调用 Lambda 函数。

答案：A

解释：
Amazon ECR 提供两种级别的映像扫描：
1. 基本扫描：将图像推送到存储库时检测漏洞。
2. 增强扫描：提供图像的持续扫描，包括详细的报告和漏洞披露时的自动重新扫描。

313 / 363

313.

No.313
安全团队设置了一个工作流，当 Amazon EventBridge 匹配特定事件时，该工作流会调用 AWS Step Functions 工作流。事件可以由多种 AWS 服务生成。 AWS CloudTrail 记录用户活动。
安全团队发现一些重要事件并未按预期调用工作流。 CloudTrail 日志未指示与缺失事件相关的直接错误。
您将使用哪些步骤组合来确定错过事件调用的根本原因？（选择三个。）

A.在事件总线上启用 EventBridge 架构发现，以确定事件模式是否与预期架构匹配。

B. 配置 Amazon CloudWatch 以监控 EventBridge 指标和 Step Functions 指标。针对事件模式和工作流调用中的异常设置警报。

C. 配置 AWS Lambda 日志记录功能以监控和记录来自 EventBridge 的事件并提供有关所处理事件的详细信息。

D.检查 Step Functions 执行历史记录，查找可能与错过事件调用相关的故障或超时模式。

E. 查看 EventBridge 失败调用指标并验证附加到规则的 IAM 执行角色是否具有足够的权限。

F.确保您的 Step Functions 工作流具有正确的权限以供 EventBridge 调用。

答案：AB

解释：
我认为是 E，而不是 F。 EventBridge 规则包含一个 IAM 执行角色，该角色需要权限才能调用步骤函数。 Step Functions 端未授予权限（没有基于资源的策略，请参阅https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html）。

314 / 363

314.

No.314
一家公司的 DevOps 工程师使用 AWS Systems Manager 执行维护任务。我的公司有一些 Amazon EC2 实例在收到 AWS Health 通知后需要重新启动。
DevOps 工程师需要实施自动化解决方案，使用 Amazon EventBridge 在公司计划的维护时段内修复通知。
DevOps 工程师应该如何配置 EventBridge 规则以满足这些要求？

A. 为 AWS Health 配置事件源。配置指示计划实例终止和退役的事件类型。以 AWS-RestartEC2Instance Systems Manager Automation 运行手册为目标，重新启动 EC2 实例。

B. 为 Systems Manager 配置事件源。配置指示维护窗口的事件类型。以 AWS-RestartEC2Instance Systems Manager Automation 运行手册为目标，重新启动 EC2 实例。

C. 为 AWS Health 配置事件源。配置指示计划实例终止和退役的事件类型。注册一个 Systems Manager 维护窗口任务，以新创建的 AWS Lambda 函数为目标重新启动 EC2 实例。

D. 为 EC2 配置事件源。配置提供实例状态通知的事件类型。注册一个 Systems Manager 维护窗口任务，以新创建的 AWS Lambda 函数为目标重新启动 EC2 实例。

答案：A

解释：
C.注册维护时段任务的 Lambda 函数
• 尽管这种方法可能有效，但它不必要地使解决方案复杂化。 AWS Systems Manager 和 EventBridge 提供本机集成，无需自定义 Lambda 函数。
因此答案为A。

315 / 363

315.

★No.315
DevOps 工程师管理 AWS CodePipeline 管道，该管道在 AWS 上构建和部署 Web 应用程序。管道具有源阶段、构建阶段和部署阶段。如果正确部署，则在请求主页 URL 时，Web 应用程序将以 200 OK HTTP 响应代码进行响应。
CodePipeline 部署我的应用程序后，主页最近返回了 503 HTTP 响应代码。 DevOps 工程师需要在他们的管道中添加自动化测试。您的自动化测试应该验证您的应用程序在部署后是否返回 200 OK HTTP 响应代码。如果测试期间没有出现响应代码，则管道一定失败。一位 DevOps 工程师在部署阶段之后向管道添加了 CheckURL 阶段。
为了实现自动化测试，DevOps 工程师下一步应该做什么？

A.配置 CheckURL 阶段以使用 Amazon CloudWatch 操作。配置操作以使用金丝雀综合监控检查您的应用程序 URL，并向 CodePipeline 报告成功或失败。

B. 创建一个 AWS Lambda 函数，检查 URL 的响应代码状态并向 CodePipeline 报告成功或失败。配置阶段中的 CheckURL 操作以调用 Lambda 函数。

C. 配置 CheckURL 阶段以使用 AWS CodeDeploy 操作。使用输入工件（应用程序的 URL）配置操作，并向 CodePipeline 报告成功或失败。

D. 部署一个 Amazon API Gateway HTTP API，检查 URL 的响应代码状态并向 CodePipeline 报告成功或失败。配置 CheckURL 阶段以使用 AWS Device Farm 测试操作并提供 API Gateway HTTP API 作为输入工件。

316 / 363

316.

★No.316
一家公司有一个将访问日志上传到 Amazon CloudWatch Logs 日志组的应用程序。日志行中的字段包括响应代码和应用程序名称。
一家公司想要创建一个 CloudWatch 指标，用于跟踪具有特定范围的响应代码和特定应用程序名称的请求数量。
哪种解决方案可以满足这些要求？

A.在与响应代码范围匹配的 CloudWatch Logs 日志流中创建 CloudWatch Logs 日志事件过滤器。配置日志事件过滤器来增加指标。将响应代码和应用程序名称设置为维度。

B. 在 CloudWatch Logs 日志组中创建与响应代码范围匹配的 CloudWatch Logs 指标过滤器。配置指标过滤器来增加指标。将响应代码和应用程序名称设置为维度。

C. 创建一条 CloudWatch Contributor Insights 规则，其过滤器应与 CloudWatch Logs 日志流中的响应代码范围匹配。配置 Contributor Insights 规则以使用响应代码和应用程序名称作为维度来增加 CloudWatch 指标。

D. 创建与 CloudWatch Logs 日志组中的响应代码范围匹配的 CloudWatch Logs Insights 查询。配置 Logs Insights 查询以使用响应代码和应用程序名称作为维度来增加 CloudWatch 指标。

317 / 363

317.

No.317
一名 DevOps 工程师已配置带有托管节点组的 Amazon Elastic Kubernetes Service (Amazon EKS) 集群。 DevOps 工程师将 OpenID Connect (OIDC) 发行者与集群关联。
DevOps 工程师已为集群配置了 Amazon Elastic Block Store (Amazon EBS) 通用 SSD (gp3) 卷。一名 DevOps 工程师尝试发起 PersistentVolumeClaim (PVC) 请求，但无法配置该卷。为了解决这个问题，DevOps 工程师运行了 kubectl describe pyc 命令。 DevOps 工程师收到错误，提示他们无法配置具有 StorageClass 错误的卷，并且无法创建具有 EC2：UnauthorizedOperation 的卷。
哪种解决方案可以修复这些错误？

A. 创建一个 Kubernetes 集群角色，允许持久卷执行获取、列出、监控、创建和删除操作。设置集群角色以允许获取、列出和监控集群中的存储操作。

B. 创建具有所需权限和信任关系的 Amazon EBS 容器存储接口 (CSI) 驱动程序 IAM 角色。将 IAM 角色附加到集群中的 Amazon EBS CSI 驱动程序插件。

C. 将 ebs.csi.aws.com/volumeType:gp3 注释添加到集群中的 PersistentVolumeClaim 对象。

D.创建 Kubernetes 存储类对象。将供应商值设置为 ebs.csi.aws.com。在 Laster 上将 volumeBindingMode 值设置为 WaitForFirstConsumer。

答案：B

解释：
错误的根本原因是 EBS CSI 驱动程序没有在 EC2 中创建 EBS 卷所需的 IAM 权限。解决方案 B 通过创建适当的 IAM 角色并将其附加到 EBS CSI 驱动程序并授予其必要的权限来解决问题。

318 / 363

318.

No.318
一家公司在 VPC 中运行一批 Amazon EC2 实例。公司员工使用远程桌面协议 (RDP) 远程访问 EC2 实例。
一家公司想要收集有关员工每天发起的 RDP 会话数量的指标。
哪些步骤组合可以满足此要求？（选择三个）

A.创建一个对 EC2 实例状态改变通知事件做出反应的 Amazon EventBridge 规则。

B. 创建 Amazon CloudWatch Logs 日志组。将日志组指定为 EventBridge 规则的目标。

C. 在 VPC Flow Logs 中创建流日志。

D. 创建 Amazon CloudWatch Logs 日志组。将日志组指定为流日志的目标。

E.创建日志组指标过滤器。

F.创建日志组订阅过滤器。使用 EventBridge 作为目标。

答案：CDE

解释：

C. 在 VPC Flow Logs 中创建流日志。

• 原因：VPC 流日志捕获有关往返于 VPC 中网络接口的流量的信息。这对于识别和分析默认使用 TCP 端口 3389 的 RDP 会话非常重要。

D. 创建 Amazon CloudWatch Logs 日志组。指定日志组作为流日志的目标。
• 原因：捕获的 VPC 流日志必须存储在目标中才能进行分析。指定 CloudWatch Logs 日志组可以集中存储和查询日志。

E.创建日志组指标过滤器。
• 原因：指标过滤器允许您从流日志中提取特定指标。您可以创建一个指标，使用端口 3389（RDP）过滤流量并计算会话数。

319 / 363

319.

No.319
一家公司使用 Amazon Elastic Kubernetes Service (Amazon EKS) 来运行其应用程序。 EKS 集群正在成功运行多个 pod。该公司将其 pod 镜像存储在 Amazon Elastic Container Registry (Amazon ECR) 中。
该公司需要为其 EKS 集群配置 pod 身份访问。该公司已经更新了具有 pod 身份访问权限的节点的 IAM 角色。
哪种解决方案可以满足这些要求？

A.为您的 EKS 集群创建 IAM OpenID Connect (OIDC) 提供程序。

B.验证节点是否可以访问 EKS Auth API。为您的 EKS 集群添加并配置 EKS Pod Identity Agent 插件。

C.创建使用API_AND-CONFIG_MAP集群授权模式的EKS访问条目。

D. 为 Kubernetes 服务账户配置一个 AWS 安全令牌服务 (AWS STS) 终端节点，该终端节点将由 EKS 集群中的 Pod 使用。

答案：B

解释：
问题没有说明 pod 正在使用 irsa，因此 eks 插件应该可以与 pod id 配合使用

320 / 363

320.

No.320
一家公司在 AWS Organizations 内的组织中拥有多个 AWS 账户，并且启用了所有功能。作为贵公司的 DevOps 管理员，您需要加强公司所有 AWS 账户的安全性。管理员应该确定所有帐户中使用的顶级用户和角色。
哪种解决方案可以满足这些要求并提供最高的运营效率？

A. 在 AWS CloudTrail 中创建一个新的组织跟踪。配置您的跟踪以将日志事件发送到 Amazon CloudWatch Logs。为 userIdentity.arn 日志字段创建 CloudWatch Contributor Insights 规则。在 CloudWatch Contributor Insights 中查看结果。

B.使用 AWS Identity and Access Management Access Analyzer 为您的组织生成未使用的访问分析。查看分析器结果并确定每个结果是否具有您的工作负载所需的预期权限级别。

C. 在 AWS CloudTrail 中创建新的组织跟踪。在 Amazon Athena 中创建一个使用分区投影的表。将 CloudTrail 数据加载到 Athena 表中。查询 Athena 表以查找顶级用户和角色。

D. 使用组织为每个帐户生成服务访问报告。从结果中，获取“上次访问日期”和“上次访问帐户”字段以查找顶级用户和角色。

答案：C

解释：
您可以使用 Athena 分区投影通过指定 S3 中日志的结构来优化查询。这极大地简化了跨多个 AWS 账户查询 CloudTrail 日志的流程。

321 / 363

321.

No.321
一家公司有一个 AWS Organizations 组织，其中有许多包含许多 AWS 账户的 Oil。该组织拥有专用的委派管理员 AWS 账户。
该公司要求一个 OU 中的账户将服务器端加密应用于由 AWS CloudFormation 堆栈创建或更新的所有 Amazon Elastic Block Store (Amazon EBS) 卷和 Amazon Simple Queue Service (Amazon SQS) 队列。
在对此 OU 中的帐户执行任何 CloudFormation 堆栈操作之前，哪种解决方案会应用此策略？

A.启用对 CloudFormation StackSets 的可信访问。创建一个 CloudFormation 钩子，将服务器端加密应用于 EBS 卷和 SQS 队列。使用 StackSets 跨 OU 中的账户部署挂钩。

B. 为 OU 中的所有账户配置 AWS Config。使用 AWS Systems Manager 部署 AWS Config 规则，该规则对 OU 中各个账户的 EBS 卷和 SQS 队列应用服务器端加密。

C. 创建一个 SCP，拒绝创建 EBS 卷和 SQS 队列，除非它们具有服务器端加密。将 SCP 附加到 OU。

D. 在委派管理员账户中创建一个 AWS Lambda 函数，检查 EBS 卷和 SQS 队列是否应用了服务器端加密。创建 IAM 角色以向 OU 中的账户提供 Lambda 函数访问权限。

答案：A

解释：
• CloudFormation StackSets 允许您在组织内的多个 AWS 账户和区域部署 CloudFormation 模板。通过启用对 CloudFormation StackSets 的可信访问，您可以管理资源并在 OU 内的多个账户之间统一应用策略。
• CloudFormation 钩子是一种在堆栈操作期间强制执行特定策略或检查的方法。在这种情况下，您可以创建一个钩子来确保在 CloudFormation 堆栈中创建或更新的所有 EBS 卷和 SQS 队列都启用了服务器端加密。
• StackSets 和 Hooks 可以部署到指定 OU 内的所有账户，因此在堆栈操作进行之前会自动实施服务器端加密，从而满足公司政策。

322 / 363

322.

No.322
一家公司在 Amazon EC2 上的 Amazon Elastic Container Service (Amazon ECS) 集群上运行其内部应用程序。 ECS 集群实例可以连接到公共互联网。在您的集群实例上运行的 ECS 任务配置为使用来自私有 Amazon Elastic Container Registry (Amazon ECR) 存储库和公共 ECR 注册表存储库的映像。
新的安全政策要求公司删除 ECS 集群的直接互联网访问。公司必须从托管集群的 VPC 中删除 NAT 网关和 Internet 网关。 DevOps 工程师必须确保 ECS 集群可以从公共 ECR 注册表和私有 ECR 存储库下载镜像。公共 ECR 注册表中的图像必须保持最新。映像的新版本必须在发布后的 24 小时内可供您的 ECS 集群使用。
哪些步骤组合能够满足这些要求，同时最大限度地减少运营开销？（选择三个。）

A. 为将从公共 ECR 注册表下载的每个映像创建一个 AWS CodeBuild 项目和一个新的私有 ECR 存储库。配置每个项目从公共 ECR 存储库中提取映像并将映像推送到新的私有 ECR 存储库。创建一个 Amazon EventBridge 规则，每 24 小时调用一次您的 CodeBuild 项目。更新 ECS 集群中的每个任务定义以指向新的私有 ECR 存储库。

B. 为从公共 ECR 注册表下载的每个图像创建一个新的 Amazon ECR 拉取缓存规则。创建一个调用每个拉通缓存规则的 AWS Lambda 函数。创建一个 Amazon EventBridge 规则，每 24 小时调用一次 Lambda 函数。更新 ECS 集群中的每个任务定义以引用来自拉取缓存的图像。

C. 为公共 ECR 注册表创建新的 Amazon ECR 拉取缓存规则。更新 ECS 集群中的每个任务定义以引用来自拉取缓存的图像。在从您的 VPC 中删除 Internet 访问权限之前，请确保每个公共映像已通过拉取缓存至少下载一次。

D. 为 VPC 中的公共 ECR 存储库创建 Amazon ECR 接口 VPC 终端节点。

E. 为您 VPC 中的私有 ECR 存储库创建一个 Amazon ECR 接口 VPC 终端节点。

F. 在您的 VPC 中创建一个 Amazon S3 网关终端节点。

答案：CEF

解释：
通过使用 Amazon ECR 拉取缓存规则（选项 C）并为私有 ECR（选项 E）和 S3（选项 F）配置必要的 VPC 终端节点，您可以：

消除互联网访问：
从您的 VPC 中删除 NAT 网关和 Internet 网关。

维护图像访问：
允许 ECS 任务无需互联网访问即可从私有和公共 ECR 存储库中提取图像。

图像更新保证：
您将在 24 小时内通过拉通缓存自动收到公共图像更新。
最小化运营开销：
避免使用 CodeBuild、Lambda 和自定义脚本等附加服务进行复杂的配置。

323 / 363

323.

No.323
一家公司有一个使用 AWS CodeBuild 构建容器映像的持续集成管道。创建的图像存储在 Amazon Elastic Container Registry (Amazon ECR) 中。
检查和修复图像漏洞需要花费太多时间。公司希望快速识别图像中的漏洞并将漏洞通知其安全团队。
哪些步骤组合能够满足这些要求，同时最大限度地减少运营开销？（选择两个。）

A. 激活 Amazon ECR 的 Amazon Inspector 增强扫描。配置高级扫描以使用连续扫描。在 Amazon Simple Notification Service (Amazon SNS) 中设置主题。

B. 为 Amazon Inspector 发现结果创建 Amazon EventBridge 规则。将 Amazon Simple Notification Service (Amazon SNS) 主题配置为规则的目标。

C. 为 Amazon ECR 激活 AWS Lambda 增强扫描。配置扩展扫描以使用连续扫描。在 Amazon Simple Email Service (Amazon SES) 中设置主题。

D.创建一个新的 AWS Lambda 函数。当找到扫描结果时，它会调用一个新的 Lambda 函数。

E. 激活 Amazon ECR 对所有容器镜像的默认基本扫描。设置默认基本扫描以使用连续扫描。在 Amazon Simple Notification Service (Amazon SNS) 中设置主题。

答案：AB

解释：
这是基于https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning-enhanced.html的AB。

324 / 363

324.

No.324
DevOps 管理员已建立存储库来存储公司的容器镜像。管理员应设置生命周期规则，以自动删除具有特定标签且超过 15 天的容器映像。
哪种解决方案的运营效率最高并能满足这些要求？

A. 在 Amazon Elastic Container Registry (Amazon ECR) 中创建一个存储库。向存储库添加生命周期策略，使具有匹配标签的图像在 15 天后过期。

B. 在 AWS CodeArtifact 中创建一个存储库。将存储库策略添加到您的 CodeArtifact 存储库，以使具有匹配标签的旧资产在 15 天后过期。

C.在 Amazon S3 中创建一个存储桶。添加存储桶生命周期策略，使具有匹配标签的旧对象在 15 天后过期。

D.创建 EC2 Image Builder 容器配方。添加构建组件，使带有匹配标签的容器在 15 天后过期。

答案：A

解释：
A. 在 Amazon Elastic Container Registry (Amazon ECR) 中创建一个存储库。

325 / 363

325.

No.325
一家公司使用 Amazon Redshift 作为其数据仓库解决方案。该公司希望创建一个仪表板，显示 Redshift 用户所做的更改和他们运行的查询。
哪些步骤组合可以满足此要求？（选择两个）

A.创建一个 Amazon CloudWatch 日志组。创建写入 CloudWatch 日志组的 AWS CloudTrail 跟踪。

B.创建一个新的 Amazon S3 存储桶。在 Redshift 集群中配置默认审计日志。将您的 S3 存储桶设置为目标。

C. 配置 Redshift 集群数据库审计日志以包含用户活动日志。将 Amazon CloudWatch 设置为目标。

D. 创建包含日志小部件的 Amazon CloudWatch 仪表板。配置小部件以显示来自 Redshift 日志的用户详细信息。

E. 创建一个使用 Amazon Athena 查询 Redshift 日志的 AWS Lambda 函数。创建具有使用 Lambda 函数的自定义小部件类型的 Amazon CloudWatch 仪表板。

答案：CD

解释：
要记录用户查询，您必须包含用户活动日志，这需要在 Redshift 集群中进行额外的配置。由于B中没有提到，所以是C。
那么，为了查看这个日志，E 要求日志在 S3 上，所以 D 是唯一的选择。

326 / 363

326.

No.326
一家公司使用 AWS Organizations 中的组织来管理 500 个 AWS 账户。您的组织已启用所有功能。 AWS 账户位于单个 OU 中。开发人员必须对组织成员账户中的所有资源使用 CostCenter 标签键。一些团队在标记其 Amazon EC2 实例时没有使用 CostCenter 标签键。
云团队创建了一个脚本来扫描组织成员账户中的所有 EC2 实例。如果 EC2 实例没有 CostCenter 标签键，脚本会通知 AWS 账户管理员。为了避免此通知，一些开发人员使用在标签值中包含任意字符串的 CostCenter 标签键。
云团队必须确保组织中的所有 EC2 实例都使用具有适当成本中心值的 CostCenter 标签键。
哪种解决方案可以满足这些要求？

A.创建一个 SCP，以防止创建没有 CostCenter 标签键的 EC2 实例。创建一个标签策略，要求所有 EC2 实例上的 CostCenter 标签都是已知成本中心列表中的值。将策略附加到 OU。更新脚本以扫描标签键和标签值。修改脚本以使用 CostCenter 标签键的默认批准标签值更新不合规资源。

B.创建一个 SCP，以防止创建没有 CostCenter 标签键的 EC2 实例。将策略附加到 OU。更新脚本以扫描标签键和标签值，如果标签值无效则通知管理员。

C.创建一个 SCP，以防止创建没有 CostCenter 标签键的 EC2 实例。将策略附加到 OU。在您组织的成员账户中，创建一个 IAM 权限边界，将 CostCenter 标签值限制为有效成本中心列表。

D. 创建一个标签策略，要求所有 EC2 实例上的 CostCenter 标签均为已知成本中心列表中的值。将策略附加到 OU。配置一个 AWS Lambda 函数，将一个空的 CostCenter 标签键添加到您的 EC2 实例。创建一个 Amazon EventBridge 规则，将事件与 RunInstances API 操作匹配，并以 Lambda 函数作为目标。

答案：A

解释：
服务控制策略 (SCP)：创建 SCP 将确保任何创建没有 CostCenter 标签键的 EC2 实例的尝试都将从一开始就被拒绝。这在组织层面强制执行了要求。

标签策略：您可以通过创建标签策略来强制 CostCenter 标签值来自已知列表，从而确保所有 EC2 实例仅使用有效的成本中心值。

更新您的脚本：更新您的脚本不仅可以扫描标签键和值，还可以使用默认的批准标签值更新不合规的资源，以确保合规性并缓解任意字符串值的问题。

综合解决方案：这种方法既解决了 CostCenter 标签的存在问题，又解决了其值的准确性问题，为该问题提供了综合解决方案。

327 / 363

327.

No.327
一名 DevOps 工程师正在使用 AWS CodePipeline 中的管道。该管道具有针对传送到 Amazon S3 存储桶的单页 Web 应用程序的构建和部署操作。 Amazon CloudFront 为 Web 应用程序提供服务。构建操作会创建 Web 应用程序工件。
一名 DevOps 工程师创建了一个 AWS CloudFormation 模板，该模板定义了一个 S3 存储桶并配置了该 S3 存储桶来托管应用程序。 DevOps 工程师在 S3 操作之前配置了 CloudFormation 部署操作。 CloudFormation 部署操作创建一个 S3 存储桶。 DevOps 工程师必须配置 S3 部署操作才能使用 CloudFormation 模板中的 S3 存储桶。
哪些步骤组合可以满足这些要求？（选择两个。）

A. 将名为 BucketName 的输出添加到您的 CloudFormation 模板。将输出的值设置为指向 CloudFormation 模板的 S3 存储桶。配置要导出到名为 Stackvariables 的 AWS::SSM::Parameter 资源的输出值。

B. 将名为 BucketName 的输出添加到您的 CloudFormation 模板。将输出值设置为指向 CloudFormation 模板中的 S3 存储桶。将管道中 CloudFormation 操作的命名空间设置为 StackVariables。

C. 将管道中 CloudFormation 操作的输出工件设置为名为 StackVariables 的 AWS Systems Manager 参数存储参数。将工件命名为 BucketName。

D. 将构建操作中的构建工件配置为 CodePipeline S3 部署操作的输入。使用 StackVariables.BucketName 变量配置部署操作以部署到 S3 存储桶。

E. 将构建操作中的构建工件和 AWS Systems Manager 参数配置为部署操作的输入。使用 StackVariables.BucketName 变量配置部署操作以部署到 S3 存储桶。

答案：BD

解释：
1. 在 CloudFormation 模板中定义一个 BucketName 输出，并将管道中 CloudFormation 操作的命名空间设置为 StackVariables。
2. 使用 S3 部署操作中的 StackVariables.BucketName 变量，在使用构建工件作为输入时动态指定 S3 存储桶。

328 / 363

328.

★No.328
一家公司采用提升和转移策略将工作负载迁移到 AWS。该公司拥有一个由 Amazon EC2 实例组成的 Auto Scaling 组。每个 EC2 实例都运行一个 Web 应用程序、一个数据库和一个 Redis 缓存。
用户体验到的 Web 应用程序响应时间变化很大。对 Web 应用程序的请求被发送到负载很重的单个 EC2 实例。该公司希望分离应用程序组件以提高可用性和性能。
哪种解决方案可以满足这些要求？

A. 为 Web 应用程序创建网络负载均衡器和自动扩展组。将您的数据库迁移到 Amazon Aurora Serverless 数据库。为您的 Redis 缓存创建应用程序负载均衡器和 Auto Scaling 组。

B. 为 Web 应用程序创建应用程序负载均衡器和自动扩展组。将您的数据库迁移到多可用区部署中的 Amazon Aurora 数据库。在单个可用区域中为 Redis 缓存创建网络负载均衡器和 Auto Scaling 组。

C. 为 Web 应用程序创建网络负载均衡器和自动扩展组。将您的数据库迁移到 Amazon Aurora Serverless 数据库。创建一个 Amazon ElastiCache (Redis OSS) 集群用于缓存。创建一个目标组，其 DNS 目标类型包含您的 ElastiCache (Redis OSS) 集群的主机名。

D. 为 Web 应用程序创建应用程序负载均衡器和自动扩展组。将您的数据库迁移到多可用区部署中的 Amazon Aurora 数据库。创建一个 Amazon ElastiCache (Redis OSS) 集群用于缓存。

329 / 363

329.

★No.329
一家公司使用 AWS Organizations 并希望实施满足以下要求的治理策略：
• 对于所有账户，对 AWS 资源的访问均限制在相同的两个区域。
• AWS 服务仅限于所有账户中一组特定的已批准服务。
• 身份验证由 Active Directory 提供。
• 权限按工作职能进行组织，并且每个帐户的权限均相同。
哪种解决方案可以满足这些要求？

A. 建立一个组织单位（OU），并为管理账户制定组策略，以限制区域和批准的服务。使用 AWS CloudFormation StackSets 为每项工作职能配置具有权限的角色，包括每个账户中 IAM 身份提供商身份验证的 IAM 信任策略。

B.建立管理账户的权限边界，限制区域和批准的服务。使用 AWS CloudFormation StackSets 为每项工作职能配置具有权限的角色，包括每个账户中 IAM 身份提供商身份验证的 IAM 信任策略。

C.建立管理账户的服务控制策略，限制区域和批准的服务。使用 AWS 资源访问管理器 (AWS RAM) 共享具有每个工作职能权限的托管账户角色，包括用于每个账户身份验证的 AWS IAM Identity Center。

D.在管理账户中建立服务控制策略，限制区域和批准的服务。使用 AWS CloudFormation StackSets 为每项工作职能配置具有权限的角色，包括每个账户中 IAM 身份提供商身份验证的 IAM 信任策略。

330 / 363

330.

No.330
一家公司检测到其许多 AWS 账户存在异常登录尝试。 DevOps 工程师需要实施一种解决方案，在多次登录尝试失败后通知公司的安全团队。一名 DevOps 工程师已经创建了 Amazon Simple Notification Service (Amazon SNS) 主题并让安全团队订阅了该 SNS 主题。
哪种解决方案能够以最少的操作工作量提供通知？

A. 配置 AWS CloudTrail 以将管理事件发送到 Amazon CloudWatch Logs 日志组。创建与失败的 ConsoleLogin 事件匹配的 CloudWatch Logs 指标过滤器。根据指标过滤器创建 CloudWatch 警报。配置警报操作以向 SNS 主题发送消息。

B. 配置 AWS CloudTrail 以将管理事件发送到 Amazon S3 存储桶。创建一个 Amazon Athena 查询，如果在 S3 存储桶日志中发现登录失败，则返回失败。创建 Amazon EventBridge 规则以定期运行查询。创建第二条 EventBridge 规则来检测查询何时失败并向 SNS 主题发送消息。

C. 配置 AWS CloudTrail 以将数据事件发送到 Amazon CloudWatch Logs 日志组。创建与失败的 ConsoleLogin 事件匹配的 CloudWatch Logs 指标过滤器。根据指标过滤器创建 CloudWatch 警报。配置警报操作以向 SNS 主题发送消息。

D. 配置 AWS CloudTrail 以将数据事件发送到 Amazon S3 存储桶。为 s3:ObjectCreated 事件类型配置 Amazon S3 事件通知。根据 ConsoleLogin 失败事件来过滤事件类型。配置事件通知以转发到 SNS 主题。

答案：A

解释：
“A”无疑是最优雅、最明显的解决方案。
“B” 可能可行，但似乎太复杂了

331 / 363

331.

No.331
一家公司使用 Amazon API Gateway 部署了新的 REST API。该公司使用 API 来访问敏感数据。此 API 仅应从您公司内的特定 VPC 访问。
哪种解决方案可以满足这些要求？

A.创建并将资源策略附加到您的 API 网关 API。配置资源策略以仅允许特定的 VPC ID。

B. 向 API 网关 API 添加安全组。配置入站规则以仅允许特定的 VPC IP 地址范围。

C.创建并将 IAM 角色附加到 API 网关 API。配置 IAM 角色以仅允许特定的 VPC ID。

D. 向 API 网关 API 添加 ACL。配置出站规则以仅允许特定的 VPC IP 地址范围。

答案：A

解释：
API Gateway 支持资源策略，允许您根据特定条件（例如 VPC ID 或 IP 范围）限制访问。您可以将资源策略附加到 API 网关，以仅允许从特定 VPC 进行访问。这是满足只允许特定VPC访问的要求最直接、最安全的方法。

332 / 363

332.

No.332
一家公司使用连接到应用程序负载均衡器 (ALB) 的 Amazon Elastic Container Service (Amazon ECS) 服务来运营网站。服务处于稳定状态并且任务正在成功响应请求。
DevOps 工程师使用新的容器映像更新了任务定义，并将新的任务定义部署到服务。 DevOps 工程师注意到，由于 ALB 健康检查失败，该服务经常停止并启动新任务。
DevOps 工程师应该做什么来排除部署失败的故障？

A. 验证与服务关联的安全组是否允许来自 ALB 的流量。

B. 延长您服务的 ALB 健康检查宽限期。

C. 增加服务的最低健康百分比设置。

D.减少ALB健康检查间隔。

答案：B

解释：
“A” 不正确。问题中说工程师刚刚更新了任务定义中的图像。所以，我们无法影响安全组。
“B”可能是正确的解释。这是因为新的 Docker 容器（基于新镜像）需要更长时间才能启动。因此，更长的宽限期最终可能会导致成功的健康检查结果并消除容器重启。

333 / 363

333.

No.333
一家使用电子病人健康记录的公司在 Amazon Linux 操作系统上运行一批 Amazon EC2 实例。该公司必须不断确保其 EC2 实例运行符合当前隐私法规的操作系统和应用程序补丁。该公司使用自定义存储库来存储应用程序补丁。
DevOps 工程师需要自动化部署操作系统和应用程序补丁。一位 DevOps 工程师想要同时使用默认的操作系统补丁存储库和自定义补丁存储库。
哪种解决方案可以用最少的努力满足这些要求？

A. 使用 AWS Systems Manager 创建一个包含默认操作系统存储库和自定义存储库的新自定义补丁基准。使用运行命令执行 AWS-RunPatchBaseline 文档来验证和安装补丁。使用 BaselineOverride API 配置新的自定义补丁基准。

B.使用 AWS Direct Connect 将自定义存储库与 EC2 实例集成。使用 Amazon EventBridge 事件部署补丁。

C. 使用 yum-config-manager 命令将自定义存储库添加到 /etc/yum.repos.d 配置中：运行 yum-config-manager-enable 命令来激活新的存储库。

D. 使用 AWS Systems Manager 为默认操作系统存储库创建补丁基线，并为自定义存储库创建第二个补丁基线。使用运行命令执行 AWS-RunPatchBaseline 文档来验证和安装补丁。使用 BaselineOverride API 配置默认和自定义补丁基线。

答案：A

解释：
AWS Systems Manager 使您能够创建包含默认操作系统存储库和自定义存储库的自定义补丁基线。这允许对补丁基线进行集中管理。
您可以使用 Systems Manager Run 命令执行 AWS-RunPatchBaseline 文档，以自动执行补丁验证和安装，以遵守当前的隐私法规。
BaselineOverride API 让您可以灵活地使用自定义补丁基线覆盖默认设置，从而简化所有 EC2 实例的修补过程。

334 / 363

334.

★No.334
一家公司使用 AWS Organizations 内的组织来管理多个 AWS 账户。该公司已为其组织启用了所有功能。该公司已将其组织结构构建为根 OU 下的 OU 层次结构。该公司最近将其所有 OU 和所有 AWS 账户注册到 AWS Control Tower。
该公司需要在每个 AWS 账户中定制 AWS Control Tower 管理的 AWS Config 配置记录器。该公司需要将自定义设置应用于现有 AWS 账户以及将来在 AWS Control Tower 中注册的任何新 AWS 账户。
哪些步骤组合可以满足这些要求？（选择三个。）

A.创建一个新的 AWS 账户。在新账户中创建一个 AWS Lambda 函数，以将自定义设置应用于组织中每个 AWS 账户中的 AWS Config 配置记录器。

B. 以 AWS Config 委派管理员身份创建一个新的 AWS 账户。在委派管理员账户中创建 AWS Lambda 函数，以将自定义设置应用于委派管理员账户中的 AWS Config 配置记录器。

C. 在 AWS Control Tower 管理账户中配置 Amazon EventBridge 规则，以便在组织 OU 注册或重新注册时调用 AWS Lambda 函数。重新注册根组织 OU。

D. 在您组织中的每个 AWS 账户中配置 AWSControlTowerExecution IAM 角色，以便由您的 AWS Lambda 函数承担。配置您的 Lambda 函数以承担 AWSControlTowerExecution IAM 角色。

E. 在 AWS Control Tower 管理账户中创建 AWS Lambda 函数可以承担的 IAM 角色。授予 IAM 角色权限以在组织中的任何账户中承担 AWSControlTowerExecution IAM 角色。配置您的 Lambda 函数以使用新的 IAM 角色。

F. 在 AWS Control Tower 管理账户中配置 Amazon EventBridge 规则，以便在 AWS Control Tower 中更新或注册 AWS 账户或更新着陆区时调用 AWS Lambda 函数。重新注册组织中的每个组织 OU。

335 / 363

335.

No.335
一家公司在应用程序负载均衡器 (ALB) 后面的 Amazon EC2 实例的 Auto Scaling 组上运行其应用程序。 EC2 实例运行一个 Docker 容器，该容器向另一个 EC2 实例上运行的 MySQL 数据库发出请求。
DevOps 工程师必须更新他们的应用程序以使用无服务器架构。
哪种解决方案能够以最少的改动满足这一要求？

A.用 AWS Lambda 函数替换在 EC2 实例和 ALB 上运行的容器。将您的 MySQL 数据库替换为与 Amazon Aurora Serverless v2 MySQL 兼容的数据库。

B. 用 AWS Fargate 替换在 EC2 实例上运行的容器。将您的 MySQL 数据库替换为与 Amazon Aurora Serverless v2 MySQL 兼容的数据库。

C. 用 AWS Lambda 函数替换在 EC2 实例和 ALB 上运行的容器。用 Amazon DynamoDB 表替换 MySQL 数据库。

D.用 AWS Fargate 替换在 EC2 实例上运行的容器。用 Amazon DynamoDB 表替换 MySQL 数据库。

答案：B

解释：
正如问题所述，“B”是最容易实现的选项。

其余选项需要从 SQL 迁移到 NoSQL（需要多次代码更改）或从 Docker 容器迁移到 Lambda（需要多次代码更改）。

336 / 363

336.

No.336
一家公司使用 AWS Organizations 中的一个组织来管理 10 个 AWS 账户。所有功能均已启用，并且 AWS CloudFormation 的可信访问也已启用。
DevOps 工程师必须使用 CloudFormation 将 IAM 角色部署到组织管理账户和组织中的所有成员账户。
哪种解决方案能够以最少的运营开销满足这些要求？

A.创建具有服务管理权限的CloudFormation StackSet。将根 OU 设置为部署目标。

B.创建具有服务管理权限的CloudFormation StackSet。将根 OU 设置为部署目标。在 Organizations 管理账户中部署另一个 CloudFormation 堆栈。

C. 创建具有自我管理权限的 CloudFormation StackSet。将根 OU 设置为部署目标。

D. 创建具有自我管理权限的 CloudFormation StackSet。将根 OU 设置为部署目标。在 Organizations 管理账户中部署另一个 CloudFormation 堆栈。

答案：B

解释：
我认为是 B。具有服务管理权限的堆栈集不会部署到管理账户。

“StackSets 不会将堆栈实例部署到组织的管理账户，即使管理账户位于组织内或组织内的 OU 中。”
https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#stacksets-orgs-associate-stackset-with-org

337 / 363

337.

No.337
一家公司运行一款将工件存储在 Amazon S3 存储桶中的应用程序。该应用程序拥有庞大的用户群。此应用程序将大量对象写入 S3 存储桶。该公司已为其 S3 存储桶启用事件通知。
当应用程序将对象写入 S3 存储桶时，它需要同时执行多个处理任务。该公司的 DevOps 团队需要创建 AWS Step Functions 工作流来协调处理任务。
DevOps 团队应采取哪些步骤组合来以最小的运营开销满足这些要求？（选择两个。）

A. 创建一个包含定义处理任务的并行状态的标准工作流。创建一个异步 Express 工作流，其中包含定义处理任务的并行状态。

B. 创建一个同步 Express 工作流，其中包含定义处理任务的地图状态。

C. 创建一个与新 S3 对象创建时间匹配的 Amazon EventBridge 规则。配置 EventBridge 规则以调用 AWS Lambda 函数。配置 Lambda 函数以启动处理工作流程。

D. 创建一个与新 S3 对象创建时间匹配的 Amazon EventBridge 规则。配置 EventBridge 规则以启动处理工作流程。

答案：A.D.

解释：
存在拼写错误，选项 B 包含在选项 A 中。选择标准工作流而不是快速工作流，建议用于长期运行（长达一年）、持久且可审计的工作流。 Express Workflows 非常适合大容量事件处理工作负载，例如物联网数据提取、流数据处理和转换以及移动应用程序后端，并且可以运行长达五分钟。

338 / 363

338.

No.338
DevOps 团队支持在应用程序负载均衡器 (ALB) 后面的 Amazon Elastic Container Service (Amazon ECS) 集群上运行的应用程序。目前，DevOps 团队使用 AWS CodeDeploy 以蓝绿一次性策略部署应用程序。最近，应用程序的新版本导致请求响应时间显著增加，迫使 DevOps 团队回滚部署。
DevOps 团队应该使用一种部署策略，使他们能够在将所有流量转移到新版本之前监控应用程序的新版本。如果您的应用程序的新版本增加了响应时间，您应该尽快回滚部署。
哪些步骤组合可以满足这些要求？（选择两个。）

A. 修改您的 CodeDeploy 部署以使用 CodeDeployDefault.ECSCanary10Percent5Minutes 配置。

B. 修改您的 CodeDeploy 部署以使用 CodeDeployDefault.ECSLinear10PercentEvery3Minutes 配置。

C. 创建 Amazon CloudWatch 警报来监控您的 ALB 的 UnHealthyHostCount 指标。设置当指标高于所需值时激活的警报。将警报与 CodeDeploy 部署组关联。修改部署组以在部署失败时回滚。

D. 创建 Amazon CloudWatch 警报来监控 ALB 的 TargetResponseTime 指标。设置当指标高于期望值时激活的警报。将警报与 CodeDeploy 部署组关联。修改部署组，当达到警报阈值时进行回滚。

E. 创建 Amazon CloudWatch 警报来监控您的 ALB 的 TargetConnectionErrorCount 指标。设置当指标高于期望值时激活的警报。将警报与 CodeDeploy 部署组关联。修改部署组，当达到警报阈值时进行回滚。

答案：A.D.

解释：
使用 CodeDeployDefault.ECSCanary10Percent5Minutes 的金丝雀部署策略允许进行受控的逐步部署，从而让您能够监控新版本的性能。同时，使用 CloudWatch 警报监控 TargetResponseTime 将帮助您及早发现响应时间的任何问题，从而让您快速回滚到以前的稳定版本。

339 / 363

339.

No.339
安全团队需要记录 AWS 资源的配置、检测问题并发送发现的通知。您的 AWS 账户中的主要工作负载由一天内多次扩展和缩小的 Amazon EC2 Auto Scaling 组组成。
如果 Amazon EC2 安全组允许 0.0.0.0/0 上的端口 22 上的流量，该团队希望在两天内收到通知。团队还应定期对其 AWS 资源配置进行快照。
安全团队已经创建并订阅了 Amazon Simple Notification Service (Amazon SNS) 主题。
哪种解决方案可以满足这些要求？

A.配置 AWS Config 以对您的 AWS 账户使用定期记录。部署 vpc-sg-port-restriction-check AWS Config 托管规则。配置 AWS Config 以使用 SNS 主题作为通知目标。

B. 配置 AWS Config 以使用您的 AWS 账户的配置变更记录。部署 vpc-sg-open-only-to-authorized-ports AWS Config 托管规则。配置 AWS Config 以使用 SNS 主题作为通知目标。

C. 配置 AWS Config 以使用您的 AWS 账户的配置变更记录。部署具有 ssh 限制的 AWS Config 托管规则。配置 AWS Config 以使用 SNS 主题作为通知目标。

D. 创建一个 AWS Lambda 函数来评估安全组并向 SNS 主题发布消息。使用 Amazon EventBridge 规则安排 Lambda 函数每天运行一次。

答案：C

解释：
配置变更记录：当您将 AWS Config 配置为使用配置变更记录时，系统会在您的 AWS 资源配置发生变更时持续监控和记录这些配置。这可确保实时合规性监控并减少检测延迟。

适当的托管规则：具有 ssh 限制的 AWS Config 托管规则专门检查允许不受限制的 SSH（端口 22）访问的安全组。此规则直接满足了您的要求：如果您的 EC2 安全组允许端口 22 上的 0.0.0.0/0 上的流量，则会收到通知。

设置通知：可以将 AWS Config 配置为使用 SNS 主题，以便在违反规则时在指定的时间范围内通知您的安全团队。一旦检测到不合规资源，AWS Config 就可以向 SNS 主题发送通知。

340 / 363

340.

No.340
公司可以使用 Amazon CloudFront 分发来提供自己的数据。该公司需要确保只有来自已知 IP 地址范围的总部用户才能访问分发。 AWS WAF Web ACL 与分发相关联，并且默认操作设置为计数。
哪种解决方案能够以最少的运营开销满足这些要求？

A.创建一个新的正则表达式模式集。将正则表达式模式集添加到新规则组。创建一个新的 Web ACL，并将默认操作设置为阻止。将 Web ACL 与您的 CloudFront 分发关联。根据新规则组添加允许流量的规则。

B. 创建与您公司办公室的 IP 地址范围相匹配的 AWS WAF IP 地址集。创建一个新的 Web ACL，并将默认操作设置为“允许”。将 Web ACL 与您的 CloudFront 分发关联。添加规则以允许来自 IP 地址集的流量。

C.创建一个新的正则表达式模式集。将正则表达式模式集添加到新规则组。将现有 Web ACL 的默认操作设置为允许。添加一个优先级为 0 的规则，该规则根据正则表达式模式集允许流量。

D.创建与企业办公室IP地址范围相匹配的WAF IP地址集。将现有 Web ACL 的默认操作设置为“阻止”。添加优先级为 0 的规则以允许来自 IP 地址集的流量。

答案：D

解释：
使用现有的 Web ACL：此方法利用现有的 Web ACL，最大限度地减少创建新 ACL 的需要并降低运营开销。
IP 地址集：您可以通过创建与公司办公室的 IP 地址范围相匹配的 WAF IP 地址集来定义允许访问的确切 IP 地址。
默认阻止：将默认操作设置为阻止，仅允许来自定义的 IP 地址的流量，从而满足您的安全要求。
高优先级规则：添加允许来自一组 IP 地址的流量的高优先级规则（优先级 0）可确保来自公司办公室的合法流量不被阻止。

341 / 363

341.

No.341
一家公司在同一个 AWS 账户上运行多个应用程序。该应用程序将日志发送到 Amazon CloudWatch。
数据分析团队需要从应用程序中收集性能指标和自定义指标。分析团队需要在将数据存储到 Amazon S3 存储桶之前转换指标数据。分析团队需要在将新指标添加到 CloudWatch 命名空间时自动收集它们。
哪种解决方案能够满足这些要求，同时最大限度地减少运营开销？

A.配置 CloudWatch 指标流以包含来自您的应用程序和 CloudWatch 命名空间的指标。配置指标流以将指标传送至 Amazon Data Firehose 传输流。配置 Firehose 传输流以调用 AWS Lambda 函数来转换数据。配置传输流以将转换后的数据发送到 S3 存储桶。

B. 配置 CloudWatch 指标流以包含所有指标并将指标传送到 Amazon Data Firehose 传输流。配置 Firehose 传输流以调用 AWS Lambda 函数来转换数据。配置传输流以将转换后的数据发送到 S3 存储桶。

C. 通过为 CloudWatch 日志配置指标过滤器来创建自定义指标。配置 CloudWatch 指标流以将应用程序指标传送至 S3 存储桶。

D. 为应用程序日志组配置订阅过滤器，以定位 Amazon Data Firehose 传输流。配置 Firehose 传输流以调用 AWS Lambda 函数来转换数据。配置传输流以将转换后的数据发送到 S3 存储桶。

答案：A

解释：
要求如下：

1. 从 CloudWatch 收集性能和自定义指标。

2. 自动包含添加到命名空间的任何新指标。

3.转换指标数据。

4. 将转换后的数据保存到 S3 存储桶。

5.尽量减少运营开销。

选项 A：配置 CloudWatch 指标流以包含来自您的应用程序和 CloudWatch 命名空间的指标。配置指标流以将指标传送至 Amazon Data Firehose 传输流。配置 Firehose 传输流以调用 AWS Lambda 函数来转换数据。配置传输流以将转换后的数据发送到 S3 存储桶。

342 / 363

342.

No.342
一家公司使用 HPC 平台运行数据分析作业。该公司使用 AWS CodeBuild 构建容器映像并将映像存储在 Amazon Elastic Container Registry (Amazon ECR) 中。然后将图像部署到 Amazon Elastic Kubernetes Service (Amazon EKS)。
为了保持合规性，公司必须确保在将图像部署到 Amazon EKS 之前对其进行签名。签名密钥应该定期轮换并自动管理。公司需要追踪谁生成了签名。
哪种解决方案能够以最少的运营努力满足这些要求？

A.使用 CodeBuild 检索之前推送到 Amazon ECR 的图像。使用 AWS Signer 对图像进行签名。使用 AWS CloudTrail 来跟踪谁生成了签名。

B. 使用 AWS Lambda 检索之前推送到 Amazon ECR 的图像。使用 Lambda 函数对图像进行签名。使用 Amazon CloudWatch 跟踪谁生成签名。

C. 使用 AWS Lambda 检索之前推送到 Amazon ECR 的图像。使用 AWS Signer 对图像进行签名。使用 Amazon CloudWatch 跟踪谁生成签名。

D.使用CodeBuild构建镜像。在将图像推送到 Amazon ECR 之前，请使用 AWS Signer 对其进行签名。使用 AWS CloudTrail 来跟踪谁生成了签名。

答案：D

解释：
该解决方案以最少的操作努力满足所有要求。原因：

1. 使用 AWS Signer 对图像进行签名：

2. 自动密钥轮换：

3. 追踪谁签署了图像：

4.使用CodeBuild创建镜像：

5. 最少的操作努力：

343 / 363

343.

No.343
一家公司使用 AWS CodeArtifact 存储库来存储内部开发的 Python 包。 DevOps 工程师需要使用 AWS CodeDeploy 将应用程序部署到 Amazon EC2 实例。该应用程序使用存储在 CodeArtifact 存储库中的 Python 包。 BeforeInstall 生命周期事件挂钩安装该包。
DevOps 工程师需要授予 EC2 实例对 CodeArtifact 存储库的访问权限。
哪种解决方案可以满足这一要求？

A. 为 CodeArtifact 创建服务相关角色。将角色与 EC2 实例关联。在实例上使用 aws codeartifact get-authorization-token CLI 命令。

B. 在 CodeArtifact 存储库上放置基于资源的策略，允许 EC2 实例主体执行 ReadFromRepository 操作。

C. 配置 CodeArtifact 存储库的 ACL 以允许 EC2 实例访问 Python 包。

D.创建一个包含有权访问 CodeArtifact 的 IAM 角色的实例配置文件。将实例配置文件与 EC2 实例关联。在实例上使用 aws codeartifact login CLI 命令。

答案：D

解释：
D.创建一个包含有权访问 CodeArtifact 的 IAM 角色的实例配置文件。将实例配置文件与 EC2 实例关联。在实例上使用 aws codeartifact login CLI 命令。

解释：

要允许您的 EC2 实例访问您的 CodeArtifact 存储库，您的 EC2 实例必须具有与 AWS CodeArtifact 交互所需的 IAM 权限。选项D是最佳解决方案，因为：

344 / 363

344.

No.344
一家公司有一个文件读取应用程序，该应用程序将文件存储在 Amazon EC2 实例上运行的数据库中。法规要求您的公司每天在特定时间从 EC2 实例中删除文件。公司必须删除超过 60 天的数据库记录。
删除数据库记录必须在删除文件之后进行。该公司创建了一个脚本来删除文件和数据库记录。如果删除脚本失败，公司需要收到电子邮件通知。
哪种解决方案能够以最少的开发工作量满足这些要求？

A.使用 AWS Systems Manager State Manager 每天在指定时间自动调用 Systems Manager Automation 文档。配置自动化文档，使用运行命令按顺序运行删除脚本。创建 Amazon EventBridge 规则，使用 Amazon Simple Notification Service (Amazon SNS) 向您的公司发送故障通知。

B. 使用 AWS Systems Manager State Manager 每天在指定时间自动调用 Systems Manager Automation 文档。配置自动化文档，使用运行命令按顺序运行删除脚本。在自动化文档中创建一个条件语句作为检查错误的最后一步。使用 Amazon Simple Email Service (Amazon SES) 以电子邮件消息的形式向公司发送故障通知。

C. 创建一个 Amazon EventBridge 规则，在指定时间调用 AWS Lambda 函数。向 Lambda 函数的基于资源的策略添加调用所需的权限。配置 Lambda 函数以按顺序执行删除脚本。配置 Lambda 函数以使用 Amazon Simple Notification Service (Amazon SNS) 向您的公司发送故障通知。

D. 创建一个 Amazon EventBridge 规则，在指定时间调用 AWS Lambda 函数。向 Lambda 函数的基于资源的策略添加调用所需的权限。配置 Lambda 函数以按顺序执行删除脚本。配置 Lambda 函数以使用 Amazon Simple Email Service (Amazon SES) 将故障通知作为电子邮件消息发送到您的公司。

答案：A

解释：
选项 A 以最少的开发工作提供了最有效的解决方案。使用 AWS Systems Manager Automation 来协调删除脚本的执行，并使用 Amazon SNS 来处理失败通知。这比使用 SES 更简单、更精简。

345 / 363

345.

No.345
一家公司使用 AWS Organizations 中的组织并启用所有功能来管理其 AWS 账户。 Amazon EQ 实例在您的 AWS 账户中运行。
该公司要求所有当前 EC2 实例都使用实例元数据服务版本 2 (IMDSv2)。该公司需要阻止来自不使用 IMDSv2 的 EC2 实例的 AWS API 调用。
哪种解决方案可以满足这些要求？

A. 创建一个新的 SCP 语句，如果 ec2:MetadataHttpTokens 条件键不等于 required 的值，则拒绝 ec2:RunInstances 操作。将 SCP 附加到您的组织的根目录。

B. 创建一个新的 SCP 语句，如果 ec2:MetadataHttpPutResponseHopLimit 条件键的值大于 2，则拒绝 ec2:RunInstances 操作。将 SCP 附加到您的组织的根目录。

C. 创建一个新的 SCP 语句，如果 ec2:RoleDelivery 条件键值小于 2，则拒绝“*”。将 SCP 附加到您的组织的根目录。

D. 创建一个新的 SCP 语句，如果 ec2:MetadataHttpTokens 条件键值不等于 required，则拒绝。将 SCP 附加到您的组织的根目录。

答案：D

解释：
我认为是 D。
您肯定需要使用 ec2：MetadataHttpTokens 条件键，但如果您仅拒绝 ec2：RunInstances，则正在运行的 EC2 实例可以进行 AWS API 调用。即使您不使用 IMDSv2。

346 / 363

346.

No.346
DevOps 团队支持在 Auto Scaling 组中的大量 Amazon EC2 实例上运行的应用程序。 DevOps 团队使用 AWS CloudFormation 部署 EC2 实例。我最近在使用应用程序时遇到了一个问题。一个实例对大多数请求都返回了错误。 EC2 实例对 Amazon EC2 和 Elastic Load Balancing 健康检查的响应均为健康。
DevOps 团队使用嵌入式指标格式在 Amazon CloudWatch 中收集应用程序日志。如果任何一个 EC2 实例导致超过一半的错误，DevOps 团队需要收到警报。
哪些步骤组合可以满足这些要求，同时最大限度地减少运营开销？（选择两个。）

A.创建一个 CloudWatch Contributor Insights 规则，根据实例 ID 和错误对来自 CloudWatch 应用程序日志的日志进行分组。

B. 在 AWS 资源组中创建资源组。使用 CloudFormation 堆栈为您的应用程序分组资源。将您的应用程序添加到 CloudWatch Application Insights。使用资源组来识别您的应用程序。

C. 为应用程序日志创建一个度量过滤器，以统计术语“错误”的出现次数。创建一个 CloudWatch 警报，使用 METRIC_COUNT 函数来确定是否发生错误。配置 CloudWatch 警报以向 Amazon Simple Notification Service (Amazon SNS) 主题发送通知，从而通知您的 DevOps 团队。

D. 创建一个 CloudWatch 警报，使用 INSIGHT_RULE_METRIC 函数来确定特定实例是否对 EC2 实例报告的所有错误的一半以上负责。配置 CloudWatch 警报以向 Amazon Simple Notification Service (Amazon SNS) 主题发送通知，从而通知您的 DevOps 团队。

E. 为应用程序日志创建 CloudWatch 订阅过滤器，过滤错误并调用 AWS Lambda 函数。配置 Lambda 函数以通过实例 ID 和错误向 Amazon Simple Notification Service (Amazon SNS) 主题通知您的 DevOps 团队。

答案：A.D.

解释：
A 和 D 提供了一种简化的自动化方法来追踪导致错误的 EC2 实例。通过设置高错误百分比并在超过此阈值时发送警报，可以最大限度地减少人工干预和操作开销。

347 / 363

347.

No.347
一家公司使用 AWS CloudFormation 执行应用程序环境部署。最近更新现有 CloudFormation 堆栈时部署失败。 DevOps 工程师发现堆栈中的某些资源已被手动修改。
DevOps 工程师需要一种解决方案来检测资源的手动更改并向 DevOps 领导发送警报。
哪种解决方案能够以最少的运营努力满足这些要求？

A.创建一个 Amazon Simple Notification Service (Amazon SNS) 主题。使用电子邮件地址订阅 DevOps 领导者的主题。使用 CLOUDFORMATION_STACK_DRIFT_DETECTION_CHECK 标识符创建 AWS Config 托管规则。创建一个在任何 NON_COMPLIANT 资源状态下调用的 Amazon EventBridge 规则。将 SNS 主题配置为规则目标。

B. 用特定标签标记所有 CloudFormation 资源。使用 AWS Config Rules Development Kit 库 (RDKlib) 创建自定义 AWS Config 规则，检查具有特定标签的所有资源更改。配置自定义规则，如果更改不是由 CloudFormation 执行，则将所有标记的资源更改标记为 NON_COMPLIANT。创建一个在任何 NON_COMPUANT 资源状态下调用的 Amazon EventBridge 规则。创建一个 AWS Lambda 函数，向 DevOps 负责人发送电子邮件。将 Lambda 函数配置为规则目标。

C. 创建一个 Amazon Simple Notification Service (Amazon SNS) 主题。使用电子邮件地址订阅 DevOps 领导者的主题。使用 CLOUDFORMATION_STACK_DRIFT_DETECTION_CHECK 标识符创建 AWS Config 托管规则。创建一个在任何符合要求的资源状态下调用的 Amazon EventBridge 规则。将 SNS 主题配置为规则目标。

D. 使用 CLOUDFORMATION_STACK_DRIFT_DETECTION_CHECK 标识符创建 AWS Config 托管规则。创建一个在任何 NON_COMPLIANT 资源状态下触发的 Amazon EventBridge 规则。创建一个 AWS Lambda 函数，向 DevOps 负责人发送电子邮件。将 Lambda 函数配置为规则的目标。

答案：A

解释：
关键要求：

1. 检测 CloudFormation 管理资源的手动更改。

2.当检测到此类变化时，他们会向 DevOps 领导发送警报。

3. 它以最少的操作努力实现这一目标。

348 / 363

348.

No.348
DevOps 工程师使用 AWS Control Tower 部署多个 AWS 账户，以支持公司内的各个业务、技术和管理部门。安全团队需要他们的 DevOps 工程师为企业自动化 AWS Control Tower 护栏。必须将防护措施应用于 AWS Organizations 中企业组织的 OU 内的所有账户。
安全团队需要一个能够提供版本控制以及必要时进行审查和回滚的能力的解决方案。安全团队负责控制 OU 内的解决方案。安全团队希望限制允许的护栏类型，并且只允许安全团队批准的新护栏。
哪种解决方案的运营效率最高并能满足这些要求？

A.为您的护栏创建单独的 AWS CloudFormation 模板。将模板保存在 AWS CodeCommit 存储库中。在模板中为组织中的每个 OU 创建一个 AWS::ControlTower::EnableControl 逻辑资源。配置一个 AWS Code Build 项目，该项目将为您的安全团队触发针对 AWS CodeCommit 更改的 Amazon EventBridge 规则。

B. 创建与您的护栏相一致的单独 AWS CloudFormation 模板。将模板保存在 AWS CodeCommit 存储库中。在您组织的每个账户的模板中创建一个 AWS::ControlTower::EnableControl 逻辑资源。在您的安全团队的账户中设置 AWS CodePipeline 管道。指示您的安全团队调用管道并在管道启动时提供这些参数。

C. 创建与您的护栏相一致的单独 AWS CloudFormation 模板。将模板保存在 AWS CodeCommit 存储库中。在模板中为组织中的每个 OU 创建一个 AWS::ControlTower::EnableControl 逻辑资源。在您的安全团队的账户中设置一个 AWS CodePipeline 管道，该管道将由 Amazon EventBridge 规则调用，以执行您的安全团队的 CodeCommit 更改。

D. 在安全团队的账户中，配置一个 AWS CodePipeline 管道，其中 Amazon EventBridge 规则调用 PutObject 事件到 Amazon S3 存储桶。创建与您的防护措施相匹配的单独 AWS CloudFormation 模板。将模板保存在 S3 存储桶中。在模板中为组织中的每个 OU 创建一个 AWS::ControlTower::EnableControl 逻辑资源。

答案：C

解释：
选项 C 是自动化 AWS Control Tower 护栏的最有效且可扩展的解决方案，同时最大限度地减少运营开销并满足您的安全团队对版本控制、批准和回滚的要求。为此，我们使用 CodeCommit、CodePipeline 和 EventBridge 来利用最佳的 AWS 服务。

349 / 363

349.

No.349
一家公司在 Amazon Elastic Kubernetes Service (Amazon EKS) 上运行 Web 应用程序。该公司使用 Amazon CloudFront 来分发其应用程序。该公司最近启用了 AWS WAF。该公司配置了 Amazon CloudWatch Logs 以将日志发送到 aws-waf-logs 日志组。
该公司希望，如果阻塞流量发生任何突然变化，他们的 DevOps 工程师能够收到警报。该公司不希望收到有关其 AWS WAF 日志行为的任何其他变化的警报。该公司将随着时间的推移调整其 AWS WAF 规则。
DevOps 工程师当前订阅了此环境的 Amazon Simple Notification Service (Amazon SNS) 主题。
哪种解决方案可以满足这些要求？

A.通过为 AWS WAF 日志组中的被阻止请求创建 CloudWatch Logs 指标过滤器来创建自定义指标。使用 CloudWatch 异常检测和公开的自定义指标创建 CloudWatch 警报。设置警报以通知 SNS 主题来提醒 DevOps 工程师。

B. 为日志组创建 CloudWatch 异常检测器。使用 CloudWatch 异常检测器发出的指标创建 CloudWatch 警报。对 LogAnomalyPriority 指标使用高设置。设置警报，当检测到一个异常的静态阈值时进入警报状态。设置警报以通知 SNS 主题来提醒 DevOps 工程师。

C. 为 AWS WAF 日志组中计数的请求创建 CloudWatch 指标过滤器并创建自定义指标。创建一个 CloudWatch 警报，当一小时内针对您的自定义指标的阻止请求总数超过每小时允许的阻止请求数量的静态估计值时，该警报就会激活。设置警报以通知 SNS 主题来提醒 DevOps 工程师。

D. 为日志组创建 CloudWatch 异常检测器。使用 CloudWatch 异常检测器发出的指标创建 CloudWatch 警报。对 LogAnomalyPriority 指标使用中等设置。设置警报，如果一小时内的异常总数超过预期值，则进入警报状态。设置警报以通知 SNS 主题来提醒 DevOps 工程师。

答案：A

解释：
选择选项A
如果你想检测被阻止的请求的突然变化，你不可能在一小时内做到这一点。因为一个小时太长了。如果被阻止的请求在那一小时内迅速恢复正常会怎样？我相信使用异常检测可以为您提供上限和下限，使您免于定义和调整静态阈值。

350 / 363

350.

No.350
一家视频平台公司正在将其视频目录迁移到 AWS。该公司在 Amazon S3 存储桶上托管 MP4 视频文件。该公司使用 Amazon CloudFront 和 Amazon EC2 实例来提供视频文件。
用户首先连接到重定向到视频 URL 的前端应用程序。视频 URL 包含 CloudFront 的身份验证令牌。缓存已在您的 CloudFront 分发版上激活。身份验证令牌检查活动必须记录在 Amazon CloudWatch 中。
该公司希望阻止直接访问 CloudFront 和 Amazon S3 上的视频文件，并实施对前端应用程序提供的身份验证令牌的检查。该公司还希望对检查身份验证令牌签名的代码进行定期滚动更新。
哪种解决方案能够以最少的运营努力满足这些要求？

A. 使用 Lambda@Edge 作为 CloudFront 分发的触发器来实现身份验证令牌检查。为您的 Lambda@Edge 函数启用 CloudWatch 日志记录。将 Lambda@Edge 函数附加到您的 CloudFront 分发。实现 CloudFront 的持续部署以执行更新。

B. 在 CloudFront Functions 中实现身份验证令牌检查。为您的 CloudFront 函数启用 CloudWatch 日志记录。将 CloudFront 函数附加到您的 CloudFront 分发。实施CloudFront持续部署来执行更新。

C. 在安装在 EC2 实例上的应用程序代码中实现身份验证令牌检查。在您的 EC2 实例上安装 CloudWatch 代理。配置您的应用程序以记录到 CloudWatch 代理。实现第二个 CloudFront 分发。使用 Amazon Route 53 加权路由将流量从初始 CloudFront 分配转移出去。

D.在 CloudFront Functions 中实现身份验证令牌检查。为您的 CloudFront 函数启用 CloudWatch 日志记录。将 CloudFront 函数附加到您的 CloudFront 分发。实现第二个 CloudFront 分发。使用 Amazon Route 53 加权路由将流量从初始 CloudFront 分配转移出去。

答案：B

解释：
CloudFront Functions 是一个轻量级的、基于 JavaScript 的环境，它在边缘运行，旨在实现低延迟和高性能。它非常适合诸如身份验证检查之类的简单任务。
如果您为 CloudFront Functions 启用 CloudWatch 日志记录，则身份验证令牌检查活动将被记录，从而提供对该过程的可见性。
为 CloudFront 实施持续部署简化了对功能进行滚动更新的过程，使您能够快速、无缝地部署新代码。

351 / 363

351.

No.351
一家公司使用 AWS Organizations 中的组织来管理分层结构中的多个 AWS 账户。与组织根关联的 SCP 允许您创建 IAM 用户。
DevOps 团队需要能够创建具有任何级别权限的 IAM 用户。开发人员还需要能够创建 IAM 用户。但是，开发人员必须确保新的 IAM 用户不会被授予过多的权限。开发人员在每个账户中都具有 CreateAndManageUsers 角色。 DevOps 团队需要阻止其他用户创建 IAM 用户。
哪些步骤组合可以满足这些要求？（选择两个。）

A. 在您的组织中创建一个 SCP，以防止用户创建或修改 IAM 用户。将 SCP 附加到您的组织的根目录。将 CreateAndManageUsers 角色附加到开发人员。

B. 在您的组织中创建一个 SCP，授予附加了 DeveloperBoundary 策略的用户创建新 IAM 用户和修改 IAM 用户的权限。配置 SCP 以要求用户将 PermissionBoundaries 策略附加到新的 IAM 用户。将 SCP 附加到您的组织的根目录。

C. 在每个账户中创建一个名为 PermissionBoundaries 的 IAM 权限策略。配置 PermissionBoundaries 策略以指定开发人员可以授予新 IAM 用户的最大权限。

D. 在每个账户中创建一个名为 PermissionBoundaries 的 IAM 权限策略。设置 PermissionsBoundaries 以允许具有 PermissionBoundaries 策略的用户创建新的 IAM 用户。

E. 在每个账户中创建一个名为 DeveloperBoundary 的 IAM 权限策略。您可以配置 DeveloperBoundary 策略以允许开发人员创建 IAM 用户，并且仅当他们将 PermissionBoundaries 策略作为权限边界包含时才将策略分配给 IAM 用户。将 DeveloperBoundary 策略附加到每个账户中的 CreateAndManageUsers 角色。

答案：CE

解释：
1.创建 IAM 用户：
• DevOps 团队和开发人员都需要能够创建 IAM 用户。
2.权限控制：
• 应限制开发人员创建的IAM 用户被授予过多的权限。
3.防止未经授权的 IAM 用户创建：
• 只有指定角色（DevOps 和开发人员）才可以创建IAM 用户。

为实现此目的，AWS 权限边界提供了一种有效的方法来对开发人员可以分配的权限应用限制。

352 / 363

352.

No.352
一家公司已经部署了一个具有明确定义的 AWS 组织结构和 SCP 的登陆区。该公司的开发团队只能使用 AWS CloudFormation 和 AWS 云开发工具包 (AWS CDK) 来创建 AWS 资源。
一位 DevOps 工程师注意到，部署在不同 CloudFormation 堆栈中的 Amazon Simple Queue Service (Amazon SQS) 队列具有不同的配置。 DevOps 工程师还发现应用程序的成本分配标签并不总是设置。
DevOps 工程师需要一种强制标记并鼓励代码重用的解决方案。 DevOps 工程师需要避免部署 SQS 队列的不同配置。
DevOps 工程师应该怎么做才能满足这些要求？

A.创建一个组织标签策略，在 CloudFormation 堆栈上强制执行成本分配标签。指导您的开发团队使用 CloudFormation 定义 SQS 队列。指导您的开发团队使用 CloudFormation StackSets 部署 SQS 队列。

B.更新 SCP 以在 CloudFormation 堆栈中应用成本分配标签。指导您的开发团队使用 CloudFormation 模块定义 SQS 队列。指导您的开发团队使用 CloudFormation 堆栈部署 SQS 队列。

C.使用 AWS CDK 标记在 CloudFormation StackSets 中应用成本分配标签。指导您的开发团队使用 AWS CDK 定义 SQS 队列。指导您的开发团队使用 CDK 堆栈部署 SQS 队列。

D.使用 AWS CDK 标记在 CloudFormation 堆栈中应用成本分配标签。指导您的开发团队使用 AWS CDK 定义 SQS 队列。指导您的开发团队使用 CDK 功能标志部署 SQS 队列。

答案：C

解释：
回答：
通过 StackSets 在所有帐户上应用标记。
使用 CDK 堆栈以相同的配置部署 SQS。

353 / 363

353.

No.353
DevOps 团队管理公司的 AWS 账户。一家公司希望某些 AWS 资源配置更改能够自动恢复。
哪种解决方案可以满足这一要求？

A.使用 AWS Config 规则检测资源配置的变化。使用 AWS Systems Manager Automation 文档配置补救措施以恢复配置更改。

B. 使用 Amazon CloudWatch 警报监控资源指标。当警报激活时，使用 Amazon Simple Notification Service (Amazon SNS) 主题通知管理员手动恢复配置更改。

C. 使用 AWS CloudFormation 创建一个部署所需配置更改的堆栈。如果需要恢复配置更改，请更新堆栈。

D.使用 AWS Trusted Advisor 检查不合规的配置。根据 Trusted Advisor 建议手动应用任何所需的更改。

答案：A

解释：
最优解为A。使用 AWS Config 规则监控资源配置更改，并使用 AWS Systems Manager Automation 文档配置补救措施以自动恢复不合规的配置更改。这提供了一种自动化、可扩展的解决方案，以满足自动恢复某些 AWS 资源配置更改的要求。

354 / 363

354.

★No.354
一家公司在其 AWS 账户中托管一个应用程序。您的应用程序将包含敏感信息的对象存储在 Amazon S3 存储桶中。
企业应该捕获对象级 S3 API 调用，包括因使用无效凭证而拒绝的调用。
哪种解决方案可以满足这些要求？

A. 在您的账户中创建 AWS CloudTrail 跟踪。启用 S3 数据事件日志记录。配置一条跟踪以记录到 Amazon CloudWatch。

B.创建一个新的 S3 存储桶。在应用程序的 S3 存储桶上配置访问日志记录。将您的访问日志传送到新的 S3 存储桶。

C. 为您的账户配置启用 S3 保护的 Amazon GuardDuty。创建一个与您的 S3 存储桶相关的结果相匹配的 Amazon EventBridge 规则。配置规则以使用 Amazon Simple Queue Service (Amazon SQS) 队列作为目标。

D. 在您的账户中创建 AWS CloudTrail 跟踪和新的 S3 存储桶。配置一条跟踪以记录到 S3 中的新存储桶。

355 / 363

355.

★No.355
DevOps 管理员负责管理公司的 Amazon CloudWatch Logs 日志组的安全性。贵公司的安全政策要求，员工 ID 不应出现在日志中，只有授权人员才能看到。员工 ID 遵循 Emp-XXXXXX 模式，其中每个 X 都是一个数字。
审计发现，员工 ID 位于一个日志文件中。工程师可以查看日志文件，但是工程师没有权限查看员工 ID。该工程师目前拥有 AWS IAM Identity Center 权限，允许在账户中的所有资源上记录日志：*。
管理员应该屏蔽员工 ID，以便未经授权的人员无法看到包含员工 ID 的新日志条目。
哪种解决方案的运营效率最高并能满足这些要求？

A. 为日志组创建新的数据保护策略。添加 Emp-\d{6} 自定义数据标识符设置。创建一个 IAM 策略，针对资源上的 Action":"logs:Unmask" 权限执行拒绝操作。将该策略附加到工程账户。

B. 为日志组创建新的数据保护策略。将管理数据标识符添加到个人数据类别。创建一个 IAM 策略，针对资源上的“NotAction”：“logs:Unmask”权限执行拒绝操作。将该政策附加到工程帐户。

C. 创建一个 AWS Lambda 函数，解析日志文件条目、删除员工 ID 并将结果写入新的日志文件。在您的日志组中创建 Lambda 订阅过滤器并选择您的 Lambda 函数。授予日志组的 lambda:InvokeFunction 权限。

D. 创建一个以 Amazon S3 存储桶为目的地的 Amazon Data Firehose 传输流。在使用 Firehose 传输流的日志组上创建 Firehose 订阅过滤器。从工程账户中删除“logs:*”权限。在 S3 存储桶上创建一个 Amazon Macie 作业。 Emp-\d{6} 自定义标识符。第No.355 DevOps 管理员负责管理公司的 Amazon CloudWatch Logs 日志组的安全性。贵公司的安全政策要求，员工 ID 不应出现在日志中，只有授权人员才能看到。员工 ID 遵循 Emp-XXXXXX 模式。其中每个 X 是一个数字。审计发现，员工 ID 位于一个日志文件中。工程师可以查看日志文件，但是工程师没有权限查看员工 ID。该工程师目前拥有 AWS IAM Identity Center 权限，允许对账户中的所有资源进行 Logs:*。管理员应该屏蔽员工 ID，以便未经授权的人员无法看到包含员工 ID 的新日志条目。

356 / 363

356.

★No.356
一家公司使用 AWS Organizations 中的组织来管理多个 AWS 账户。该公司已为其组织启用了所有功能。该公司使用 AWS CloudFormation StackSets 将配置部署到他们的账户。该公司使用 AWS Config 来监控其 Amazon S3 存储桶。
该公司要求所有上传到其 S3 存储桶的对象都使用 AWS 密钥管理服务 (AWS KMS) 加密。
哪种解决方案可以满足这些要求？

A.创建一个包含 s3-bucket-server-side-encryption-enabled 规则的 AWS Config 一致性包。将一致性包部署到您的帐户。配置规则以定位 Amazon Simple Notification Service (Amazon SNS) 主题。

B. 创建一个 SCP，其中包含针对 s3:createBucket 操作的拒绝语句和 s3:x-amz-server-side-encryption 不是 aws:kms 的条件语句。将 SCP 附加到您的组织的根目录。

C. 创建 AWS CloudFormation 堆栈集以启用 AWS CloudTrail 跟踪来捕获您组织的 S3 数据事件。在您的堆栈集中，创建一个 Amazon EventBridge 规则，该规则与不使用 AWS KMS 加密的 S3 PutObject 事件匹配。配置规则以定位 Amazon Simple Notification Service (Amazon SNS) 主题。

D. 创建一个 SCP，其中包含针对 s3:putObject 操作的拒绝语句以及 s3:x-amz-server-side-encryption 不是 aws:kms 的条件。将 SCP 附加到您的组织的根目录。

357 / 363

357.

★No.357
一家公司使用 Amazon Aurora PostgreSQL DB 集群每 5 小时将事务数据加载到其数据库中。数据分析师使用 Aurora PostgreSQL 数据库执行短期运行的查询、创建复杂的聚合查询以及创建使用数据的简单报告。此外，数据分析师还手动更新数据，包括删除和插入数据。
数据分析师正在报告性能问题。数据库团队最近发现长期运行的空闲事务连接阻碍了其他查询并阻止了 VACUUM 操作，从而影响了性能。该团队希望主动获得有关这些潜在运营问题的通知以及补救措施的建议。
在我们公司的 AWS 账户中，我们使用 Amazon DevOps Guru 来监控账户内的所有应用程序。
哪种解决方案可以满足这些要求？

A.在现有的 Aurora PostgreSQL DB 集群上打开 Performance Insights 和 DevOps Guru。配置 DevOps Guru 以使用 Amazon Simple Notification Service (Amazon SNS) 向数据库团队发送通知。

B. 在现有的 Aurora PostrgreSQL DB 集群上打开 Performance Insights。配置 Amazon EventBridge 以从现有 Aurora PostgreSQL DB 集群接收事件。配置您的 Aurora PostgreSQL DB 集群以使用 Amazon Simple Notification Service (Amazon SNS) 向您的数据库团队发送通知。

C. 在现有 Aurora PostgreSQL DB 集群上打开 Performance Insights 和 DevOps Guru。配置您的 Aurora PostgreSQL DB 集群以使用 Amazon Simple Email Service (Amazon SES) 向您的数据库团队发送通知。

D. 在现有的 Aurora PostrgreSQL DB 集群上打开 Performance Insights。配置 Amazon EventBridge 以从现有 Aurora PostgreSQL DB 集群接收事件。配置 DevOps Guru 以使用 Amazon Simple Notification Service (Amazon SNS) 向数据库团队发送通知。

358 / 363

358.

★No.358
DevOps 工程师正在为必须将基础设施设在美国境内的公司实施治理控制。该公司在 AWS Organizations 中的组织内拥有多个 AWS 账户，并且启用了所有功能。
工程师需要限制公司可以使用的 AWS 区域。此外，如果发生任何超出您的治理政策的活动，您应该尽快收到警报。美国以外的任何新地区都应自动启用控制。
哪些步骤组合可以满足这些要求？（选择两个。）

A.为您的组织创建一个 SCP 拒绝策略，条件是 aws:RequestedRegion 属性与所有美国区域的列表不匹配。在您的全球服务政策中包括例外情况。将该策略附加到您的组织的根目录。

B. 配置 AWS CloudTrail 以将日志发送到 Amazon CloudWatch Logs。在所有区域启用 CloudTrail。使用 CloudWatch Logs 指标过滤器在非美国地区创建指标。配置 CloudWatch 警报，当指标大于 0 时提醒您。

C.使用检查 AWS 服务活动的 AWS Lambda 函数。将 Lambda 函数部署到所有区域。创建每小时运行一次 Lambda 函数的 Amazon EventBridge 规则。配置一条规则，如果您的 Lambda 函数发现美国以外任何地区的活动，则发送警报。

D. 使用 AWS Lambda 函数查询 Amazon Inspector 以查找美国以外地区的服务活动。配置 Lambda 函数以在 Amazon Inspector 发现活动时发送警报。

E.创建一个组织 SCP 允许策略，条件是 aws:RequestedRegion 属性与所有美国地区的列表匹配。在您的全球服务政策中包括例外情况。将该策略附加到您的组织的根目录。

359 / 363

359.

★No.359
一家公司在 Amazon EC2 Auto Scaling 组中的 Amazon EC2 实例上运行其应用程序。 EC2 实例位于应用程序负载均衡器 (ALB) 后面。最近，当流量转发到某些 EC2 实例时，用户开始遇到错误。
一位 DevOps 工程师发现，尽管应用程序存在错误，但 Auto Scaling 小组仍将有问题的实例报告为正常。一旦 DevOps 工程师解决了问题实例上的应用程序错误，用户体验就会恢复正常。
该公司希望确保流量仅路由到没有出现应用程序错误的健康实例。我们还希望，如果流量路由配置有任何变化，我们的支持团队能够得到通知。
哪种解决方案可以满足这些要求？

A.配置您的 Auto Scaling 组以使用 ELB 运行状况检查。启用 AWS Config。创建 AWS Config 规则以确保新的 Auto Scaling 组使用 ELB 运行状况检查。创建一个 Amazon Simple Notification Service (Amazon SNS) 主题，以便在流量路由配置发生变化时通知您的支持团队。配置 AWS Config 规则以向主题发送通知。

B.配置 Auto Scaling 组以使用 EC2 健康检查。启用 AWS Config。创建 AWS Config 规则，以便新的 Auto Scaling 组使用 EC2 运行状况检查。创建一个 Amazon Simple Notification Service (Amazon SNS) 主题，以便在流量路由配置发生变化时通知您的支持团队。配置 AWS Config 规则以向主题发送通知。

C.配置 Auto Scaling 组以使用 EC2 运行状况检查。创建 Amazon CloudWatch 合成金丝雀来监控您的应用程序。创建在 CloudWatch Canary 失败时触发的 CloudWatch 警报。设置警报，当情况变得令人担忧时通知您的支持团队。

D.配置 Auto Scaling 组以使用 ELB 运行状况检查。创建 Amazon CloudWatch 合成金丝雀来监控您的应用程序。创建在 CloudWatch Canary 失败时触发的 CloudWatch 警报。设置警报，当情况变得令人担忧时通知您的支持团队。

360 / 363

360.

★No.360
DevOps 工程师需要对使用 GitHub 代码存储库的管道进行故障排除。管道包含源阶段、构建阶段和部署阶段。该管道还具有与 GitHub 代码存储库的 AWS CodeStar 连接。
构建阶段使用 AWS CodeBuild 构建项目。您的构建项目将需要在构建过程期间执行存储库的 git clone。
DevOps 工程师验证源阶段是否正常运行。但是，每次管道运行时，构建阶段都会失败。
为什么我的管道中的构建阶段会失败？

A.管道中的构建阶段必须使用 AWS CodeStar 连接操作。

B. AWS CodeStar 与 GitHub 的连接包含不正确的凭证。

C.AWS CodePipeline 服务角色没有使用 AWS CodeStar 连接的权限。

D.AWS CodeBuild 服务角色没有使用 AWS CodeStar 连接的权限。

361 / 363

361.

★No.361
一家公司的 DevOps 团队使用 Node 包管理器 (NPM) 开源库构建应用程序。 DevOps 团队在 AWS CodeBuild 项目中运行应用程序构建过程，从公共 NPM 存储库下载 NPM 库。
该公司希望将 NPM 库托管在私有 NPM 存储库中。您还需要允许您的 DevOps 团队在使用库之前检查它们是否有新版本。
哪种解决方案能够以最少的运营努力满足这些要求？

A.创建一个具有名为 npm-store 的上游存储库的 AWS CodeArtifact 存储库。配置您的应用程序构建过程以使用 CodeArtifact 存储库作为 NPM 的默认源。创建 AWS CodePipeline 管道来对 CodeArtifact 存储库中的软件包版本执行所需的检查。如果发生失败，则将包状态设置为私有。

B. 在您的 CodeBuild 项目配置中启用 Amazon S3 缓存。向您的 buildspec.yaml 配置文件添加步骤，以针对缓存中的包版本执行必要的检查。

C. 为每个库创建一个 AWS CodeCommit 存储库。将所需的 NPM 库克隆到适当的 CodeCommit 存储库。修改 CodeBuild appspec.yaml 配置文件以使用私有 CodeCommit 存储库。添加对包版本执行任何必要检查的步骤。

D. 为每个库创建一个 AWS CodeCommit 存储库。将所需的 NPM 库克隆到适当的 CodeCommit 存储库。修改 CodeBuild buildspec.yaml 配置文件，以便 NPM 使用私有 CodeCommit 存储库。添加一个 AWS CodePipeline 管道，该管道针对存储库中每个新的提交执行所需的软件包版本检查。配置您的管道，以便在发生故障时恢复到最近的提交。

362 / 363

362.

★No.362
一家公司有一个带有网络界面的搜索应用程序。该公司在 Auto Scaling 组中使用 Amazon CloudFront、应用程序负载均衡器 (ALB) 和 Amazon EC2 实例，所需容量为 3。该公司使用预先构建的 AMI。该应用程序在 1 分钟内启动。该应用程序查询Amazon OpenSearch Service集群。
该应用程序部署在多个可用区域。由于合规性要求，您的应用程序需要另一个 AWS 区域中的灾难恢复 (DR) 环境。该公司希望尽量减少其 DR 环境的持续成本，并要求 RTO 和 RPO 少于 30 分钟。该公司在 DR 区域创建了 ALB。
哪种解决方案可以满足这些要求？

A.将新的 ALB 作为原点添加到您的 CloudFront 分发版。配置源故障转移功能。将 AMI 复制到 DR 区域。在 DR 区域中创建启动模板和所需容量为 0 的 Auto Scaling 组。在 DR 区域创建一个新的 OpenSearch 服务集群。为集群配置集群间复制。

B. 在 DR 区域中创建一个新的 CloudFront 分发，并将新的 ALB 添加为原点。使用 Amazon Route 53 DNS 进行区域故障转移。将 AMI 复制到 DR 区域。在 DR 区域中创建启动模板和 Auto Scaling 组，所需容量为 0。将 OpenSearch 服务集群重新配置为具有备用部署的多可用区。确保备用节点位于 DR 区域。

C. 在 DR 区域创建一个新的 CloudFront 分发，并将新的 ALB 添加为原点。使用 Amazon Route 53 DNS 进行区域故障转移。将 AMI 复制到 DR 区域。在 DR 区域中创建启动模板和 Auto Scaling 组，所需容量为 3。将 OpenSearch 服务集群重新配置为具有备用部署的多可用区。确保备用节点位于 DR 区域。

D. 将新的 ALB 作为原点添加到您的 CloudFront 分发版。配置源故障转移功能。将 AMI 复制到 DR 区域。在 DR 区域中创建启动模板和 Auto Scaling 组，所需容量为 3。在 DR 区域创建一个新的 OpenSearch 服务集群。为集群配置集群间复制。

363 / 363

363.

★No.363
DevOps 工程师使用 AWS WAF 来管理跨 AWS 账户的 Web ACL。 DevOps 工程师必须确保其账户中的所有应用程序负载均衡器 (ALB) 上都启用了 AWS WAF。作为每个应用程序堆栈部署过程的一部分，DevOps 工程师使用 AWS CloudFormation 模板部署单独的 ALB 和 AWS WAF。如果在部署 ALB 后将 AWS WAF 从 ALB 中删除，则 AWS WAF 应该会自动添加回 ALB。
哪种解决方案能够最有效地满足这些要求？

A.启用 AWS Config。添加已启用 alb-waf 的托管规则。创建 AWS Systems Manager Automation 文档以将 AWS WAF 添加到 ALB。编辑规则以自动修复它。选择 Systems Manager Automation 文档作为补救措施。

B.启用 AWS Config。添加已启用 alb-waf 的托管规则。创建 Amazon EventBridge 规则以将所有 AWS Config ConfigurationItemChangeNotification 通知类型发送到 AWS Lambda 函数。配置 Lambda 函数以在发现模式下调用 AWS Config start-resource-evaluation API。

C. 设置 Amazon EventBridge 规则以定期调用 AWS Lambda 函数，该函数调用 CloudFormation 模板中的 detect-stack-drift API。如果 AWS::WAFv2::WebACLAssociation 资源的状态为漂移，则通过将 waf.fail_open.enabled 设置为 true 来配置 Lambda 函数以修改 ALB 属性。

D. 设置 Amazon EventBridge 规则以定期调用 AWS Lambda 函数，该函数调用 CloudFormation 模板中的 detect-stack-drift API。如果 AWS::WAFv2::WebACLAssociation 资源的状态为漂移，请配置 Lambda 函数以删除并重新部署 CloudFormation 堆栈。

Your score is

■AWS-DOP-C02-(CN) Q1~100

/100

AWS-DOP-C02-(CN) Q1~100

1 / 100

答案：A

解释

选项 A — 此选项是收集所需指标的最有效方法。它不需要额外的基础设施并且易于实施。

选项 B - 此选项比选项 A 更复杂，需要您配置 CloudWatch Logs Insights 查询。这需要时间来设置，如果查询未优化，则效率会很低。

选项 C - 此选项要求您配置 ALB 以将访问日志写入 CloudWatch Logs。这可能会增加请求的延迟。

选项 D - 此选项要求您配置 AWS X-Ray 集成。这是一个更复杂的解决方案，在这种情况下没有必要。

2 / 100

A.在 Lambda 函数上配置预配置并发，并发值为 1。删除 DynamoDB 表的 DAX 集群。

B. 在您的 Lambda 函数上配置预留并发，并发值为 0。

C. 在您的 Lambda 函数上配置预配置并发。在您的 Lambda 函数上配置 AWS 应用程序自动扩展 (Auto Scaling)，预配置并发值最小为 1，最大为 100。

D.在您的 Lambda 函数上配置预留并发。使用 API 网关 API 配置 AWS 应用程序自动扩展，最大预留并发数为 100。

答案：C

3 / 100

答案：B

https://aws.amazon.com/blogs/devops/using-codedeploy-environment-variables/

if [ "$DEPLOYMENT_GROUP_NAME" == "Staging" ]
then
sed -i -e 's/LogLevel warn/LogLevel debug/g' /etc/httpd/conf/httpd.conf
fi

4 / 100

答案：B

解释：

选项 A – 有效，但使用自定义规则。

选项 B - 这比选项 A 更容易，因为它使用现有的托管规则。

选项 C — 仅适用于新卷，不涉及现有资源。

选项 D——比 C 更好，但不能完全满足检查所有 EBS 卷并强制合规的要求。
最佳答案是B。

5 / 100

A. 向 Aurora 集群添加读取器实例。更新您的应用程序以使用 Aurora 集群终端节点进行写入操作。更新 Aurora 集群的读取器终端节点以进行读取。

B. 向 Aurora 集群添加读取器实例。为您的集群创建自定义的 ANY 端点。更新您的应用程序以使用 Aurora 集群的自定义 ANY 终端节点进行读写操作。

C. 在您的 Aurora 集群上打开多可用区选项。更新您的应用程序以使用 Aurora 集群终端节点进行写入操作。更新 Aurora 集群的读取器终端节点以进行读取。

答案：A

6 / 100

A. 在源账户中，将未加密的 AMI 复制到加密的 AMI。在复制操作中指定 KMS 密钥。

B. 在源账户中，将未加密的 AMI 复制到加密的 AMI。在复制操作中，指定默认的 Amazon Elastic Block Store (Amazon EBS) 加密密钥。

C. 在源账户中，创建一个 KMS 授权，将权限委托给目标账户中 Auto Scaling 组的服务相关角色。

D.在源账户中，修改密钥策略以在目标账户中授予创建权限。在目标账户中，创建一个 KMS 角色，将权限委托给 Auto Scaling 组的服务相关角色。

E. 在源账户中，与目标账户共享未加密的 AMI。

F. 在源账户中，与目标账户共享加密的 AMI。

答案：A、D、F

解释：

Share encrypted AMI across AWS accounts

选项 A - 无法选择 B，因为我正在使用 KMS

选项 D - 权限是临时的，必须与您的帐户共享

选项 F - 与目标共享 AMI

7 / 100

A. 创建安装了 CodeDeploy 代理的通用 AMI 的新版本。更新您的 EC2 实例的 IAM 角色以允许访问 CodeDeploy。

B. 创建安装了 CodeDeploy 代理的通用 AMI 的新版本。创建一个包含应用程序的部署脚本并允许访问 CodeDeploy 的 AppSpec 文件。

答案：A、D

解释：

选项 A - 您需要重建 AMI 并更新 EC2 实例的 IAM 角色以允许访问 CodeDeploy。

选项 B——不正确。 appspec 与权限无关。

选项 C——不正确。将新的 RPM 部署到 AMI。每次安装 RPM 时，您无需创建新的 AMI。

选项 D——针对 ASG

选项 E - 不正确，因为它指出实例位于 ASG 上。

8 / 100

A. 将 AWS Firewall Manager 委托给安全账户。

B. 将 Amazon GuardDuty 委托给安全账户。

C. 创建 AWS Firewall Manager 策略以将 AWS WAF Web ACL 附加到新创建的 ALB 和 API 网关 API。

D. 创建 Amazon GuardDuty 策略并将 AWS WAF Web ACL 附加到新创建的 ALB 和 API 网关 API。

E.配置 AWS Config 托管规则以将 AWS WAF Web ACL 附加到新创建的 ALB 和 API 网关 API。

答案：A、C

解释：
当您看到 WAF 时，您应该想到 AWS 防火墙管理器。

由于 GuardDuty 仅发布调查结果，因此您可以筛选出调查结果。

据我所知，Config 仅提供通知。

9 / 100

A. 配置 AWS KMS，当密钥超过 90 天时发布到 Amazon Simple Notification Service (Amazon SNS) 主题。

B. 配置 Amazon EventBridge 事件以触发 AWS Lambda 函数，该函数调用 AWS Trusted Advisor API 并发布到 Amazon Simple Notification Service (Amazon SNS) 主题。

C. 制定自定义 AWS Config 规则，如果密钥超过 90 天，则发布到 Amazon Simple Notification Service (Amazon SNS) 主题。

D. 如果密钥超过 90 天，则配置 AWS Security Hub 以发布到 Amazon Simple Notification Service (Amazon SNS) 主题。

答案：C

解释：

选项 A - 这不适用，因为 KMS 不提供此功能。

选项 C-配置规则将通知您。

这一定是一条自定义规则。规则“access-keys-rotated”检查访问密钥，而不是 KMS 密钥。

10 / 100

10.

A.将存储桶名称添加到 CodeBuild 项目设置的 AllowedBuckets 部分。更新构建规范以使用 AWS CLI 下载数据库填充脚本。

B. 修改您的 S3 存储桶设置以启用 HTTPS 基本身份验证并指定令牌。更新您的构建规范以使用 cURL 传递令牌来下载数据库填充脚本。

C. 使用存储桶策略从 S3 存储桶中删除未经授权的访问。修改 CodeBuild 项目的服务角色以包含 Amazon S3 访问权限。使用 AWS CLI 下载数据库填充脚本。

D.使用存储桶策略从 S3 存储桶中删除未经授权的访问。使用 AWS CLI 使用您的 IAM 访问密钥和秘密访问密钥下载数据库填充脚本。

答案：C

解释：
选项 C - 使用存储桶策略从 S3 存储桶中删除未经授权的访问。
修改 CodeBuild 项目的服务角色以包含 Amazon S3 访问权限。

11 / 100

11.

A. 创建包含所需权限的 IAM 策略。包括 aws:PrincipalTag 条件键。

B.创建权限集。附加包含所需权限的内联策略并使用 aws:PrincipalTag 条件键来确定权限范围。

C. 在 IdP 中创建一个组。将用户分成几组。将组分配给 IAM Identity Center 中的账户和权限集。

D. 在您的 IdP 中创建一个组。将用户分成几组。将组分配给 OU 和 IAM 策略。

E. 在 IAM Identity Center 中启用访问控制属性。为用户应用标签。将标签映射为键值对。

F. 在 IAM 身份中心启用访问控制属性。将您的 IdP 的属性映射为键值对。

答案：B、C、F

12 / 100

12.

A.检查您的 SQS 队列的 approximationAgeOfOldestMessage 指标。增加 Lambda 函数的并发限制。

B.检查 SQS 队列的 approximationAgeOfOldestMessage 指标。配置SQS队列的重新驱动策略。

C. 检查 SQS 队列的 NumberOfMessagesSent 指标。增加 SQS 队列的可见性超时。

D.检查 DynamoDB 表的 WriteThrottleEvents 指标。增加表的扩展策略中的最大写入容量单位 (WCU)。

E.检查 Lambda 函数的 Throttles 指标。增加 Lambda 函数超时。

答案：A、D

解释：

选项 A-检查 approximationAgeOfOldestMessage 并相应地增加并发性。

选项 D-检查 throttleevent（被拒绝的请求数）并相应增加最大写入量。

13 / 100

13.

A.配置一个对 EC2 RunInstances API 调用做出反应的 Amazon EventBridge 规则。配置规则以调用 AWS Lambda 函数将默认实例配置文件附加到 EC2 实例。

答案：B

14 / 100

14.

答案：A

解释：
认证提示：有关 Lambda 和 CloudFormation 的 99% 的问题都有 SAM 相关的答案。

监控：您可以设置 Amazon CloudWatch 警报来跟踪功能错误、延迟和其他重要指标。如果出现任何问题，我们可以立即做出反应。

15 / 100

15.

A.在附加了弹性 IP 地址的公共子网中启动实例。应用程序安装并运行后，稍后运行脚本以取消关联弹性 IP 地址。

B.配置NAT网关。将 EC2 实例部署到私有子网中。更新您的私有子网的路由表以使用 NAT 网关作为默认路由。

D. 为应用程序实例创建一个安全组，并只允许到工件存储库的出站流量。安装完成后，删除安全组规则。

答案：C

解释：
B和C都可以使用，因为它们只需要在初始化时下载软件包。因此，不需要持续访问互联网。因此使用 S3 是便宜且最好的。

16 / 100

16. 您应采取下列哪种措施来解决此问题？

A. 验证是否已为主分支创建 Amazon EventBridge 规则以触发管道。

B. 验证 CodePipeline 服务角色是否有权限访问 CodeCommit 存储库。

C.验证开发人员的 IAM 角色是否有权限推送到 CodeCommit 存储库。

D.检查管道是否由于 Amazon CloudWatch Logs 中的 CodeCommit 错误而无法启动。

答案：A

解释：

选项 A - CodePipeline 不需要 EventBridge 规则即可从 CodeCommit 存储库触发。 CodePipeline 不需要 EventBridge 并且直接与 CodeCommit 集成。

选项 B——可能的原因。 CodePipeline 服务角色需要访问 CodeCommit 存储库的权限，以便在将新代码推送到存储库时启动管道执行。

选项 C - 如果开发人员可以将代码更改推送到 CodeCommit 存储库，那么与 CodeCommit 相关的 IAM 角色权限可能没问题。这不是问题。

17 / 100

17.

A.配置一个由 SNS 主题调用的 Lambda 函数。为 SNS 主题创建 AWS CloudTrail 订阅。为安全组变更事件配置订阅过滤器。

B. 创建 Amazon EventBridge 计划规则来调用 Lambda 函数。定义一个计划模式来每小时运行一次 Lambda 函数。

C. 创建一个以默认事件总线为源的 Amazon EventBridge 事件规则。定义规则的事件模式以匹配 EC2 安全组创建和修改事件。配置规则以调用 Lambda 函数。

D. 创建一个 Amazon EventBridge 自定义事件总线，订阅来自所有 AWS 服务的事件。将您的 Lambda 函数配置为由自定义事件总线调用。

答案：C

解释：

选项 A — Lambda 必须由 Eventbridge 调用。这里使用SNS来发送活动后通知。

选项 B — 应在事件发生时采取行动，而不是按照计划采取行动。题目要求“近实时”，但是1小时并不是“近实时”。

选项 D – 订阅所有 AWS 服务的事件将产生大量成本。 AWS 事件发生在默认事件总线上，因此不需要自定义事件总线

18 / 100

18.

A. 向 EC2 实例的 VPC 和私有子网添加 IPv6 CIDR 块。为您的 IPv6 网络创建路由表条目，使用支持 IPv6 的 EC2 实例类型，并为每个 EC2 实例分配一个 IPv6 地址。

B. 为每个 EC2 实例分配一个 IPv6 弹性 IP 地址。创建目标组并将 EC2 实例添加为目标。在 ALB 上的 443 端口上创建监听器，并将目标组与 ALB 关联。

C. 用网络负载均衡器 (NLB) 替换 ALB。向您的 VPC 和 NLB 的子网添加 IPv6 CIDR 块，并为 NLB 分配 IPv6 弹性 IP 地址。

答案：D

https://docs.aws.amazon.com/whitepapers/latest/ipv6-on-aws/scaling-the-dual-stack-network-design-in-aws.html

19 / 100

19.

A.使用 AWS Config 一致性包部署 account-part-of-organizations AWS Config 规则，以自动修复不合规的账户。

B. 创建一个 AWS Lambda 函数来为 AWS Support 创建一张票，以将该账户添加到企业支持计划。授予 Lambda 函数 support:ResolveCase 权限。

C. 向 control_tower_parameters 输入添加一个值，并将 AWSEnterpriseSupport 参数设置为您组织的管理账号。

D. 在 AFT 部署输入配置中将 aft_feature_enterprise_support 功能标志设置为 True。重新部署 AFT 以应用更改。

答案：D

解释：
https://docs.aws.amazon.com/controltower/latest/userguide/aft-feature-options.html#enterprise-support-option

D. 在 AFT 部署输入配置中将 aft_feature_enterprise_support 功能标志设置为 True。重新部署 AFT 以应用更改。

20 / 100

20.

A. 配置一个AWS Health的事件源，EC2的一个服务，以及一个指示实例维护的事件类型。以 Systems Manager 文档为目标重新启动 EC2 实例。

B. 为 Systems Manager 配置一个事件源和一个事件类型来指示维护窗口。以 Systems Manager 文档为目标重新启动 EC2 实例。

D.配置EC2的事件源和指示实例维护的事件类型。瞄准新创建的 AWS Lambda 函数，该函数将注册一个自动化任务以在维护时段期间重新启动 EC2 实例。

答案：A

解释：
AWS 培训和认证模拟考试的正确答案是 A。

选项A看起来最合适：

将 AWS Health 配置为事件源可确保捕获与您的 EC2 实例相关的通知。

以 Systems Manager 文档为目标重新启动 EC2 实例与 Systems Manager 的自动化任务（例如重新启动实例）功能相一致。

选项 B 重点关注与维护时段相关的 Systems Manager 事件，这些事件可能与 AWS Health 为 EC2 实例维护触发的通知不直接一致。

21 / 100

21.

A. 在您的 EC2 实例上使用 AWS Systems Manager 自动修补和升级，并默认加密 Amazon EBS 卷。

B. 将 Jenkins 部署到 Amazon ECS 集群并将构建工件复制到已启用默认加密的 Amazon S3 存储桶。

C. 在构建操作中利用 AWS CodePipeline 并使用 AWS Secrets Manager 加密工件。

D. 使用带有工件加密的 AWS CodeBuild 来替换在 EC2 实例上运行的 Jenkins 实例。

答案：D

https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html
https://docs.aws.amazon.com/codebuild/latest/userguide/security-encryption.html

22 / 100

22.

A. 将 DelelionPolicy 属性添加到值为 Delete 的 S3 存储桶资源将在删除堆栈时强制删除该存储桶。

C. 识别未被删除的资源。手动清空然后删除 S3 存储桶。

D.用单个 AWS OpsWorks Stacks 资源替换 EC2 和 S3 存储桶资源。为您的堆栈定义自定义配方以创建和删除 EC2 实例和 S3 存储桶。

答案：B

23 / 100

23.

B. 在管道中的 us-east-1 中创建一个新的 CloudFormation 部署操作。配置新的部署操作以使用 us-east-1 输出工件中的 CloudFormation 模板。

C. 在 us-east-1 中创建一个 S3 存储桶。配置您的 S3 存储桶策略以允许 CodePipeline 读取和写入访问。

D. 在 us-east-1 中创建一个 S3 存储桶。配置从 eu-west-1 中的 S3 存储桶到 us-east-1 中的 S3 存储桶的 S3 跨区域复制 (CRR)。

答案：C、E

24 / 100

24.

A. 为 StatusCheckFailed 指标创建 Amazon CloudWatch 警报。使用恢复操作停止并启动实例。当实例重新启动并运行时，使用 S3 事件通知将元数据推送到实例。

B. 配置 AWS OpsWorks 以使用自动修复功能停止和启动实例。它使用 OpsWorks 生命周期事件从 Amazon S3 中提取元数据并在实例上更新它。

C. 使用 EC2 自动恢复在发生故障时自动停止和启动实例。当实例重新启动并运行时，使用 S3 事件通知将元数据推送到实例。

D. 使用 AWS CloudFormation 创建一个包含 EC2 资源的 UserData 属性的 EC2 实例。向 UserData 添加命令以从 Amazon S3 检索应用程序元数据。

答案：B

因此，如果您想处理这两种类型的无回应情况，选项 B 是最全面的解决方案。

25 / 100

25.

B.
"Condition": {
"StringEquals": {
"aws:PrincipalTag/department": "$(aws:ResourceTag/department)"
}
}

C.
"Condition": {
"StringEquals": {
"ec2:ResourceTag/department": "$(aws:PrincipalTag/department)"
}
}

D.
"Condition": {
"ForAllValues:StringEquals": {
"ec2:ResourceTag/department": ["d1", "d2", "d3"]
}
}

A. "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": ["department"] } }

B. "Condition": { "StringEquals": { "aws:PrincipalTag/department": "${aws:ResourceTag/department}" } }

C. "Condition": { "StringEquals": { "ec2:ResourceTag/department": "${aws:PrincipalTag/department}" } }

D. "Condition": { "ForAllValues:StringEquals": { "ec2:ResourceTag/department": ["d1", "d2", "d3"] } }

答案：C

26 / 100

26.

答案：A

27 / 100

27.

答案：D

28 / 100

28.

答案：D

29 / 100

29.

A.在生产账户中创建 SysAdmin 角色。将 AdministratorAccess 策略附加到角色。修改信任关系以允许来自工作负载账户的 sts:AssumeRole 操作。

B. 为每个工作负载账户创建一个 SysAdmin 角色。将 AdministratorAccess 策略附加到角色。修改信任关系以允许生产账户的 sts:AssumeRole 操作。

C. 在生产账户中创建一个 Amazon Cognito 身份池。将 SysAdmin 角色附加为经过身份验证的角色。

D. 在生产账户中，为运营团队的每个成员创建一个 IAM 用户。

F. 在操作账户中创建一个 Amazon Cognito 用户池。为每个运营团队成员创建一个 Amazon Cognito 用户。

答案：B、D、E

30 / 100

30.

答案：C

31 / 100

31.

A.启用 Amazon CloudWatch Logs 来记录 EKS 组件。为每个组件创建一个 CloudWatch 订阅过滤器，并以 Lambda 作为订阅源目标。

B. 启用 Amazon CloudWatch Logs 来记录 EKS 组件。创建一个 CloudWatch Logs Insights 查询，该查询链接到调用 Lambda 的 Amazon EventBridge 事件。

C. 为 EKS 组件启用 Amazon S3 日志记录。为每个组件配置一个 Amazon CloudWatch 订阅过滤器，并使用 Lambda 作为订阅源目标。

D. 为 EKS 组件启用 Amazon S3 日志记录。配置 S3 PUT 对象事件通知，以 AWS Lambda 作为目标。

答案：A

32 / 100

32.

A.从 AWS 下载 Amazon CloudWatch Logs 容器实例。将此实例配置为一项任务。更新应用程序服务定义以包含日志记录任务。

B. 在 ECS 实例上安装 Amazon CloudWatch Logs 代理。将 ECS 任务定义中的日志驱动程序更改为 awslogs。

C. 使用 Amazon EventBridge 安排每 60 秒运行一次的 AWS Lambda 函数并运行 Amazon CloudWatch Logs create-export-task 命令。然后，将输出直接发送到日志 S3 存储桶。

D. 在 ALB 上启用访问日志记录。然后，将 ALB 直接指向日志记录 S3 存储桶。

E. 在您的 ECS 服务使用的目标组上启用访问日志记录。然后它将日志直接发送到日志 S3 存储桶。

F.创建一个 Amazon Kinesis Data Firehose 传输流，以日志记录 S3 存储桶为目标。接下来，为 Kinesis Data Firehose 创建 Amazon CloudWatch Logs 订阅过滤器。

答案：B、D、F

选项D正确。您可以在应用程序负载均衡器 (ALB) 上启用访问日志记录，以收集可直接发送到 S3 存储桶的访问日志。

选项F正确。您可以创建 Amazon Kinesis Data Firehose 传输流，该传输流可以近乎实时地将日志从 CloudWatch Logs 直接传输到 Amazon S3 存储桶。

33 / 100

33.

A. 使用 AWS Systems Manager 创建包含自定义存储库的新补丁基准。使用运行命令执行 AWS-RunPatchBaseline 文档来验证并安装补丁。

B. 使用 AWS Direct Connect 集成您的公司存储库，使用 Amazon CloudWatch 计划事件部署补丁，然后使用 CloudWatch 仪表板进行报告。

C. 使用 yum-config-manager 在 /etc/yum.repos.d 下添加自定义存储库，然后运行 yum-config-manager-enable 来激活该存储库。

D. 使用 AWS Systems Manager 创建包含公司存储库的新补丁基线。使用运行命令运行 AWS-AmazonLinuxDefaultPatchBaseline 文档来验证并安装补丁。

答案：A

34 / 100

34. 哪种策略可以满足这些要求？

答案：C

AfterAllowTestTraffic 生命周期事件调用 AWS Lambda 函数来运行测试脚本。 Lambda 函数可以用 Lambda 支持的任何编程语言编写，包括 Python、Node.js 和 Java。

如果您的测试脚本检测到错误，它会使用错误代码终止 Lambda 函数。这将导致部署失败并且 CodeDeploy 启动回滚。

35 / 100

35.

A. 配置夜间 Amazon EventBridge 事件以调用 AWS Lambda 函数来运行 Storage Gateway RefreshCache 命令。

B. 指示第三方使用 AWS Transfer for SFTP 将数据放入您的 S3 存储桶。

C.修改存储网关以在卷网关模式下运行。

D. 使用 S3 同区域复制将 S3 存储桶中直接所做的更改复制到存储网关。

答案：A

36 / 100

36.

A. 在源账户中创建复制 IAM 角色

B.在目标账户中创建复制 I AM 角色。

C. 向源存储桶策略添加一条语句，以允许复制 IAM 角色复制对象。

D. 向目标存储桶策略添加一条语句，以允许复制 IAM 角色复制对象。

E. 在源存储桶上创建复制规则以启用复制。

F. 在目标存储桶上创建复制规则以启用复制。

答案：A、D、E

37 / 100

37.

A.创建信任关系，允许成员账户中的用户承担管理账户中的 IAM 角色。

B.创建信任关系，允许管理账户中的用户承担成员账户中的 IAM 角色。

C. 在每个有权访问 AmazonEC2ReadOnlyAccess 托管策略的成员账户中创建一个 IAM 角色。

D. 在每个成员账户中创建一个 IAM 角色，以允许在管理账户中对 IAM 角色的 ARN 执行 sts:AssumeRole 操作。

E. 在管理账户中，创建一个 I AM 角色，允许对成员账户中 IAM 角色的 ARN 执行 sts:AssumeRole 操作。

F. 在管理账户中，创建一个有权访问 AmazonEC2ReadOnlyAccess 托管策略的 IAM 角色。

答案：B、C、E

解释：
（B）信任关系允许 IAM 实体（用户、组或角色）承担某个角色。在这种情况下,管理帐户中的实体必须在会员帐户中承担角色。

（C）每个成员账户中的 IAM 角色必须附加允许对 EC2 实例进行只读访问的策略。 AmazonEC2ReadOnlyAccess 托管策略提供此访问权限。

38 / 100

38.

答案：C

39 / 100

39.

A.创建 AWS Trusted Advisor 检查以查找并修复未经授权的 CloudFormation StackSets。

B. 创建云形成漂移检测操作来查找和修复未经授权的 CloudFormation StackSets。

C. 使用已批准的 CloudFormation 模板创建 CloudFormation StackSets。

D. 使用已批准的 CloudFormation 模板创建 AWS Service Catalog 产品。

答案：D

其他答案中的所有其他服务均不相关。

40 / 100

40. 公司应进行哪些架构调整组合才能实现高可用性？（选择两个）

A.将 NAT 实例添加到跨多个可用区域的 EC2 Auto Scaling 组。更新路由表。

B.跨多个可用区域创建额外的 EC2 实例。添加应用程序负载均衡器来在它们之间分配负载。

C. 在 EC2 实例前面配置一个应用程序负载均衡器。配置 Amazon CloudWatch 警报以便在发生主机故障时恢复您的 EC2 实例。

D. 将每个可用区域内的 NAT 实例替换为 NAT 网关。更新路由表。

E.用跨多个可用区域的 NAT 网关替换 NAT 实例。更新路由表。

答案：B、D

解释：
NAT网关不能跨越多个AZ。必须为每个 AZ 创建 HA。

41 / 100

41.

B. 创建一个由 AWS CloudTrail 事件调用的 AWS Lambda 函数。当 CodePipeline 检测到管道执行状态改变事件时，它会将事件详细信息发送到聊天 webhook URL。

D. 修改管道代码，在每个阶段结束时将事件详细信息发送到聊天 webhook URL。参数化 URL，以便每个管道可以根据管道环境发送到不同的 URL。

答案：C

考试提示：如果您认为这个问题与事件或行动有关 --> EventBridge

42 / 100

42. DevOps 工程师应该怎么做才能满足这一要求？

A. 创建一个 Amazon EventBridge 规则，来源为 aws.cloudtrail，事件名称为 AuthorizeSecurityGroupIngress。将 Amazon Simple Notification Service (Amazon SNS) 主题定义为目标。

答案：C

解释：

选项 C - A 将发送安全组中的任何更改的通知。问题明确指出，仅当允许 0.0.0.0/0 时才发送通知。因此应该是C。

43 / 100

43.

A.在服务器端安装CloudWatch代理，并配置代理将相关日志上传到CloudWatch。

B. 在 API Gateway 中启用 AWS X-Ray 跟踪并修改您的应用程序以捕获请求段并在每次请求期间将这些段上传到 X-Ray。

C. 在 API Gateway 中启用 AWS X-Ray 跟踪，修改您的应用程序以捕获请求段，并使用 X-Ray 守护程序将段上传到 X-Ray。

D. 修改您的本地应用程序，以便将每次请求的日志信息发送回 API 网关。

E. 修改本地应用程序以计算与 API 服务请求相关的统计数据并将其上传到 CloudWatch 指标。

答案：A、C

解释：

A 和 C：使用 CloudWatch Logs Agent 收集应用程序日志，使用 AWS X-ray 收集有关请求（跟踪）的信息。

B 不正确。如果您修改应用程序以直接向 X-RAY 发送消息，则应用程序的延迟会增加。更好的解决方案是使用 X-RAY 守护进程来执行该任务。

44 / 100

44.

答案：D

解释：
为了在发生故障时自动将只读副本提升为主实例，您必须检测故障并调用 AWS Lambda 函数来提升副本实例。这可以使用 Amazon EventBridge 实现。

45 / 100

45.

A.将实例添加到 EC2 Auto Scaling 组，并将最小容量、最大容量和所需容量设置为 1。

B. 将实例添加到具有生命周期挂钩的 EC2 Auto Scaling 组，以便在 EC2 实例关闭或终止时分离 EBS 卷。

C. 为 StatusCheckFailed 系统指标创建 Amazon CloudWatch 警报并选择 EC2 操作来恢复实例。

D. 为 StatusCheckFailed 实例指标创建 Amazon CloudWatch 警报并选择 EC2 操作来重启实例。

答案：C

解释：

46 / 100

46. 哪种解决方案可以满足这些要求？

答案：D

解释：

选项 D – D 比 A 更好。要将执行从 CodeBuild 移至 CodeDeploy，您必须包含 CodePipeline。

47 / 100

47.

A. 使用 Systems Manager Hybrid Activation 将物理机添加到 AWS Systems Manager。

B. 将 IAM 角色附加到 EC2 实例，以便 AWS Systems Manager 可以对其进行管理。

C. 创建 IAM 访问密钥以允许本地机器与 AWS Systems Manager 交互。

D. 每小时运行一次 AWS Systems Manager Automation 文档来修补系统。

E.使用 Amazon EventBridge 计划事件来安排修补窗口。

F.使用 AWS Systems Manager 维护窗口来安排修补窗口。

答案：A、B、F

解释：

答：在 AWS Systems Manager 中启用混合

B：为 Systems Manager 创建 IAM 角色来管理 EC2 实例

F：使用维护时段来安排非工作时间的修补

C：这是不正确的，因为您没有本地部署的 IAM 访问密钥

D：不要每小时打补丁一次

E：AWS 有自己的修补计划服务，因此不要使用 Eventbridge

48 / 100

48.

C. 创建 Amazon EventBridge 规则来检测 CreateManagedAccount 事件。将 AWS Service Catalog 配置为将资源部署到新账户的目标。使用 AWS CLI 和 JSON 文档部署 SCP。

答案：D

https://docs.aws.amazon.com/controltower/latest/userguide/cfct-overview.html

49 / 100

49.

A. 使用 Amazon Redshift 存储产品目录，使用 Amazon DynamoDB 表存储客户信息和购买情况。

B. 使用 Amazon DynamoDB 全局表来存储产品目录，使用区域表来存储客户信息和购买情况。

C. 使用 Aurora 只读副本存储产品目录，并在每个区域使用额外的本地 Aurora 实例存储客户信息和购买信息。

D. 使用 Aurora 存储产品目录，使用 Amazon DynamoDB 全局表存储客户信息和购买情况。

答案：C

解释：

50 / 100

No.50
一家公司已经将精心设计的结构实施到可全局访问的 API 堆栈中。该设计必须确保北美和欧洲用户的高可靠性和快速响应时间。

50. API 堆栈包括三层：

Amazon API 网关 -

AWS Lambda -

亚马逊 DynamoDB -

哪种解决方案符合您的要求？

答案：B

51 / 100

51.

答案：C

解释：

选项 A——没有提到嵌套堆栈。

选项 B - 根据 AWS 文档，B 是不正确的，因为您不能在参数中使用内部函数。

https://repost.aws/knowledge-center/cloudformation-template-validation

选项 C - 在嵌套堆栈和嵌套堆栈中的资源上使用 Fn::ImportValue 内部函数。

选项 D - Fn::ImportValue 内部函数用于子模板从父模板导入值。因此，您不应该在根模板中使用它，根模板是所有其他模板的通用父模板。

52 / 100

52.

B. 创建一个 AWS Config 组织规则，检查是否启用了 EBS 加密，然后使用 AWS CLI 部署该规则。创建并应用 SCP 以防止在整个组织中停止和删除 AWS Config。

答案：B

解释：
当您部署具有 ConfigRuleName 属性中指定的加密卷的 CloudFormation 模板时，AWS Config 会自动扫描您的环境以查找未加密的 EBS 卷。

选项A不正确。 AWS Inspector 规则用于分析 EC2 实例上的应用程序行为，并且不检查 EBS 卷加密。

53 / 100

53.

A.验证 AWS Systems Manager 代理是否已安装并正在 Amazon Inspector 未扫描的任何 EC2 实例上运行。

B.将目标 EC2 实例与允许与端口 443 上的 AWS Systems Manager 服务端点进行出站通信的安全组关联。

C. 授予 inspector:StartAssessmentRun 权限给您的 DevOps 工程师使用的 IAM 角色。

D. 为 Amazon Inspector 未扫描的 EC2 实例配置 EC2 实例连接。

E.将目标 EC2 实例与授予与 AWS Systems Manager 通信权限的实例配置文件关联。

F.创建托管实例激活。使用激活码和激活ID来注册您的EC2实例。

答案：A、B、E

解释：
https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html

54 / 100

54.

答案：C

解释：
请参阅下文第 3 点。
https://container-devsecops.awssecworkshops.com/04-testing/

55 / 100

55.

答案：A

56 / 100

56.

A. 在管道中的测试和部署操作之间插入手动批准操作。

B. 修改编译阶段的 buildspec.yml 文件，要求在完成前进行手动批准。

C.CodeDeploy 部署组将更新，需要手动批准才能继续。

D.更新管道以直接调用渗透测试工具的 REST API。

E. 更新管道以调用调用渗透测试工具的 REST API 的 AWS Lambda 函数。

答案：A、E

解释：
手动批准操作（A）允许您的 QA 团队在继续部署生产之前检查构建工件并运行内部渗透测试工具。

57 / 100

57.

B. 在两个区域的 Auto Scaling 组中启动应用程序并使用 DynamoDB 存储会话数据。使用带有健康检查的 Route 53 故障转移路由策略来跨区域分配流量。

答案：A

解释：
CloudFront 可以进行故障转移，但不能进行加权路由。有关 CloudFront 中自动故障转移工作原理的更多信息，请参阅以下链接：

https://disaster-recovery.workshop.aws/en/services/networking/cloudfront/cloudfront-origin-group.html

B 和 C 不是 DynamoDB 全局表

D - 不要使用 Route53

58 / 100

58.

A. 在 AWS CodeDeploy 中创建一个应用程序组和一个部署组。在 EC2 实例上安装 CodeDeploy 代理。

B. 在 AWS CodeDeploy 中创建应用程序修订和部署组。在 CodeDeploy 中创建环境。将 EC2 实例注册到您的 CodeDeploy 环境。

C. 使用 AWS CodePipeline 调用 CodeBuild 作业，执行 CloudFormation 更新，并暂停手动批准步骤。批准后，AWS CodeDeploy 部署开始。

E. 使用 AWS CodePipeline 调用 CodeBuild 作业来为每个应用程序堆栈创建 CloudFormation 变更集并暂停以进行手动批准步骤。批准后，AWS CodeDeploy 部署开始。

答案：A、D

解释：

选项 A — 在此步骤中，您将设置环境以使用 AWS CodeDeploy 进行应用程序部署。 CodeDeploy 使用安装在 EC2 实例上的代理来执行部署任务。

59 / 100

59.

A.使用 AWS CloudFormation 模板，将 ALB 保留策略设置为 1 小时。更新您的 Amazon Route 53 记录以反映新的 ALB。

B. 使用两个 AWS Elastic Beanstalk 环境从原始环境到新环境执行蓝/绿部署。创建应用程序版本生命周期策略，在一小时内终止原始环境。

C. 使用配置了蓝/绿部署配置的部署组的 AWS CodeDeploy 选择该选项以等待一小时的时间来终止部署组中的原始实例。

D.使用具有不可变配置的 AWS Elastic Beanstalk。创建一个带有 Resources 键的 .ebextension，将 ALB 的删除策略设置为 1 小时，然后部署您的应用程序。

答案：C

解释：

因此正确选项为C。也就是说，使用配置了蓝/绿部署设置的部署组 AWS CodeDeploy，并选择在部署组中等待一小时并终止原始实例的选项。

60 / 100

60.

A.启用 S3 服务器访问日志。将访问日志导入 Amazon Aurora 数据库。使用 Aurora SQL 查询分析访问模式。

B.启用 S3 服务器访问日志。使用 Amazon Athena 创建包含日志文件的外部表。使用 Athena 分析访问模式。

答案：B

61 / 100

61.

A.创建一个允许开发人员配置所需资源的 IAM 策略。将策略附加到开发人员 IAM 角色。

B. 创建允许完全访问 AWS CloudFormation 的 IAM 策略。将策略附加到开发人员 IAM 角色。

C. 创建具有所需权限的 AWS CloudFormation 服务角色。授予开发人员 IAM 角色 cloudformation:* 操作。部署堆栈时使用新的服务角色。

D.创建具有所需权限的 AWS CloudFormation 服务角色。向开发人员 IAM 角色授予 iam:PassRole 权限。部署堆栈时使用新的服务角色。

答案：D

62 / 100

62.

答案：D

63 / 100

63.

B. 在您组织的管理账户中，创建一个启用 AWS Config 的 AWS CloudFormation 堆栈集。配置堆栈集以在通过组织创建账户时自动部署。

C. 在您组织的管理账户中，创建一个允许适当的 AWS Config API 调用的 SCP，以启用 AWS Config。将 SCP 应用于根级 OU。

答案：B

解释：
该问题要求提供一个解决方案，以便为所有未来帐户“自动启用 AWS Config”。 AWS Organizations 使用 ACF 在其他账户中配置或配置资源

A、C、D：未提及 ACF

64 / 100

64.

答案：D

65 / 100

65.

A.在新区域中创建一个新的 DynamoDB 表，并启用跨区域复制。

B. 创建新的 ALB 和 Auto Scaling 组全局资源，并配置新的 ALB 以将流量引导至新的 Auto Scaling 组。

C. 在新区域中创建新的 ALB 和 Auto Scaling 组资源，并配置新的 ALB 以将流量引导至新的 Auto Scaling 组。

D. 创建 Amazon Route 53 记录、健康检查和基于延迟的路由策略以路由到 ALB。

E. 创建 Amazon Route 53 别名、健康检查和故障转移路由策略以路由到 ALB。

F.将 DynamoDB 表转换为全局表。

答案：C、D、F

F.将 DynamoDB 表转换为全局表。这使得对两个区域中的表的读取和写入具有低延迟，从而提高了应用程序的总体响应时间。

66 / 100

66.

B.启用 AWS Control Tower。将现有账户注册到 AWS Control Tower。授予个人账户管理员访问 CloudTrail 和 AWS Config 的权限。

答案：D
对于为选项 C 或 D 而争论不休的人来说：

但是，选项 C 主要侧重于 AWS 配置记录器，并没有明确涵盖 CloudTrail，因此不能为我们提供完整的解决方案。

67 / 100

67.

A.为 AWS Config 设置委派管理员账户。在您的组织中启用对 AWS Config 的可信访问。

B. 为 AWS Config 配置委派管理员账户。在您组织的管理账户中为 AWS Config 创建服务相关角色。

C. 创建 AWS CloudFormation 模板以创建 AWS Config 聚合器。配置 CloudFormation 堆栈集以将模板部署到组织中的所有账户。

D.在组织的管理账户中创建 AWS Config 组织聚合器。配置从组织中的所有 AWS 账户和所有 AWS 区域收集数据。

E. 在委派管理员账户中创建 AWS Config 组织聚合器。配置从组织中的所有 AWS 账户和所有 AWS 区域收集数据。

答案：A、E

68 / 100

68.

D. 使用 AWS OpsWorks 在服务层部署 API 网关，在自定义层部署 Lambda 函数。如果需要更改代码，请使用 OpsWorks 执行蓝/绿部署以逐步转移流量。

答案：B

解释：

选项 A - 错误：不要使用 Canary 或 Blue/Green。

选项 C - 错误：Beanstalk 不是无服务器部署平台

选项 D — 错误：没关系。 OpsWork 是一个配置管理平台，情况需要应用程序部署/AWS 资源配置平台。

69 / 100

69.

答案：B

解释：
为了在合并之前对每个拉取请求运行单元和集成测试，监听 pullRequestCreated 事件并运行 CodeBuild 项目来运行测试的解决方案是最合适的选择。

因此，选项B正确。

70 / 100

70.

A. 配置一个 AWS Systems Manager Automation 运行手册，运行脚本来重新启动实例上的应用程序。配置 SNS 主题来触发运行手册。

B. 创建一个 AWS Lambda 函数，重新启动实例上的应用程序。将 Lambda 函数配置为 SNS 主题的事件目标。

答案：D

解释：
C 和 D 都是有争议的，因为它们在各自的方式中都是正确和简单的，但让我们看看每种方法的组件数量：

C: CW -> SNS -> LAMBDA -> SSM （4）

D：CW->EVENTBRIDGE->SSM (3)

C 有一个需要维护的附加组件（SNS），并且此选项涉及的一些编码也需要维护。

即使您已经在选项 C 中创建了 SNS，您也需要去那里删除通知并配置 Lambda 调用。

选项 D 的组件较少，需要的定制也较少。

71 / 100

71.

A. 创建一个响应 AWS CloudTrail 中的 IAM CreateUser API 调用的 Amazon EventBridge 规则。

B. 创建一个响应 AWS CloudTrail 中的 IAM GetLoginProfile API 调用的 Amazon EventBridge 规则。

C. 创建一个 AWS Lambda 函数，作为 EventBridge 规则的目标。配置 Lambda 函数以禁用访问密钥并删除与 IAM 用户关联的登录配置文件。

D.创建一个 AWS Lambda 函数，作为 EventBridge 规则的目标。配置 Lambda 函数以删除与 IAM 用户关联的登录配置文件。

E. 创建一个 Amazon Simple Notification Service (Amazon SNS) 主题，作为 EventBridge 规则的目标。使用您的安全团队的群组电子邮件地址订阅该主题。

F. 创建一个 Amazon Simple Queue Service (Amazon SQS) 队列作为 Lambda 函数的目标。将您的安全团队的群组电子邮件地址排队。

答案：A、C、E

72 / 100

72.

A. 使用 AWS CodePipeline 以及 Amazon ECS、Amazon EC2 和 Lambda 作为部署提供程序。

B. 使用 AWS CodePipeline 和 AWS CodeDeploy 作为部署提供程序。

C. 使用 AWS CodePipeline 和 AWS Elastic Beanstalk 作为部署提供程序。

D. 使用与 GitHub 集成的 AWS CodeDeploy 部署应用程序。

答案：B

解释：
因为有这么一个术语：“管道必须支持手动审批操作”。
如果没有管道，这是不可能的。

使用 codePipeline 和 codeDeploy 的 ECS 部署解决方案

创建 CodeDeploy 应用程序和部署组（ECS 计算平台）

https://docs.aws.amazon.com/codepipeline/latest/userguide/tutorials-ecs-ecr-codedeploy.html#tutorials-ecs-ecr-codedeploy-deployment

73 / 100

73.

答案：A

74 / 100

74.

版本：0.2
阶段：
建造：
命令：
- 构建-o myapp
构建后：
命令：
-aws s3 cp --acl authenticated-read myapp s3://artifacts/

DevOps 工程师意识到任何拥有 AWS 账户的人都可以下载这些工件。
DevOps 工程师应采取什么措施来阻止这种情况发生？

A. 修改 post_build 命令以使用 --acl public-read 并配置仅允许对关联 AWS 账户进行读取访问的存储桶策略。

B. 为 S3 存储桶配置一个默认 ACL，将经过身份验证的用户集定义为仅关联的 AWS 账户并允许只读访问。

C.创建一个 S3 存储桶策略，授予对关联 AWS 账户的读取访问权限，并拒绝对主体“*”的读取访问权限。

D. 修改 post_build 命令以删除 --acl authenticated-read，并设置仅允许对关联 AWS 账户进行读取访问的存储桶策略。

答案：D

解释：
“--acl authenticated-read”表示任何经过身份验证的用户都可以读取 S3 存储桶。您必须将其删除并设置明确允许访问的存储桶策略。

75 / 100

75.

答案：B

76 / 100

76.

答案：B

解释：
B 既对应现有的 bucket，也对应新的 bucket。

C 在创建新存储桶时触发；现有存储桶不会被事件处理。

77 / 100

77. 哪种架构可以以最少的配置满足这些要求？

A. 创建单个 AWS CodePipeline 管道来并行部署应用程序，并为每个 ALB-Auto Scaling 组对创建唯一的 AWS CodeDeploy 应用程序和部署组。

B. 创建单个 AWS CodePipeline 管道，使用单个 AWS CodeDeploy 应用程序和单个部署组部署应用程序。

C. 对于每个 ALB-Auto Scaling 组对，创建一个 AWS CodePipeline 管道，该管道使用单个 AWS CodeDeploy 应用程序和唯一的部署组并行部署应用程序。

答案：C

解释：

选项 C - 在这种情况下，您可以拥有一个 CodeDeploy 应用程序和多个部署组。

C 是正确的：<应用程序必须触发并发部署>表示并行部署

B和D：没有提到并行部署

答：<为每个 ALB-Auto Scaling 组对创建唯一的 AWS CodeDeploy 应用程序和部署组> 意味着每个站点有多个 AWS CodeDeploy 应用程序和部署组，这是不必要的。

78 / 100

78.

A.从包含静态网站内容的 S3 存储桶中删除所有对象（包括以前的版本）。

B. 更新加权 DNS 记录条目以指向 S3 存储桶。将权重应用到 0。要使更改立即生效，请指定域重置选项。

C. 使用重定向到您的 ALB 的主机名为您的 S3 存储桶配置网页重定向请求。

D.从 example.com 托管区域中删除指向您的 S3 存储桶的加权 DNS 记录条目。等待 DNS 传播完成。

答案：D

解释：B 不正确。

Route 53 最初仅考虑具有非零权重的记录（如果有）。

如果所有权重大于 0 的记录都是不健康的，Route 53 会考虑权重为零的记录。

79 / 100

79.

A. 部署并构建所有管道中失败的操作

B. 所有管道中被拒绝或失败的所有审批操作

C. 所有管道中的所有事件

D. 每条管道的审批行动

答案：B

解释：
使用此示例事件模式来捕获所有管道中被拒绝或失败的所有批准操作。

https://docs.aws.amazon.com/codepipeline/latest/userguide/detect-state-changes-cloudwatch-events.html

80 / 100

80. 哪些解决方案可以实现这一点？

答案：D

81 / 100

81. DevOps 工程师应采取哪些步骤组合来满足这些要求？（选择两个。）

A.配置 CloudWatch Logs 订阅过滤器以使用 AWS Glue 将所有日志转发到 S3 存储桶。

B. 配置 CloudWatch Logs 订阅过滤器，以使用 Amazon Kinesis Data Firehose 将所有日志流式传输到 S3 存储桶。

C. 配置 CloudWatch Logs 订阅过滤器以将所有日志流式传输到 S3 存储桶。

D. 为您的 S3 存储桶配置生命周期策略，以便在 90 天后将日志转换到 S3 Glacier，并在 3,650 天后使日志过期。

E. 为您的 S3 存储桶配置生命周期策略，以便将日志在 90 天后转换为减少冗余，并在 3,650 天后使日志过期。

答案：BD

解释：
Amazon Kinesis Data Firehose 简化了将流数据加载到 S3 的过程，并提供自动扩展、缓冲和重试功能。

82 / 100

82. 公司的 DevOps 团队需要为该解决方案创建基础设施即代码 (IaC) 和 CI/CD 管道。

哪些步骤组合可以满足这些要求？（选择三个）

E. 为所有 Lambda 函数创建 Amazon CloudWatch 复合警报。配置 Lambda 的评估期和维度。配置警报，如果检测到错误或数据不足则进入 ALARM 状态。

答案：BCF

83 / 100

83.

A.您的网络配置不允许您的 EC2 实例通过 NAT 网关或 Internet 网关访问互联网以到达 CodeDeploy 终端节点。

B. 触发应用程序部署的 IAM 用户没有权限与 CodeDeploy 端点交互。

C. 目标 EC2 实例未正确注册到 CodeDeploy 端点。

D. 具有正确权限的实例配置文件未附加到目标 EC2 实例。

E. appspec.yml 文件未包含在应用程序修订版中。

答案：A.D.

解释：

84 / 100

满足这些要求的最具可扩展性的解决方案是什么？

答案：C

85 / 100

85.

A. 您的 appspec.yml 文件包含在 AllowTraffic 生命周期挂钩中运行的无效脚本。

B. 启动部署的用户没有与 ALB 交互所需的权限。

C. 为 ALB 目标组指定的健康检查配置不正确。

D. ALB 目标组的一部分的 EC2 实例没有安装 CodeDeploy 代理。

答案：C

解释：
答案是 C。
请参阅此处：https://docs.aws.amazon.com/codedeploy/latest/userguide/troubleshooting-deployments.html#troubleshooting-deployments-allowtraffic-no-logs

86 / 100

86.

答案：B

解释：
B 是正确的。我们在不同的 AWS 账户中有 20 个服务团队，它们都使用相同的 CIDR 块，因此导致 CIDR 重叠。

87 / 100

87.

A.S3 存储桶已启用默认加密。

B. S3存储桶策略有错误。

C. 对象被移动到 S3 Glacier。

D.您的 IAM 角色配置有错误。

E. S3 版本控制已启用。

答案：BD

解释：
但这不是一个错误。这是一个配置错误。

88 / 100

88.

D. 创建一个用户数据脚本，列出集群当前安全组的所有成员，并在向集群添加新实例时自动更新 /etc/cluster/nodes.config 文件。

答案：A

解释：
我们还使用配置管理工具。在这种情况下，Opsworks（Chef/Puppet）。

89 / 100

89.

A.检查返回的响应中的VersionId。将返回的 VersionId 与 MD5 校验和进行比较。

B. 在 Content-MD5 参数中包含 MD5 校验和。检查操作调用的返回状态，查看是否返回了错误。

C. 将校验和摘要作为 URL 查询参数包含在标记参数中。

D.检查返回的响应中的ETag。将返回的 ETag 与 MD5 校验和进行比较。

E. 将校验和摘要作为名称-值对包含在元数据参数中。上传后，使用 S3 HeadObject 操作从对象中检索元数据。

答案：BD

90 / 100

90.

答案：A

解释：
A 是正确的：<使用 AWS CodePipeline 管道> 表示您需要 CodePipeline。

C 和 D：没有提到 CodePipeline。

B：<配置操作以使用 CodePipeline 与 API Gateway 集成将 SDK 导出到 Amazon S3>：CodePipeline 需要调用其他工具来执行任务。没有与 API 网关集成。

91 / 100

91.

A.将 BeforeAllowTraffic 挂钩添加到您的 AppSpec 文件，以便在流量流向新版本的 Lambda 函数之前测试并等待必要的数据库更改。

B. 向您的 AppSpec 文件添加一个 AfterAllowTraffic 挂钩，使流量等待待处理的数据库更改，然后才允许您的新版本的 Lambda 函数做出响应。

C. 将 BeforeInstall 挂钩添加到您的 AppSpec 文件，以便在部署新版本的 Lambda 函数之前测试并等待任何所需的数据库更改。

D. 将 ValidateService 挂钩添加到您的 AppSpec 文件以检查传入流量，如果依赖服务（如数据库）尚未准备就绪，则拒绝负载。

答案：A

答：（是）在做好准备之前不要改变交通路线
B：（否）阻止流量，直到准备就绪
C：（否）Lambda 事件挂钩不适用
D：（否）Lambda 事件挂钩不适用

92 / 100

92.

答案：A

93 / 100

93.

A. 在跨多个区域的单个可用区域中创建 Amazon Aurora 集群并将其用作数据存储。如果发生灾难，请使用 Aurora 的自动恢复功能。

B. 在两个区域创建一个 Amazon Aurora 全局数据库作为数据存储。如果发生停电，我们会将辅助区域提升为您的应用程序的主要区域。

C. 创建一个跨多个区域的 Amazon Aurora 多主集群并将其用作数据存储。使用网络负载均衡器来平衡不同区域之间的数据库流量。

答案：BD

94 / 100

94.

A.修改管道中的 CodeBuild 项目以使用具有更多可用网络吞吐量的计算类型。

B. 创建一个自定义的 CodeBuild 执行环境，其中包括一个对称多处理配置，以并行运行构建。

C.修改您的 CodePipeline 配置以并行运行每个 Lambda 函数的操作，并指定相同的 runOrder。

D. 修改每个 CodeBuild 项目以在 VPC 内运行并使用专用实例来增加吞吐量。

答案：C

运行顺序：
CodePipeline 中的 runOrder 参数使您能够指定执行操作的顺序。如果多个操作具有相同的 runOrder，则它们可以并行运行。

95 / 100

95.

A. 更新为 ALB 配置的子网映射。运行 aws cloudformation update-stack-set AWS CLI 命令。

B. 使用所需的权限更新 IAM 角色以更新堆栈。运行 aws cloudformation continue-update-rollback AWS CLI 命令。

C.提交请求以增加您账户的 EC2 实例数量配额。运行 aws cloudformation cancel-update-stack AWS CLI 命令。

D.删除 Auto Scaling 组资源。运行 aws cloudformation rollback-stack AWS CLI 命令。

答案：B

96 / 100

96.

A.使用 Amazon CloudWatch 代理将日志从您的 EC2 实例发送到 Amazon CloudWatch Logs。配置 AWS CloudTrail 以将 API 日志传送至 Amazon S3。使用 CloudWatch 查询两组日志。

答案：B

97 / 100

97.

A. 使用 AWS Systems Manager 检测您的 EC2 实例中的漏洞。安装 Amazon Kinesis Agent 以捕获系统日志并将其传送到 Amazon S3。

B. 使用 AWS Systems Manager 检测您的 EC2 实例中的漏洞。安装 Systems Manager Agent 以捕获系统日志并在 CloudTrail 控制台中查看日志活动。

C. 配置 Amazon CloudWatch 以检测 EC2 实例中的漏洞。安装 AWS Config 守护程序以捕获系统日志并在 AWS Config 控制台中查看它们。

D. 配置 Amazon Inspector 以检测 EC2 实例中的漏洞。安装 Amazon CloudWatch 代理以捕获系统日志并将其记录在 Amazon CloudWatch Logs 中。

答案：D

解释：
Amazon Inspector 可近乎实时地检测 AWS 工作负载（包括 Amazon EC2、AWS Lambda 函数和 Amazon ECR）中的软件漏洞和意外的网络暴露。

98 / 100

98.

A.向您的 Auto Scaling 组添加运行状况检查，以便在实例状态受到损害时调用 AWS Lambda 函数。

B. 配置 Auto Scaling 组，以便每当实例启动失败时向 Amazon SNS 主题发送通知。

C. 创建一个 Amazon CloudWatch 警报，当 AttachInstances Auto Scaling API 调用失败时调用 AWS Lambda 函数。

D. 在 Amazon EC2 中创建状态检查警报，每当发生状态检查失败时，就会向 Amazon SNS 主题发送通知。

答案：B

解释：
可能是 B：
https://aws.amazon.com/blogs/aws/auto-scaling-notifications-recurrence-and-more-control/
“EC2_INSTANCE_LAUNCH_ERROR”

99 / 100

99.

A.创建一个包含 AWS Config 规则和补救措施的 CloudFormation 模板。使用 CloudFormation StackSets 从 Organizations 管理账户部署模板。

B. 创建包含 AWS Config 规则和补救措施的 AWS Config 一致性包。使用 CloudFormation StackSets 从您的 Organizations 管理账户部署该包。

C. 创建包含 AWS Config 规则和补救措施的 CloudFormation 模板。使用 AWS Config 从委派管理员账户部署模板。

D. 创建包含 AWS Config 规则和补救措施的 AWS Config 一致性包。使用 AWS Config 从委派管理员账户部署该包。

答案：D

解释：
选项 D. 创建包含 AWS Config 规则和补救措施的 AWS Config 一致性包。使用 AWS Config 从委派管理员账户部署该包。

其他选项虽然可用于部署配置规则，但本质上并不能阻止成员账户中的非管理员修改基线 AWS Config 规则。

100 / 100

100.

B.通过根据 Amazon CloudWatch GetRecords.IteratorAgeMilliseconds 指标添加 EC2 实例来水平扩展您的 Kinesis 消费者应用程序。增加 Kinesis 数据流的保留期。

C.将 Kinesis 消费者应用程序转换为 AWS Lambda 函数运行。将 Kinesis 数据流配置为 Lambda 函数的事件源来处理数据流。

D.增加 Kinesis 数据流中的分片数量以增加总体吞吐量并使消费者应用程序能够更快地处理数据。

答案：B

解释：
答案是 B。原因：
几个小时前我刚刚完成 DOP-C02 考试。
我的分数是1000分。
这个问题出现了。选择 B。

Your score is

■AWS-DOP-C02-(CN) Q101~200

/100

AWS-DOP-C02-(CN) Q101~200

1 / 100

B. 在您组织的管理账户中启用 Security Hub 的可信访问。从您的管理账户，向 Security Hub 提供 AWS Foundations 标准的 CIS 基准。

C. 创建包含所需权限的 AWS IAM Identity Center（AWS Single Sign-On）权限集。使用 CreateAccountAssignment API 操作将安全团队中的用户与权限集和委派安全帐户关联。

D. 创建一个 SCP，明确拒绝安全团队以外的任何人访问 Security Hub。

E. 在安全中心，打开自动启用功能。

答案：ACE

解释：
为什么答案是ACE：
几个小时前我刚刚完成 DOP-C02 考试。
我的分数是1000分。
当这个问题出现时，我选择ACE。

2 / 100

答案：A

解释：
一个：
该解决方案满足所有要求：

3 / 100

答案：B

解释：
防火墙设备的日志已被发送到 Amazon CloudWatch Logs。因此，满足指定要求的最佳方法是创建一个带有 CRITICAL 事件搜索的 Amazon CloudWatch 指标过滤器。

4 / 100

C. 将所有账户置于组织中的新顶级 OU 下。创建 SCP 以拒绝访问受限的 AWS 服务。将 SCP 附加到 OU。

D.创建仅允许访问经批准的 AWS 服务的 SCP。将 SCP 附加到您组织的根 OU。从组织的根 OU 中删除 FullAWSAccess SCP。

答案：D

5 / 100

A.验证您的 Lambda 函数代码是否成功终止。

B.验证您的 Lambda 函数代码是否返回对预签名 URL 的响应。

C.确保 Lambda 函数 IAM 角色在堆栈 ARN 上具有 cloudformation:UpdateStack 权限。

D.验证 Lambda 函数 IAM 角色是否具有您的 AWS 账户的 ds:ConnectDirectory 权限。

答案：B

6 / 100

A. 创建一个包含针对 GitPush 和 PutFile 操作的拒绝规则的附加策略。在您的政策声明中，包含对特定存储库的限制以及引用主分支的条件。

B. 删除 IAM 策略并添加 AWSCodeCommitReadOnly 托管策略。在您的策略声明中，为特定存储库添加一条允许 GitPush 和 PutFile 操作的规则，条件是它引用主分支。

C.修改IAM策略。在您的策略声明中，包含针对特定存储库的 GitPush 和 PutFile 操作的拒绝规则，其中的条件是引用主分支。

D. 创建一个包含 GitPush 和 PutFile 操作允许规则的附加策略。在您的政策声明中，包含对特定存储库的限制以及引用功能分支的条件。

答案：A

解释：

有可能！
如果您认为 C 是正确的，那么您应该知道 AWS 管理的策略无法修改。

7 / 100

答案：D

解释：
D 是正确答案。故障转移策略将流量路由至备份区域中的 ALB。

8 / 100

A.从 AWS Systems Manager SecureString 参数获取访问密钥以访问 AWS 服务。从 Systems Manager SecureString 参数检索数据库凭证。

B. 使用 EC2 IAM 角色启动 EC2 实例来访问 AWS 服务。从 AWS Secrets Manager 检索数据库凭证。

C. AWS Systems Manager 从纯文本参数中检索访问密钥以访问 AWS 服务。从 Systems Manager SecureString 参数检索数据库凭证。

D. 使用 EC2 IAM 角色启动 EC2 实例来访问 AWS 服务。将数据库密码与应用程序工件一起存储在加密配置文件中。

答案：B

9 / 100

D. 使用每 5 分钟运行一次的脚本启动 t2.nano 实例并使用 AWS SDK 查询当前账户的 CloudTrail。如果 CloudTrail 跟踪被禁用，该脚本将重新启用该跟踪。

答案：A

解释：
一个。
古老但有价值的链接：
https://aws.amazon.com/blogs/mt/monitor-changes-and-auto-enable-logging-in-aws-cloudtrail/

10 / 100

10.

A.创建 Amazon S3 网关端点。更新运行 CodeBuild 作业的子网的路由表。

B. 更新存储库策略中的主体声明以包含 CodeBuild 项目使用的角色的 ARN。

C. 使用 AWS 资源访问管理器 (AWS RAM) 与您的组织共享 CodeArtifact 存储库。

D. 更新 CodeBuild 项目使用的角色，以便该角色具有足够的权限来使用 CodeArtifact 存储库。

E. 将托管存储库的账户指定为您组织中 CodeArtifact 的委派管理员。

答案：A.D.

11 / 100

11.

A.创建 AWS Lambda 函数并按所需顺序部署 CloudFormation 模板。使用堆栈策略并通知您的数据工程团队。

B. 在 Amazon S3 上托管 CloudFormation 模板。使用 Amazon S3 事件直接触发 CloudFormation 更新和 Amazon SNS 通知。

C. 实施 CloudFormation StackSets 并使用漂移检测向数据工程团队触发更新警报。

D. 利用 CloudFormation 嵌套堆栈和堆栈集进行部署。使用 Amazon SNS 通知数据工程团队。

答案：D

解释：
答案是 D。原因：
几个小时前我刚刚完成 DOP-C02 考试。
我的分数是1000分。
这个问题出现了。选择 D。

12 / 100

12.

A.使用 cfn-signal 帮助脚本通知 CloudFormation 成功或失败。在您的 CloudFormation 模板中使用 WaitOnResourceSignals 更新策略。为您的更新策略设置适当的超时。

答案：A

13 / 100

13.

答案：C

解释：EC2 没有互联网访问权限，因此 C 和 D 是剩余的选项

14 / 100

14.

A.启用 AWS CloudTrail 并使用 AWS Lambda 配置自动修复。

B. 启用 AWS Config 规则并使用 AWS Systems Manager 文档配置自动修复。

C. 启用 AWS Trusted Advisor 并使用 Amazon EventBridge 配置自动修复。

D. 启用 AWS Systems Manager 并使用 Systems Manager 文档配置自动修复。

答案：B

解释：
B 是正确的：需要 AWS 配置来 <确保所有现有和未来的存储桶都已启用加密、日志记录和版本控制>。
A、C、D：没有提及 AWS 配置

15 / 100

15.

A. 使用 Amazon EFS 来获取检查点数据。为了完成这项工作，我们使用 EC2 Auto Scaling 组和按需定价模型临时配置 EC2 实例。

B. 在 EC2 实例上使用 GlusterFS 获取检查点数据。手动配置 EC2 实例以运行批处理作业。作业完成后，手动关闭实例。

C. 使用 Amazon EFS 来获取检查点数据。使用 EC2 Fleet 启动 EC2 Spot 实例，并在启动时使用用户数据配置 EC2 Linux 实例。

D.使用 Amazon EFS 存储检查点数据。使用 EC2 Fleet 启动 EC2 Spot 实例。为您的集群创建自定义 AMI，并在创建实例时使用最新的 AMI。

答案：D

解释：
我认为您认为 D 比 C 更好。 D 将使您的 EC2 实例更快地启动并运行，但 C 需要 30 分钟来安装软件，这使得在您开始之前就更具成本效益。

16 / 100

16.

A. 在现有环境旁边的单独环境中部署更改。通过金丝雀部署，您可以配置 API Gateway 将一小部分用户流量发送到新环境。

B. 在与现有环境并行的单独环境中部署更改。更新应用程序的 DNS 别名记录以指向新环境。

C. 将变化作为现有应用程序负载均衡器后面的另一个目标组引入。配置 API 网关以逐步将用户流量路由到新的目标组。

答案：A

解释：
选项 A 也是一种有效的方法，只需对您的应用程序进行最少的更改即可满足您的要求。

17 / 100

17.

A. 过滤数据并在 AWS X-Ray 中可视化数据。

B. 过滤数据并在 Amazon QuickSight 中将数据可视化。

C.使用 Amazon Athena 查询数据。

D.查询 Amazon Redshift 中的数据。

E.使用 AWS Glue 数据目录作为持久元数据存储。

F.使用 Amazon DynamoDB 作为持久元数据存储。

答案：BCE

描述：BCE。 Glue 数据目录可以抓取您的 S3 存储桶并存储表元数据。然后，您可以直接在 Athena 中调用数据目录。显示数据的分区。

Athena 不能直接与 DynamoDB 配合使用。因此，F 被排除。

18 / 100

18.

A.将标签应用于所有 EC2 实例、AWS IoT Greengrass 设备和本地服务器。使用系统管理器会话管理器将补丁推送到所有标记的设备。

B. 使用 Systems Manager Run Command 安排修补 EC2 实例、AWS IoT Greengrass 设备和本地服务器。

C. 使用 Systems Manager Patch Manager 将 EC2 实例、AWS IoT Greengrass 设备和本地服务器的修补安排为 Systems Manager 维护时段任务。

答案：CEF

解释：
我也会选择 E 而不是 B。

以上来源：https://aws.amazon.com/blogs/mt/how-to-centrally-manage-aws-iot-greengrass-devices-using-aws-systems-manager/?force_isolation=true

19 / 100

19.

A. 在负载均衡器上启用智能会话并修改您的应用程序以检查现有会话。

B. 在负载均衡器上启用会话共享并修改您的应用程序以从会话存储中读取。

C. 将用户会话信息存储在 Amazon S3 存储桶中，并修改您的应用程序以从存储桶中读取会话信息。

D. 修改应用程序以将用户会话信息存储在 Amazon ElastiCache 集群中。

答案：D

解释：
D 是正确的：<在测试期间，用户会在随机时间自动退出应用程序>：这是因为没有数据存储来保存用户的会话。需要会话数据存储来保存用户会话

20 / 100

20.

C. 更新启动模板，将绿色环境软件部署到蓝色环境 EC2 实例。请勿更改两个环境中的目标组和 Auto Scaling 组。对蓝色环境中的 EC2 实例执行滚动重启。

答案：A

21 / 100

21.

C.创建 AWS 管理的 KMS 密钥。配置KMS密钥策略，允许开发账户和生产账户执行解密操作。修改管道以使用 KMS 密钥加密工件。

答案：BE

22 / 100

22.

A. 更新 EFS 文件系统策略以授予账户 B 在账户 A 中挂载和写入 EFS 文件系统的权限。

B. 创建 SCP 以在 Amazon EFS 中设置具有细粒度控制的权限护栏。

C. 在账户 B 中创建一个新的 EFS 文件系统。使用 AWS Database Migration Service (AWS DMS) 同步账户 A 和账户 B 中的数据。

D. 更新 Lambda 执行角色，使其具有访问 VPC 和 EFS 文件系统的权限。

E.创建 VPC 对等连接以将账户 A 连接到账户 B。

F.配置账户 B 中的 Lambda 函数以承担账户 A 中现有的 IAM 角色。

答案：ADE

23 / 100

23.

答案：B

24 / 100

24.

答案：B

25 / 100

25.

答案：A

26 / 100

26.

答案：B

27 / 100

27.

A.将 AWSCloudFormationFullAccess IAM 策略附加到 AWS CloudFormation 角色。

B.使用 AWS CloudFormation 偏差检测自动恢复堆栈资源。

C. 从 AWS CloudFormation 控制台或 AWS CLI 发出 ContinueUpdateRollback 命令。

D.手动调整资源以匹配堆栈预期。

E. 使用原始模板更新现有的 AWS CloudFormation 堆栈。

D.手动调整资源以匹配堆栈预期。这包括识别和修复更新失败的根本原因。这可能涉及修改资源配置以及解决堆栈中的依赖关系或不一致性。

28 / 100

28.

B.创建自定义脚本来清除缓存。在 AppSpec 文件中的 BeforeInstall 生命周期挂钩中指定脚本。

C. 为每个包含清除缓存脚本的 Amazon EC2 实例创建用户数据。部署后，测试应用程序。如果不成功，请再次部署。

D.配置 AWS CodePipeline 以部署应用程序。允许开发人员将代码检查到代码存储库中作为管道的源。

E.使用 AWS CodeBuild 构建工件并将其放置在 Amazon S3 中。使用 AWS CodeDeploy 将工件部署到 Amazon EC2 实例。

F.使用 AWS Systems Manager 从 Amazon S3 检索工件并将其部署到所有实例。

答案：BDE

29 / 100

29.

A. 添加一个构建后命令，在终止容器之前删除临时文件，以便其他 CodeBuild 用户无法看到它们。

B. 使用所需权限更新 CodeBuild 项目角色并从环境变量中删除 AWS 凭证。

C. 将 DB_PASSWORD 作为 SecureString 值存储在 AWS Systems Manager 参数存储中，并从环境变量中删除 DB_PASSWORD。

D. 将环境变量移动到“db-deploy-bucket”Amazon S3 存储桶，添加要下载的预构建阶段，然后导出变量。

E.直接在实例上使用 scp 和 ssh 命令，而不是 AWS Systems Manager Run Command。

F. 使用 XOR 和 Base64 对环境变量进行加密，添加要安装的部分，然后在构建阶段运行 XOR 和 Base64。

答案：BCE

解释：
BCE是正确的
答：不正确。 CodeBuild 不会保留该文件以供下次构建。一旦构建完成，文件就会被删除。

30 / 100

30.

B.启动新的 Amazon EC2 实例。在 EC2 实例上安装旧应用程序的所有依赖项。它使用 EC2 实例构建可部署工件并将该工件存储在 S3 存储桶中。

答案：A

解释：
自动化为旧版应用程序构建可部署工件并将其存储在现有 Amazon S3 存储桶中的过程最具操作效率的解决方案如下：

31 / 100

31.

C. 将您的 ECR 存储库更新为公共映像存储库。将 ECR 存储库策略添加到允许访问的 IAM 服务角色。

D. 更新 buildspec.yml 文件以使用 AWS CLI 承担 ECR 操作的 IAM 服务角色。将 ECR 存储库策略添加到允许访问的 IAM 服务角色。

答案：A

32 / 100

32.

A. 将外部 IdP 配置为身份源。使用 SCIM 协议配置自动用户和组配置。

B.将 AWS Directory Service 配置为身份源。使用 SAML 协议配置自动用户和组配置。

C. 将 AD Connector 配置为身份源。使用 SCIM 协议配置自动用户和组配置。

D. 将外部 IdP 配置为身份源。使用 SAML 协议配置自动用户和组配置。

答案：A

33 / 100

33.

答案：C

34 / 100

34.

A. 开发 OU 中的所有用户都被允许对所有资源执行所有 API 操作。

B. 开发 OU 中的所有用户都被允许对 EC2 资源执行所有 API 操作。所有其他 API 操作均被拒绝。

C. 开发 OU 中的所有用户都被拒绝对所有资源执行所有 API 操作。

D. 开发 OU 中的所有用户都将被拒绝对 EC2 资源执行所有 API 操作。允许所有其他 API 操作。

答案：B

查看以下链接中的表格：
https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/

35 / 100

35.

答案：A

解释：
该解决方案满足了公司的所有要求：

开发人员可以通过向本地 Git 配置添加远程 URL 在辅助区域中开发代码。

它是自动化的：每当主区域的 CodeCommit 存储库中发生合并事件时，EventBridge 规则就会自动调用 Lambda 函数。

可靠：CodeBuild 项目使用 Git 来确保在辅助区域中创建主区域 CodeCommit 存储库的完整副本。

36 / 100

36.

A.使用 AWS CodeBuild 中的构建规范文件从生产数据库的快照恢复数据库集群，运行集成测试，并在验证后删除恢复的数据库。

B.将应用程序部署到生产环境。设置数据控制语言 (DCL) 操作的审计日志，以捕获验证失败时发生的数据库活动。

C. 在部署应用程序之前创建数据库集群的快照。使用 AWS CloudFormation 中数据库实例上的 Update require:Replacement 属性来部署应用程序并应用更改。

D.验证 DB 集群是否为多可用区部署。部署更新后的应用程序。如果验证失败，则会故障转移到备用实例。

答案：A

解释：A 是一种解决方案，它允许您运行测试而不会产生这样的后果

37 / 100

37.

D.创建一个创建 GuardDuty 抑制规则的 AWS Lambda 函数。配置一个 Lambda 函数来响应来自 GuardDuty 的新 Security Hub 发现而运行。

答案：C

38 / 100

38.

A. 更新 Secrets Manager 中的默认 KMS 密钥，以便只有 Lambda 函数的执行角色可以解密它。

B.创建一个信任 Secrets Manager 的 KMS 客户管理密钥并允许 Lambda 函数的执行角色对其进行解密。更新 Secrets Manager 以使用新的客户管理密钥。

C.创建一个信任 Secrets Manager 的 KMS 客户管理密钥并允许您账户的根主体对其进行解密。更新 Secrets Manager 以使用新的客户管理密钥。

D.验证 Lambda 函数的执行角色是否具有资源级别范围内的 KMS 权限。设置权限以允许 KMS 密钥加密 Secrets Manager 机密

E.从 Lambda 函数的执行角色中删除所有 KMS 权限

答案：BD

39 / 100

39.

A.用 Amazon DynamoDB 表替换 RDS Multi-AZ DB 实例。

B. 将 Amazon Simple Queue Service (Amazon SQS) 队列配置为 Lambda 函数的目标。

C. 为 SNS 主题配置一个 Amazon Simple Queue Service (Amazon SQS) 死信队列。

D. 将 Amazon Simple Queue Service (Amazon SQS) 队列订阅到 SNS 主题。配置 Lambda 函数来处理来自 SQS 队列的消息。

E.用 Amazon EventBridge 事件总线替换 SNS 主题。在新事件总线上配置 EventBridge 规则，为每个事件调用一个 Lambda 函数。

答案：CD

解释：
下面介绍两种满足日后不丢失通知消息的解决方案：

D. 将 Amazon Simple Queue Service (Amazon SQS) 队列订阅到 SNS 主题。配置 Lambda 函数来处理来自 SQS 队列的消息。

C. 为 SNS 主题配置一个 Amazon Simple Queue Service (Amazon SQS) 死信队列。

此解决方案可确保无法传递到您的 RDS DB 实例的通知消息不会丢失。相反，它们被移至死信队列。 DevOps 工程师可以手动处理来自死信队列的消息。

40 / 100

40.

答案：A

解释：
没有 CloudWatch 警报操作。警报唯一能做的就是向 SNS 主题发送通知。您可以使用 EventBridge（CloudWatch 日志事件）或 Step Functions 采取行动。

41 / 100

41.

A. 将报警数据点值设置为 12 个中的 3 个。配置警报，将缺失数据视为违反阈值。添加 AWS Systems Manager 操作以在警报进入 ALARM 状态时停止实例。

B. 将报警数据点值设置为 12 个中的 3 个。设置警报，将缺失数据视为未超过阈值。添加一个 EC2 操作，当警报进入 ALARM 状态时停止实例。

C. 将报警数据点值设置为 12 个中的 9 个。设置警报，将缺失数据视为超过阈值。添加一个 EC2 操作，当警报进入 ALARM 状态时停止实例。

D. 将警报数据点值设置为 12 个中的 9 个。设置警报，将缺失数据视为未超过阈值。添加 AWS Systems Manager 操作以在警报进入 ALARM 状态时停止实例。

答案：B

解释：
B：原因如下：https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/UsingAlarmActions.html#AddingStopActions

42 / 100

42.

答案：C

43 / 100

43.

version: 0.0
os: linux
files:
- source: /
destination: /var/www/html/application

A. 阻止流量之后

B. 阻止流量之前

C. 安装前

D. 下载包

答案：C

44 / 100

44.

答案：B

45 / 100

45.

A { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringLike": { "aws:PrincipalArn": ( "arn:aws:iam::*:root" ) } } ] }

B { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" } } } ] }

C { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" } } } ] }

D { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "", "Resource": "*", "Principal": "root" } ] }

答案：C

解释：
我认为应该是 C。
https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html#bp_member-acct_use-scp

46 / 100

46.

答案：B

解释：
我认为是 B。 Amazon Lookout 指标可以检测 S3 存储桶中的异常并触发 Lambda
https://aws.amazon.com/lookout-for-metrics/

47 / 100

47.

A.在管理账户中，授予 DevOps 工程师 IAM 用户权限，以承担新成员账户中的 OrganizationAccountAccessRole IAM 角色。

D. 在新的成员账户中，编辑 OrganizationAccountAccessRole IAM 角色的信任策略。授予管理账户承担该角色的权限。

答案：C

48 / 100

48.

A.增加重试次数。

B. 配置一个设置，以便在发生错误时拆分批次。

C.增加每个分片的并发批次数量。

D.减少记录的最大年龄。

答案：B

49 / 100

49.

A. 创建 AWS CodePipeline 配置并设置在测试通过后触发管道的后提交挂钩。使用 AWS CodeDeploy 创建指定流量百分比和间隔的金丝雀部署配置。

B. 创建一个在推送测试代码时触发的 AWS CodeBuild 配置。使用 AWS CloudFormation 部署新的 Lambda 版本并触发指定流量转移率和间隔的 AWS CodePipeline 配置。

答案：C

解释：
该解决方案具有以下优势：

自动化：从推送代码到测试和部署的整个过程都是自动化的，减少了手动工作并提高了开发人员的速度。

50 / 100

50.

答案：C

51 / 100

51.

答案：D

52 / 100

52.

A.受影响的两个实例无法获得新的部署。

B. AfterInstall 生命周期事件挂钩失败，导致 CodeDeploy 代理在受影响的实例上回滚到以前的版本。

C. 受影响的两个实例上未安装 CodeDeploy 代理。

D. EC2 Auto Scaling 在新部署尚未完成时启动了两个新实例，导致之前的版本被部署到受影响的实例。

答案：D

53 / 100

53.

答案：B

总结：D无关紧要，A、C都能达到要求，但是耗费较多精力和资源。

54 / 100

54. 哪种解决方案需要的管理开销最少？

答案：B

55 / 100

55.

答案：B

解释：
B 正确 - CodeDeployDefault OneAtAtime 配置（一次一个，而不是 AllAtATime）

56 / 100

56.

C. 为每个项目创建一个 AWS CodeCommit 存储库，并使用主分支进行生产和测试代码，每个环境使用不同的部署管道。使用功能分支来开发新功能。

答案：A

57 / 100

57.

A.修改您的 Auto Scaling 配置以替换未通过负载均衡器健康检查的实例。

B.通过修改目标组的健康检查HealthCheckIntervalSeconds参数来减少健康检查间隔。

C. 将目标组的健康检查从 HTTP 更改为 TCP，以检查应用程序正在监听的端口是否可访问。

E.使用 Amazon CloudWatch 代理收集 Auto Scaling 组中 EC2 实例的内存利用率。创建高内存利用率警报并关联 Amazon SNS 主题以接收通知。

答案：AE

58 / 100

58.

B. 在所有实例上启用 EC2 自动恢复。创建 AWS Config 规则以限制恢复仅在维护时段内发生。

C.在标准工作时间之外的批准维护时段内重启所有 EC2 实例。配置 Amazon CloudWatch 警报，以便在任何实例未通过 EC2 实例状态检查时通知您。

D. 配置 AWS Health Amazon EventBridge 规则以运行 AWS Systems Manager Automation 运行手册，该运行手册在发生计划的退役事件时停止并启动 EC2 实例。

答案：D

59 / 100

59.

A.创建一个调用 AWS Lambda 函数的 CloudFormation 自定义资源。如果您的账户中尚未启用 GuardDuty，请配置 Lambda 函数以有条件地启用 GuardDuty。

B. 使用 CloudFormation 模板的条件部分在尚未启用 GuardDuty 的账户中启用 GuardDuty。

C. 使用 CloudFormation Fn::GetAtt 内部函数检查 GuardDuty 是否已启用。如果尚未启用 GuardDuty，请使用 CloudFormation 模板的资源部分来启用 GuardDuty。

D.手动发现未启用 GuardDuty 的 AWS 账户 ID 列表。使用 CloudFormation Fn::ImportValue 内部函数将账户 ID 列表导入 CloudFormation 模板并跳过列出的 AWS 账户的部署。

答案：A

60 / 100

60.

A.创建一个拒绝完全访问的 SCP，条件是排除组织根的管理员 IAM 角色。

B.验证 FullAWSAccess SCP 是否应用于组织根。

C. 创建允许 IAM 相关操作的 SCP。将 SCP 附加到开发 OU。

D. 创建一个 SCP，以排除管理 IAM 角色为条件拒绝 IAM 相关操作。将 SCP 附加到工作负载 OU。

E. 创建一个 SCP，以排除管理 IAM 角色的条件拒绝与 IAM 相关的操作。将 SCP 附加到生产 OU。

答案：BE

解释：
您需要了解 SCP 继承在 AWS 中的工作原理。拒绝策略的行为与允许策略不同。

仅当没有允许策略时，子进程才会继承允许策略。

拒绝策略总是被子级继承。

61 / 100

61.

A.确保 Amazon GuardDuty 已启用。针对检测到的 EC2 和端口扫描结果创建 Amazon CloudWatch 警报。将警报连接到 SNS 主题。

B.验证 Amazon Inspector 是否已启用。为检测到的表明端口扫描的网络可达性结果创建 Amazon EventBridge 事件。将事件连接到 SNS 主题。

C. 验证 Amazon Inspector 是否已启用。为检测到的触发开放端口漏洞的 CVE 创建 Amazon EventBridge 事件。将事件连接到 SNS 主题。

D.验证 AWS CloudTrail 是否已启用。创建一个 AWS Lambda 函数来分析 CloudTrail 日志中来自 IP 地址范围的异常流量。将 Lambda 函数连接到 SNS 主题。

答案：A

62 / 100

62.

A. 在您的 EKS 集群中实现水平 Pod 自动扩缩器。

B. 在您的 EKS 集群中实现垂直 Pod 自动缩放器。

C.实现集群自动缩放器。

D. 在您的 EKS 集群中实现 AWS 负载均衡器控制器。

答案：B

63 / 100

63.

A.使用服务管理权限为组织中的 CloudFormation 启用可信访问。

C. 为每个 CloudFormation 模板创建一个服务目录产品。

D. 为每个 CloudFormation 模板创建一个 CloudFormation 堆栈集。为每个堆栈集启用自动部署。创建针对特定 OU 的 CloudFormation 堆栈实例。

E.部署 AWS Control Tower (CfCT) CloudFormation 堆栈定制。

F.创建一个包含每个自定义资源的 CloudFormation 模板。

答案：BCF

64 / 100

64.

A.在您的账户中设置 AWS Config。使用托管规则检查您的 EC2 实例。配置规则以通过使用 AWS Systems Manager Automation 终止实例来补救发现的问题。

B.创建一个权限边界，如果 ec2:MetadataHttpTokens 条件键未设置为必需的值，则阻止 ec2:RunInstance 操作。将权限边界附加到用于启动实例的 IAM 角色。

D. 为 EC2 实例启动成功事件创建 Amazon EventBridge 规则。将事件发送到 AWS Lambda 函数以检查 EC2 元数据并终止实例。

答案：A

65 / 100

65.

A. 创建使用新 AMI 的新启动模板。

B.更新 Auto Scaling 组以使用新的启动模板。

C.将 Auto Scaling 组的所需容量减少为 0。

D.将 Auto Scaling 组的所需容量增加 1。

E.从 Auto Scaling 组中正在运行的 EC2 实例创建一个新的 AMI。

F. 通过复制您的 EC2 实例所使用的操作系统的最新公共 AMI 来创建新的 AMI。

答案：ABE

解释：
ABE晋三
E - 从现有 EC2 创建新的 AMI（您可以这样做，因为它是无状态的）
A - 带有新 AMI 的新启动模板
B - 告诉自动缩放使用这个新的启动模板

66 / 100

66.

C. 创建AWS CodeDeploy应用程序和部署组，将打包的代码部署到EC2实例。为部署组配置 ALB。

D.创建单独的 Lambda 函数，使用 AWS CodeDeploy 而不是 Systems Manager 执行构建、测试和部署操作。

E.创建一个 Amazon S3 存储桶。修改您的 CodeBuild 项目以将包存储在 S3 存储桶中而不是 CodeArtifact 中。使用 CodeDeploy 部署操作将工件部署到 EC2 实例。

答案：B.C.

解释：
B（顺序阶段）如果：
构建阶段和测试阶段之间存在依赖关系（测试依赖于构建输出）。
为了进行控制，各阶段之间需要手动批准或门控。

67 / 100

67.

C. 在自动化账户和服务账户中创建自定义 Amazon EventBridge 事件总线。创建一个 EventBridge 规则和策略，连接自动化账户和服务账户中的自定义事件总线。

D. 在您的自动化账户中创建自定义 Amazon EventBridge 事件总线。创建 EventBridge 规则和策略，将自定义事件总线连接到服务账户的默认事件总线。

答案：A

68 / 100

68.

A. 在为 Lambda 函数配置事件源映射时，将批处理窗口减少到 1 秒。

B. 为您的 Lambda 函数配置事件源映射时，将批次大小减少到 1。

C. 将 ReportBatchItemFailures 值包含在 Lambda 函数的事件源映射中的 FunctionResponseTypes 列表中。

D. 在 Lambda 函数的事件源映射中配置队列可见性超时，以考虑 Lambda 函数调用限制。

答案：C

解释：
是 C。以下是一些有用的提示：

https://docs.aws.amazon.com/lambda/latest/dg/with-sqs.html#services-sqs-batchfailurereporting

69 / 100

69.

A. 从自动发现中排除包含 CloudTrail 日志的 S3 存储桶。

B. 从自动发现中排除具有公共读取访问权限的 S3 存储桶。

C. 为账户中的所有 S3 存储桶配置一个计划的每日发现作业。

D. 配置发现作业以根据最近修改的条件包含 S3 对象。

E. 配置发现作业以仅包含标记为生产的 S3 对象。

答案：A.D.

70 / 100

70.

A.邀请被收购公司的 AWS 账户加入您的组织。创建具有完全管理权限的 SCP。将 SCP 附加到管理账户。

B.邀请被收购公司的 AWS 账户加入您的组织。在受邀账户中创建 OrganizationAccountAccessRole IAM 角色。授予管理账户承担该角色的权限。

C.使用 AWS Security Hub 收集和分组所有账户的发现结果。使用安全中心自动发现添加到您的组织的新账户。

D.使用 AWS Firewall Manager 收集和分组所有账户的调查结果。为组织启用所有功能。将组织中的一个账户指定为防火墙管理器的委派管理员账户。

E.使用 Amazon Inspector 收集并分组所有账户的发现结果。您将组织中的账户指定为 Amazon Inspector 的委派管理员账户。

答案：B.C.

71 / 100

71.

C. 向 CodePipeline 管道添加一个新阶段。使用适合报告的路径和格式配置测试操作类型。在 CodeBuild 项目的构建规范文件中，将报告到期期限设置为 90 天。

答案：B

解释：
问题关键词：
如何使 S3 中的对象过期。

只有 S3 生命周期规则可以使对象过期。

72 / 100

72.

A.使用 AWS 证书管理器 (ACM) 创建私有证书颁发机构 (CA)。提供由私人 CA 签名的客户端证书。

B. 提供由公共认证机构 (CA) 签名的客户端证书。将证书导入 AWS 证书管理器 (ACM)。

C. 将配置的客户端证书上传到 Amazon S3 存储桶。配置 API 网关相互 TLS 以使用存储在 S3 存储桶中的客户端证书作为信任库。

D. 将配置的客户端证书的私钥上传到 Amazon S3 存储桶。配置 API 网关相互 TLS 以使用存储在 S3 存储桶中的私钥作为信任存储。

E. 将根私有证书颁发机构 (CA) 证书上传到 Amazon S3 存储桶。配置 API 网关相互 TLS 以使用存储在 S3 存储桶中的私有 CA 证书作为信任库。

答案：AE

解释：
A.仅供内部团队使用。
E. 信任库确定哪些 CA 是受信任的。如果您有任何中间 CA，它们也必须存在于 S3 存储桶中。

73 / 100

73.

答案：B

74 / 100

74.

A. 将 AmazonEC2FullAccess IAM 策略附加到 IAM 用户。

B. 创建一个允许所有 Amazon EC2 操作的新 SCP。将 SCP 附加到您的供应商数据帐户。

C. 更新子 OU 的 SCP 以允许所有 Amazon EC2 操作。

D.创建一个允许所有 Amazon EC2 操作的新 SCP。将 SCP 附加到根 OU。

答案：C

解释：
C - 必须从根级别到帐户级别明确指定权限。由于它未在 OU 中指定，因此使其可供供应商帐户使用的唯一方法是更改 OU 策略。

75 / 100

75.

A.配置 Amazon EventBridge 规则以从 Image Builder 接收新的 AMI 事件。以使用最新 AMI ID 更新 Auto Scaling 组启动模板的 AWS Systems Manager Run Command 文档为目标。

B. 配置 Amazon EventBridge 规则以从映像生成器接收新的 AMI 事件。以使用最新 AMI ID 更新 Auto Scaling 组启动模板的 AWS Lambda 函数为目标。

C. 配置启动模板以使用 AWS Systems Manager Parameter Store 中的值作为 AMI ID。配置您的 Image Builder 管道以使用最新的 AMI ID 更新参数存储值。

D.配置 Image Builder 的分发配置并使用最新的 AMI 更新启动模板。配置您的 Auto Scaling 组以使用最新版本的启动模板。

答案：D

76 / 100

76.

A.增加 Lambda 函数的内存，以便该函数可以处理来自 S3 存储桶的更大文件。

B. 为 Lambda 函数创建资源策略，授予 Amazon S3 调用 S3 存储桶中的 Lambda 函数的权限。

C. 将 Amazon Simple Queue Service (Amazon SQS) 队列配置为 Lambda 函数的 OnFailure 目标。

D. 在 Lambda 函数的 /tmp 文件夹中配置空间，以便该函数可以处理来自 S3 存储桶的大文件。

答案：B

77 / 100

77. 哪种解决方案可以满足这些要求？

A. 在 Route 53 ARC 中，创建一个新的断言安全规则。将断言安全规则应用到两个路由控制。配置类型为 ATLEAST 且阈值为 1 的规则。

B. 在 Route 53 ARC 中，创建一个新的门控安全规则。将断言安全规则应用到两个路由控制。配置一条OR类型且阈值为1的规则。

答案：A

78 / 100

78.

答案：C

79 / 100

79.

A.将您的应用程序部署到 AWS Elastic Beanstalk。将 Amazon RDS for MySQL DB 实例部署为 Elastic Beanstalk 配置的一部分。

B.将应用程序部署到 AWS Elastic Beanstalk。在 Elastic Beanstalk 之外部署另一个 Amazon RDS for MySQL DB 实例。

C. 在 AWS Elastic Beanstalk 配置中，设置一个通知电子邮件地址以提醒应用程序团队。

D.配置 Amazon EventBridge 规则来监控 AWS Health 事件。使用 Amazon Simple Notification Service (Amazon SNS) 主题作为目标来提醒应用程序团队。

E.使用不可变的部署方法部署新的应用程序版本。

F.使用滚动部署方式部署新的应用程序版本。

答案：BCE

80 / 100

80.

A) 配置 CodePipeline 以将操作写入 Amazon CloudWatch Logs。

B. 配置 CodePipeline 在每个管道阶段结束时将操作写入 Amazon S3 存储桶。

C) 创建 AWS CloudTrail 跟踪以将日志传送到 Amazon S3。

D. 创建 CodePipeline 自定义操作以调用 AWS Lambda 函数进行批准。创建一项策略，授予您的安全团队管理 CodePipeline 自定义操作的访问权限。

E. 在部署步骤之前创建 CodePipeline 手动批准操作。创建一项策略，授予您的安全团队访问权限以批准手动批准阶段。

答案：CE

解释：
答案 C 和 E 正确：

答：Cloudwatch Logs 旨在存储来自 AWS 资源（例如 EC2）的日志，而不是 codepipeline 日志。

81 / 100

81.

A.允许用户仅使用 CloudFormation 服务角色部署 CloudFormation 堆栈。使用 CloudFormation 偏差检测来检测您的资源何时偏离其预期状态。

B. 允许用户仅使用 CloudFormation 服务角色部署 CloudFormation 堆栈。使用 AWS Config 规则来检测资源何时偏离预期状态。

C. 允许用户仅使用 AWS Service Catalog 部署 CloudFormation 堆栈。强制使用启动约束。使用 AWS Config 规则来检测资源何时偏离预期状态。

D. 允许用户仅使用 AWS Service Catalog 部署 CloudFormation 堆栈。强制使用模板约束。使用 Amazon EventBridge 通知来检测资源何时偏离预期状态。

答案：C

82 / 100

82.

答案：B

83 / 100

83.

A. 使用 AWS::ECS::Cluster 资源引用您的 EC2 实例，并使用 AWS::ECS::Service 资源引用您的 ECS 集群。

B. 在 UserData 属性中的 AWS::AutoScaling::LaunchConfiguration 资源中引用 ECS 集群。

C. 在 UserData 属性中的 AWS::EC2::Instance 资源中引用 ECS 集群。

D. 引用 AWS::CloudFormation::CustomResource 资源中的 ECS 集群以触发将 EC2 实例注册到适当的 ECS 集群的 AWS Lambda 函数。

答案：B

84 / 100

84.

A.创建一个 AWS Organizations SCP，拒绝访问非美国地区的所有非全球服务。将该策略附加到您的组织的根目录。

B. 配置 AWS CloudTrail 以将日志发送到 Amazon CloudWatch Logs 并在所有区域中启用它。使用 CloudWatch Logs 指标过滤器向您发出非美国地区所有服务活动的警报。

D. 使用 AWS Lambda 函数查询 Amazon Inspector 以查找非美国地区的服务活动，并在发现活动时发送警报。

E.创建一个使用 aws:RequestedRegion 条件键限制对美国地区访问的 SCP。将策略应用于所有用户、组和角色。

答案：AB

85 / 100

85.

答案：A

86 / 100

86.

B. 创建 SCP 以拒绝 IAM Access Analyzer 识别的服务。为账户创建一个 OU。将帐户移至新的 OU。将新的 SCP 附加到新的 OU。

C. 创建允许 IAM Access Analyzer 识别的服务的 SCP。将新的 SCP 附加到组织的根目录。

答案：A

87 / 100

87.

A. 在您的 S3 存储桶上创建 S3 事件通知，以针对 s3:ObjectTagging:Put 事件调用您的 Lambda 函数。在您的 S3 存储桶上启用存储桶版本控制。

B. 在 S3 存储桶上启用服务器访问日志记录。为 S3 存储桶上的 s3:ObjectTagging:* 事件创建 S3 事件通知。

C. 创建每小时重复一次的 Amazon EventBridge 计划规则来调用 Lambda 函数。修改 Lambda 函数以从 S3 存储桶读取日志。

D. 创建使用 Amazon EC2 作为事件源的 Amazon EventBridge 规则。配置规则以匹配 CloudTrail 发送给您的事件。配置一条规则来定位您的 Lambda 函数。

答案：D

解释：
D 是正确答案。
A 和 B：不相关
C：不建议使用 lambda 读取日志，因为它需要很长时间。

88 / 100

88.

C. 在主 AWS 账户中配置 ECR 私有镜像复制。激活跨账户复制。定义另一个 AWS 账户的目标账户 ID。

答案：D

89 / 100

89.

A. 将 AWS::EC2::FlowLog 资源添加到创建 VPC 的 CloudFormation 堆栈。

B.在 AWS Organizations 中创建一个组织。将您公司的 AWS 账户添加到此组织。创建 SCP 以防止用户修改 VPC 流日志。

C.打开 AWS Config。创建一个 AWS Config 规则，检查 VPC 流日志是否已打开。配置自动修复以打开 VPC 流日志。

D. 创建一个拒绝使用 VPC Flow Logs API 调用的 IAM 策略。将 IAM 策略附加到所有 IAM 用户。

答案：C

90 / 100

90.

A. 更新 SAML 断言以传入用户的团队名称。更新 IAM 角色的信任策略以添加包含团队名称的访问团队会话标签。

B. 为组织管理帐户中的每个团队创建一个批准规则模板。将模板与所有存储库关联。将开发人员角色 ARN 添加为审批者。

D. 对于每个 CodeCommit 存储库，添加一个 access-team 标签，并将其值设置为关联团队的名称。

答案：ADE

解释：
A- SAML 断言
D- 标记您的资源
E- 与上面的 D 类似，但条件基于资源标签

91 / 100

91.

A.创建一个 Amazon CloudWatch Logs 日志组。配置适当的 AWS WAF Web ACL 以将日志消息发送到日志组。指导您的运营团队创建 CloudWatch 指标过滤器。

答案：A

https://docs.aws.amazon.com/waf/latest/developerguide/logging-cw-logs.html

92 / 100

92.

A.改变构建阶段。添加 runOrder 值为 1 的测试操作。使用 AWS CodeDeploy 作为操作提供程序运行您的单元测试。

B. 改变构建阶段。添加 runOrder 值为 2 的测试操作。使用 AWS CodeBuild 作为操作提供程序来运行单元测试。

C.改变部署阶段。添加 runOrder 值为 1 的测试操作。使用 AWS CodeDeploy 作为操作提供程序运行单元测试。

D.改变部署阶段。添加 runOrder 值为 2 的测试操作。使用 AWS CodeBuild 作为操作提供程序来运行您的单元测试。

答案：B

93 / 100

93.

答案：C

解释：
答案：C 100%。

aws:SecureTransport 条件仅允许通过 HTTPS (TLS) 进行加密连接 --> 这是我们所需要的

s3:x-amz-server-side-encryption-aws-kms-key-id --> 请求使用特定的 AWS KMS 密钥加密存储桶中的对象。这里不需要这个！

94 / 100

94.

A.添加以下表达式： "Condition": { "StringEquals": { "aws:principaltype": "lambda.amazonaws.com" } }

D.添加以下表达式： "Condition": { "StringEquals": { "ec2: ResourceTag/Environment": "NonProduction" } }

E.将“Action”：“ec2：*”更改为“Action”：“ec2：StopInstances”

F.添加以下表达式： "Condition" : { "DateGreaterThan" : "aws: CurrentTime" : "$ ; {aws: DateTime: Friday) " "DateLessThan": { "aws: CurrentTime" : "$ ; {aws: DateTime: Monday} " }， } }

答案：B

95 / 100

95.

A. 使用批量写入在单次写入操作中写入多个日志事件。

B. 将每个日志事件写为单独的写入操作。

C. 将每个日志视为单个测量记录。

D. 将每个日志视为多个测量记录。

E. 将内存存储保留期设置为比磁存储保留期更长。

F. 将内存存储保留期设置为短于磁存储保留期。

答案：ADF

96 / 100

96.

A. 配置用户数据内容使用多用途互联网邮件扩展 (MIME) 多部分格式。在 text/cloud-config 部分中，将 scripts-user 参数设置为 always。

B. 重构用户数据命令以使用 cfn-init 帮助脚本。更新用户数据以安装和配置 cfn-hup 和 cfn-init 帮助脚本来监视和应用元数据更改。

E. 重构用户数据命令以使用 AWS Systems Manager 文档（SSM 文档）。使用 Systems Manager State Manager 在 SSM 文档和 EC2 实例之间创建关联。

答案：BE
解释：
B 和 E 最有效地利用 CloudFormation 和 AWS Systems Manager 的更新管理和应用程序功能来确保在正在运行的 EC2 实例上安装应用程序更新。

97 / 100

97.

A.配置 AWS IAM 身份中心（AWS Single Sign-On）。配置您的 IdP。从您现有的 IdP 上传 IdP 元数据。

B. 使用提供商 URL、受众以及来自现有 IP 的签名创建 IAM IdP。

C. 创建一个具有允许所需 S3 操作的策略的 IAM 角色。配置角色的信任策略，如果 sts.amazon.com:aud 上下文键是 appid_from_idp，则允许 OIDC IP 承担该角色。

D. 创建一个具有允许所需 S3 操作的策略的 IAM 角色。 auth.company.com:aud 配置角色的信任策略，如果上下文键是 appid_from_idp，则允许 OIDC IP 承担该角色。

E.配置您的 Web 应用程序以使用 AssumeRoleWithWebIdentity API 操作获取临时凭证。使用临时凭证进行 S3 API 调用。

F. 配置您的 Web 应用程序以使用 GetFederationToken API 操作来获取临时凭证。使用临时凭证进行 S3 API 调用。

答案：BDE

98 / 100

98.

答案：A

解释：
关键词：控制塔
一家公司将 Amazon RDS 用于其 AWS 账户中的所有数据库。该公司使用 AWS Control Tower

99 / 100

99.

D. 对于每个公共存储库，创建一个配置了外部连接的 CodeArutact 存储库。将依赖仓库配置为上游公共仓库。

E. 创建一个 Codeartitact 存储库，并配置一组与公共存储库的外部连接。将外部连接配置为存储库的下游。

答案：BD

100 / 100

100.

答案：B

Your score is

■AWS-DOP-C02-(CN) Q201~300

/100

AWS-DOP-C02-(CN) Q201~300

1 / 100

A.增加 Lambda 函数的预留并发数。

B.增加 Lambda 函数的预配置并发性。

C.将 DB 集群转换为 Aurora 全局数据库。根据您公司客户所在的位置在 AWS 区域中添加 Aurora 副本。

D.重构你的 Lambda 函数。将初始化数据库连接的代码块移到函数处理程序中。

F.使用 Amazon RDS Proxy 为您的 Aurora 数据库创建代理。更新您的 Lambda 函数以使用代理终端节点进行数据库连接。

答案：BCF

2 / 100

答案：B

3 / 100

A.在日志组中创建 CloudWatch Logs 指标过滤器。使用与用户名匹配的过滤模式。它公开了一个 CloudWatch 指标，该指标总计过去七天的登录次数。

B. 为日志组创建 CloudWatch Logs 订阅。使用与用户名匹配的过滤模式。它公开了一个 CloudWatch 指标，该指标总计过去七天的登录次数。

C. 创建一个 CloudWatch Logs Insights 查询，使用聚合函数计算过去 7 天内用户名的登录次数。针对日志组运行查询。

D.创建 CloudWatch 仪表板。直接从您的日志组中添加一个带有过滤模式的数字小部件，用于计算过去 7 天内用户名的登录次数。

答案：C

4 / 100

A. 修改当前的单个标签组以仅包含 Environment=Production 标签。添加另一个仅包含 Name=ApplicationA 标签的单标签组。

B. 修改当前的单个标签组以包含标签 Department=Marketing、Environment=production 和 Name=ApplicationA。

C. 添加另一个仅包含 Department=Marketing 标签的单标签组。在当前单个标签组中，保留 Environment=Production 和 Name=ApplicationA 标签。

D. 修改当前单个标签组以仅包含Environment=Production标签。添加另一个仅包含 Department=Marketing 标签的单标签组。

答案：A

5 / 100

答案：D

6 / 100

A.使用 AWS 组织。如果请求不包含 x-amz-server-side-encryption 标头，则附加拒绝 s3:PutObject 权限的 SCP，以使用 AWS KMS 密钥 (SSE-KMS) 请求服务器端加密。

B.在多账户环境中使用 AWS Control Tower。使用 CloudFormation 挂钩在所有 OU 中配置并启用主动 AWS Control Tower 控制。

C.在多账户环境中使用 AWS Control Tower。使用 CloudFormation 挂钩在所有 OU 中配置并启用检测性 AWS Control Tower 控制。

答案：B

CloudFormation 钩子：钩子允许控制塔拦截并执行 CloudFormation 堆栈操作的策略，使其成为在资源创建时强制加密的理想选择。

多账户环境：要求适用于所有账户，因此 Control Tower 的多账户功能可确保在整个组织内一致地实施政策。

7 / 100

A.配置您现有的 EventBridge 规则以针对 SNS 主题。配置 SNS 订阅过滤策略以匹配您的 CloudFormation 堆栈。将订阅过滤策略附加到 SNS 主题。

答案：D

8 / 100

A.使用 Amazon Managed Service for Prometheus 远程写入 URL 将警报发送到 SNS 主题。

B.创建一个警报规则，检查工作负载中每个容器的可用性。

C. 为 SNS 主题创建 AlertManager 配置。

D.修改SNS主题的访问策略。授予 aps.amazonaws.com 服务主体 sns:Publish 和 sns:GetTopicAttributes 对 SNS 主题的权限。

E.修改 Amazon Managed Service for Prometheus 使用的 IAM 角色。授予该角色对 SNS 主题的 sns:Publish 和 sns:GetTopicAttributes 权限。

F.为您的 EKS 集群创建一个 OpenID Connect (OIDC) 提供程序。创建群集服务帐户。使用 IAM 角色授予账户 sns:Publish 和 sns:GetTopicAttributes 权限。

答案：BCD

解释：
B：（是）“使用 AWS 管理控制台为 Amazon Managed Service for Prometheus 配置规则和警报管理器”的过程。

C：（是）使用“SNS 主题”的 ARN 将“SNS 接收器”添加到“警报管理器设置”（Q208.5）

9 / 100

答案：B

10 / 100

10.

A.确保所有 EC2 实例上都安装了 Amazon CloudWatch 代理。

B. 创建一个安装在每个 EC2 实例上的 cron 作业，以定期删除临时文件。

C. 为 EC2 实例创建 Amazon CloudWatch 日志组。配置安装在每个 EC2 实例上的 cron 作业，以将可用磁盘空间写入关联 EC2 实例的 CloudWatch 日志流。

D. 创建一个 Amazon CloudWatch 警报，监控所有 EC2 实例上的可用磁盘空间。将警报作为安全控制添加到系统管理器自动化任务中。

E. 创建一个 AWS Lambda 函数，通过评估每个 EC2 实例的相应 Amazon CloudWatch 日志流定期检查所有 EC2 实例是否有足够的可用磁盘空间。

答案：A.D.

解释：

A.确保所有 EC2 实例上都安装了 Amazon CloudWatch 代理。

Amazon CloudWatch 代理可以收集系统级指标（例如磁盘空间使用情况），并将其发送到 Amazon CloudWatch。这使您可以监控每个 EC2 实例上的可用磁盘空间。

D. 创建一个 Amazon CloudWatch 警报，监控所有 EC2 实例上的可用磁盘空间。将警报作为安全控制添加到系统管理器自动化任务中。

11 / 100

11.

A.使用 Amazon RDS Proxy 创建代理。将代理连接到 Aurora 集群的读取器终端节点。设置代理的最大连接速率。

B. 在 Lambda 代码中实现数据库连接池。设置数据库连接池的最大连接数。

C.在 Lambda 事件处理程序代码之外实现打开数据库连接。

D. 在 Lambda 事件处理程序代码中实现数据库连接的打开和关闭。

E.从 Lambda 函数连接到代理端点。

F.从 Lambda 函数连接到 Aurora 集群端点。

答案：ACE

解释：
在 Lambda 处理程序之外打开和关闭数据库连接可以实现高效的连接重用并实现连接池。

12 / 100

12.

C. 创建一个与 CloudFormation 堆栈实例状态的 UPDATE_COMPLETE 事件模式匹配的 Amazon EventBridge 规则。配置规则以调用 Lambda 函数。

D.调整 CloudFormation 堆栈的设置，以便仅针对 UPDATE_COMPLETE 实例状态事件向 SNS 主题发送通知。将 Lambda 函数订阅到 SNS 主题。

答案：C

13 / 100

13.

D. 创建一个 AWS Lambda 函数，使用 S3 批处理操作对失败复制的现有对象进行重试复制。配置 S3 事件通知以将失败的复制通知发送到 Lambda 函数。

答案：D

14 / 100

14.

答案：B

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating

15 / 100

15.

A.创建一个拒绝 iam:CreateUser 操作的 IAM 策略。将 IAM 策略附加到研究管理员权限集。

B.创建一个 IAM 策略，允许除 iam:CreateUser 操作之外的所有操作。使用 IAM 策略为研究管理员权限集设置权限边界。

C.创建一个拒绝 iam:CreateUser 操作的 SCP。将 SCP 附加到研究团队的 AWS 账户。

D. 创建一个删除 IAM 用户的 AWS Lambda 函数。创建 Amazon EventBridge 规则来检测 IAM CreateUser 事件。配置规则以调用 Lambda 函数。

答案：C

解释：
IAM 策略可以拒绝操作，但通常附加到个人用户或角色。在这种情况下，您希望限制研究团队帐户中的用户创建，因此 SCP 将是更好的选择。

16 / 100

16.

A.增加 Lambda 函数的批处理大小。将 SQS 标准队列更改为 SQS FIFO 队列。请求在 AWS 区域中增加 Lambda 并发性。

B.减少 Lambda 函数的批量大小。增加您的 SQS 消息吞吐量配额。请求增加 AWS 区域中的 Lambda 并发数。

C.增加 Lambda 函数的批量大小。在您的 S3 存储桶上配置 S3 传输加速。配置 SQS 死信队列。

D.保持 Lambda 函数的批量大小保持不变。配置 Lambda 函数以报告失败的批处理项目。配置 SQS 死信队列。

答案：D

解释：
配置死信队列以防止无服务器应用程序架构中出现滚雪球式反模式。有关更多信息，请参阅本指南的避免 Snowball 反模式部分。

17 / 100

17.

A. 创建具有增强扇出功能的数据流消费者。配置作为消费者处理日志的 Lambda 函数。

B. 增加 Lambda 事件源映射中的 ParallelizationFactor 设置。

C. 为处理日志的 Lambda 函数配置预留并发。

D.增加 Kinesis 数据流的批量大小。

E.关闭 Lambda 事件源映射中的 ReportBatchItemFailures 设置。

F.增加 Kinesis 数据流中的分片数量。

答案：ABF

F：流的数据容量由您为该流指定的分片数量决定。流的总容量是其分片容量的总和。

18 / 100

18.

A.为您的组织配置 AWS 防火墙管理器。创建一个 AWS 网络防火墙策略，仅允许来自您自己的 IP 地址范围的源流量。将策略范围设定为组织内的所有账户。

B. 在组织中，创建一个拒绝公司 IP 地址范围之外的源 IP 地址的 SCP。将 SCP 附加到您的组织的根目录。

C. 为您的组织配置 Amazon GuardDuty。为您公司的 IP 范围创建 GuardDuty 可信 IP 地址列表。激活您组织的可信 IP 列表。

D. 在组织中，创建一个允许公司 IP 地址范围内的源 IP 地址的 SCP。将 SCP 附加到您的组织的根目录。

答案：B

19 / 100

19.

A.创建一个新的 IAM 角色，允许 Amazon S3 和 S3 批量操作服务主体承担具有 S3 复制所需权限的角色。

B. 创建一个新的 IAM 角色，允许 AWS Batch 服务主体承担具有 S3 复制所需权限的角色。

C. 在源 S3 存储桶上创建 S3 跨区域复制 (CRR) 规则。配置规则以使用 Amazon S3 的 IAM 角色复制到目标 S3 存储桶。

D. 在源 S3 存储桶上创建双向复制规则。配置规则以使用 Amazon S3 的 IAM 角色复制到目标 S3 存储桶。

E.创建 AWS Fargate 业务流程类型的 AWS Batch 作业。配置您的作业以使用 AWS Batch 的 IAM 角色。使用 AWS CLI 指定 Bash 命令以同步源和目标 S3 存储桶的内容

F. 在 S3 批量操作中，创建一个将源 S3 存储桶的内容复制到目标 S3 存储桶的操作。配置操作以使用 Amazon S3 的 IAM 角色。

答案：ADF

解释：
ADF，“所有现有和新对象必须存在于两个 S3 存储桶中。”这需要双向复制。

20 / 100

20.

A.使用 AWS CloudFormation StackSets 在所有 AWS 账户中部署 CloudFormation 堆栈。

B. 创建一个 SCP，其中包含针对 ec2:* 操作的拒绝语句以及“aws:RequestTag/isolation”：false 的条件。

C. 将 SCP 附加到组织的根。

答案：AE

21 / 100

21.

C. 对于所有 S3 存储桶，配置基于资源的策略，仅允许新范围内的 IP 地址访问 S3 存储桶。创建一个新的 SCP 以拒绝访问 S3 存储桶。将 SCP 附加到两个 OU。

答案：C

解释：
C.
使用存储桶策略允许或拒绝从 IP 地址范围或 VPC 端点访问您的 S3 资源。最好使用 SCP 来限制 OU。

22 / 100

22.

A. 使用组织为每个团队创建一个 OU，并附加适当的 SCP。将团队账户放置在适当的 OU 中并应用安全控制。在适当的 OU 中创建新的团队帐户。

D.配置 AWS Config 以管理组织中所有 AWS 账户的 AWS Config 规则。部署一致性包，为您的组织提供 AWS Config 规则和补救措施。

答案：B

23 / 100

23.

答案：A

解释：
选项 A 通过使用标准 Git 操作进行克隆和标记有效地满足了您的要求，确保了在 AWS CodePipeline 中管理存储库的高效、清晰的工作流程。

24 / 100

24.

A. 创建 Amazon EventBridge 规则来捕获任务状态变化。将事件发送到 Amazon CloudWatch Logs。要调查已停止的任务，请使用 CloudWatch Logs Insights。

B. 配置任务以嵌入式指标格式写入日志数据。将日志存储在 Amazon CloudWatch Logs 中。监控 ContainerInstanceCount 指标的变化。

D. 为 EC2_INSTANCE_TERMINATING 缩减事件配置 EC2 Auto Scaling 生命周期挂钩。将 SystemEventLog 文件写入 Amazon S3。使用 Amazon Athena 查询日志文件中是否存在错误。

答案：A

25 / 100

25.

A.在 S3 存储桶上创建具有适当权限的 IAM 角色。将 IAM 角色添加到实例配置文件。

B. 更新启动模板以包含 IAM 实例配置文件。

C. 创建具有适当 Amazon S3 权限的 IAM 用户并生成私钥和令牌。

D. 创建信任锚和配置文件，并将 IAM 角色附加到该配置文件。

E.更新启动模板并更改用户数据以使用新的私钥和令牌。

答案：AB

26 / 100

26.

答案：C

27 / 100

27.

A.创建使用基线配置的 AWS Control Tower 账户工厂定制 (AFC) 蓝图。使用 AWS Control Tower 账户工厂通过蓝图为每个环境配置专用的 AWS 和 CI/CD 账户。

B.使用 AWS Control Tower 账户工厂为每个环境配置专用的 AWS 和 CI/CD 账户。使用 AWS CloudFormation StackSets 将基线配置应用于新账户。

D.使用组织为每个环境配置专用的 AWS 账户、审计账户和 CI/CD 账户。使用 AWS CloudFormation StackSets 将基线配置应用于新账户。

答案：A

28 / 100

28.

A.修改 Lambda 函数的资源策略以授予 AWS Config 调用该函数的权限。

B. 修改 SNS 主题策略以包含 EventBridge 发布到 SNS 主题的配置更改。

C.修改 Lambda 函数的执行角色以包含自定义 AWS Config 规则的配置更改。

D. 修改所有 ECR 存储库策略以允许 AWS Config 访问所需的 ECR API 操作。

答案：A

29 / 100

29.

A.在组织的管理账户中为开发人员创建一个 IAM 用户。在开发账户中配置跨账户角色，供开发人员使用。将跨账户角色的范围限制为常见服务。

B. 将开发人员添加到 IAM 组。将 PowerUserAccess 托管策略附加到 IAM 组。对用户帐户强制实施多因素身份验证 (MFA)。

C. 向组织中的开发账户添加 SCP。要限制开发人员访问，请配置一个具有针对 iam:* 的拒绝规则的 SCP。

D. 创建具有必要 IAM 访问权限的 IAM 角色，以允许开发人员创建策略和角色。创建并附加权限边界到角色。授予开发人员访问权限以承担该角色。

答案：D

D 有效满足要求

30 / 100

30.

A.在多账户聚合器中启用 AWS Config。配置日志转发到 Amazon CloudWatch Logs。

B. 创建使用 Amazon CloudWatch Logs 查询的 Amazon QuickSight 仪表板。

E. 创建 AWS CloudTrail 组织跟踪。配置组织跟踪以将事件发送到 Amazon CloudWatch Logs。

F.创建使用 CloudWatch Logs Insights 查询的 Amazon CloudWatch 仪表板。

答案：CEF

解释：
选项 E：使用 CloudTrail 捕获并转发根用户活动。

选项 C：配置指标过滤器和警报以对根用户登录事件发出警报。

选项 F：创建 CloudWatch 仪表板以可视化根用户活动。

AWS Config 不直接参与捕获根用户登录事件并将其转发到 CloudWatch Logs。

31 / 100

31.

A. 使用委派管理员账户使用 Amazon GuardDuty。拒绝 IAM 用户使用 GuardDuty 登录。

B. 使用 AWS IAM Identity Center 配置与 SAML 2.0 的身份联合。

C. 在 AWS IAM Identity Center 中创建权限边界以拒绝 IAM 用户的密码登录。

D. 在 Organizations 管理账户中创建 IAM 组，以向所有 IAM 用户应用一致的权限。

E. 在组织中创建 SCP 以拒绝为 IAM 用户创建密码。

答案：BE

解释：
选项 B：使用 AWS IAM Identity Center 与 SAML 2.0 设置身份联合。

选项 E：实施 SCP 以拒绝为 IAM 用户创建密码并强制执行 IdP 身份验证。

32 / 100

32.

答案：BD

解释：
选项 B：
- 一个 AWS CodeCommit 存储库，用于存储您的 Dockerfile 和 Kubernetes 部署文件。
- 提交 Dockerfile 的新版本时调用管道的 Amazon EventBridge 事件。

选项D：
- 一个 AWS CodeBuild 项目，用于构建 Docker 映像并将 Docker 映像存储在 Amazon Elastic Container Registry (Amazon ECR) 存储库中。
- 增强了对ECR存储库的扫描。

33 / 100

33.

A.通过将 AWS JAM 配置为授权方法，为所有 API 方法启用 IAM 身份验证。

B. 创建一个基于令牌的 AWS Lambda 授权器，该授权器在承载令牌中传递调用者的身份。

C. 创建一个基于请求参数的 AWS Lambda 授权器，该授权器通过标头、查询字符串参数、阶段变量和 $cortext 变量的组合传递调用者的身份。

D.使用 Amazon Cognito 用户池作为授权者来控制对 API 的访问。

E. 使用签名版本 4 通过 AWS 凭证对客户端请求进行签名，以验证请求者的身份。

答案：AE

解释：
“Hope” 是选项 A 的拼写错误。 AWS JAM = AWS IAM

34 / 100

34.

答案：B

35 / 100

35.

A. 删除失败，因为 S3 存储桶具有活动网站配置。修改您的 CloudFormation 模板以从 S3 存储桶资源中删除 WebsiteConfiguration 属性。

B. 删除失败，因为 S3 存储桶不为空。如果 RequestType 为 Delete，则修改自定义资源中的 AWS Lambda 函数代码以递归清空存储桶。

C.删除失败，因为自定义资源没有定义删除策略。在自定义资源定义中，添加一个值为 RemoveOnDeletion 的 DeletionPolicy 属性。

D.删除失败，因为 S3 存储桶不为空。修改 CloudFormation 模板中的 S3 存储桶资源以添加值为 Empty 的 DeletionPolicy 属性。

答案：B

解释：
默认情况下，CloudFormation 无法删除非空的 S3 存储桶。如果当您尝试删除堆栈时存储桶仍包含对象，则堆栈删除将失败。

36 / 100

36.

B. 在每个实例上配置 AWS Systems Manager。使用系统管理器库存。创建一个 AWS Config 规则，监控 Systems Manager Inventory 的变化以识别被禁止的应用程序。

C. 在每个实例上配置 AWS Systems Manager。使用系统管理器库存。过滤 AWS CloudTrail 中的 Systems Manager Inventory 事件跟踪，以识别被禁止的应用程序。

答案：B

该方法利用 Systems Manager Inventory 和 AWS Config 来有效地跟踪和识别禁止的应用程序，同时最大限度地降低运营开销。

37 / 100

37.

A. 使用您的标准测试环境和项目启动 AWS Device Farm 以运行您的应用程序的特定版本。

B.创建一个 Amazon S3 存储桶。启用 AWS CloudTrail。创建一个 CloudTrail 跟踪，指定 S3 存储桶作为存储位置。

C. 配置 EventBridge 规则以使用 Amazon Simple Queue Service (Amazon SQS) 标准队列作为死信队列。

D.配置 EventBridge 规则以使用 Amazon Simple Queue Service (Amazon SQS) FIFO 队列作为死信队列。

E. 在 Amazon CloudWatch Logs 中创建日志组。将日志组指定为 EventBridge 规则的附加目标。

F. 更新您的应用程序代码库并使用 AWS X-Ray SDK 跟踪功能来检测您的代码以支持 X-Amzn-Trace-Id 标头。

答案：BCE

38 / 100

38.

C. 为每个图像配置从图像预扫描存储库到图像后扫描存储库的图像复制。

答案：AE

解释：
最低的管理开销：
=> 您需要在共享服务账户中创建一个 ECR 存储库 => A
您只需要创建一个 Lambda 函数 => E

D 不正确。这是因为创建和管理多个管道会显著增加管理开销。

39 / 100

39.

A.附加到 EKS 集群的 IAM 角色无权从 Secrets Manager 检索机密。

B. 客户管理密钥的密钥策略不允许 Kubernetes 服务账户的 IAM 角色使用该密钥。

C. 客户管理密钥的密钥策略不允许 EKS 集群的 IAM 角色使用该密钥。

D. Kubernetes 服务账户承担的 IAM 角色没有访问 EKS 集群的权限。

答案：B

40 / 100

40.

C. 在每个区域中为 NetApp ONTAP 实例和卷创建多可用区 Amazon FSx。在您的本地存储设备和 FSx for ONTAP 实例之间设置计划的 SnapMirror 关系。

D. 在每个区域中创建一个 Amazon Elastic File System (Amazon EFS) 文件系统。在您的本地数据中心部署 AWS DataSync 代理。安排 DataSync 每天将数据复制到 Amazon EFS。

答案：C

对于您对重复数据删除、隔离和多区域复制的特定要求，选项 D（使用 Amazon EFS 和 AWS DataSync）是更好的解决方案。

41 / 100

41.

D. 从开发账户中的 CloudFormation 模板创建开发环境。安排 Amazon EventBridge 规则以每周启动一次 AWS Step Functions 状态机。

E.从开发账户中的 CloudFormation 模板创建开发环境。在 Amazon EC2 实例上安排一个 cron 作业每周运行一次并启动 S3 批量操作作业。

答案：A.D.

选项 D 确保数据刷新过程自动化且按计划进行。每周使用 Amazon EventBridge 触发一次 AWS Step Functions 状态机，以自动执行数据传输和去识别过程。

42 / 100

42.

答案：C

43 / 100

43.

A. 设置 Amazon EventBridge 计划以调用 AWS Lambda 函数，该函数调用 API 来检索工作负载指标。将工作负载指标数据存储在 Amazon S3 存储桶中。

C. 创建 AWS Glue 爬虫程序，将工作负载指标数据分类到 Amazon S3 存储桶中。在 Amazon Athena 中为分类数据创建视图。

D.将 AWS Glue 爬虫连接到 Amazon DynamoDB 流以对工作负载指标数据进行分类。在 Amazon Athena 中为分类数据创建视图。

E.从 Amazon Athena 视图创建 Amazon QuickSight 数据集。创建 QuickSight 分析以将工作负载指标数据可视化为仪表板。

F.创建一个 Amazon CloudWatch 仪表板，其中包含调用 AWS Lambda 函数的自定义小部件。配置 Lambda 函数以从 Amazon Athena 视图查询工作负载指标数据。

答案：ACE

选项 E：使用 Amazon QuickSight，您可以从 Athena 视图创建数据集并在仪表板中可视化数据。这使您可以大规模分析和可视化工作负载指标。

https://aws.amazon.com/blogs/mt/analyzing-amazon-cloudwatch-internet-monitor-measurement-logs-using-amazon-athena-amazon-quicksight/

44 / 100

44.

A.将您的 EKS 节点从 Amazon EC2 切换到 AWS Fargate。

B. 向 EFS 文件系统的安全组添加入站规则，以允许来自 EKS 集群的 NFS 流量。

C. 创建一个 IAM 角色，允许 Amazon EFS CSI 驱动程序与文件系统交互。

D. 设置 AWS DataSync 以配置 EFS 文件系统和 EKS 节点之间的文件传输。

E. 在 EKS 节点的子网中为 EFS 文件系统创建挂载目标。

F. 禁用 EFS 文件系统加密。

答案：BCE

C：EFS CSI 驱动程序需要权限才能与 EFS 文件系统交互。这涉及创建具有所需权限的 IAM 角色并将其与 EFS CSI 驱动程序关联。

E：EFS 要求在 EC2 实例所在的每个子网中都有一个挂载目标。此挂载目标促进了您的 EFS 文件系统和 EC2 实例之间的网络连接。

45 / 100

45.

D. 使用 amazon-efs-utils 包挂载 EFS 文件系统。

E. 使用本机 Linux NFS 客户端挂载 EFS 文件系统。

答案：BD

46 / 100

46.

A. 添加一个包含 CodeDeployDefault.ECSLinearl OPercentEveryl Minutes 部署配置的 AppSpec 文件。

B. 添加包含 CodeDeployDefault.ECSLinear10PercentEvery1Minutes 部署配置的 AWS::CodeDeployBlueGreen 转换和 AWS::CodeDeploy::BlueGreen 钩子参数。

C. 添加一个包含 ECSCanary10Percent5Minutes 部署配置的 AppSpec 文件。

D. 在 ECSCanary10Percent5Minutes 部署配置中，添加 AWS::CodeDeployBlueGreen 转换和 AWS::CodeDepioy::BlueGreen 钩子参数。

47 / 100

47.

答案：A

解释：
创建具有所需权限的 IAM 角色：
- 在管理账户中，创建一个 IAM 角色，并授予其调用 AWS Organizations API 创建新账户的权限。

允许承担角色：- 将此 IAM 角色配置为由新 AWS 账户中的 Lambda 执行角色承担。这使得新账户中的 Lambda 函数可以承担角色以获取必要的权限。

48 / 100

48.

A. 在主区域的 S3 存储桶和次区域的 S3 存储桶之间实现双向 S3 存储桶复制。将 DynamoDB 表转换为全局表。将次要区域配置为附加区域。

B. 为所有 S3 bucket 在主区域和辅区域之间实现 S3 批量操作复制作业。将 DynamoDB 表转换为全局表。将次要区域配置为附加区域。

答案：A

解释：
双向 S3 存储桶复制：

全局 DynamoDB 表：

49 / 100

49.

答案：A

50 / 100

50.

答案：C

51 / 100

51.

A. 在系统管理器状态管理器中创建关联。以所有管理节点为目标。将软件纳入关联中。配置关联以使用系统管理器文档。

C. 在 Amazon Inspector 中激活 Amazon EC2 扫描，以确定该软件是否安装在所有 EC2 实例上。将调查结果与系统管理器文档关联起来。

52 / 100

52.

A.使用 Amazon ECR Basic Scan。

B.使用Amazon ECR增强扫描。

C. 配置 Amazon ECR，当图像扫描返回 CRITICAL 或 HIGH 发现时将拒绝状态发送到您的 CI/CD 管道。

E.配置 Amazon EventBridge 规则以在图像扫描完成后调用 AWS Lambda 函数。配置 Lambda 函数以使用 Clair 扫描状态并将批准或拒绝状态发送到您的 CI/CD 管道。

53 / 100

53.

答案：D

解释：
A 和 C. 仅发出警报，不会自动修复不合规的实例
B.通过 CloudFormation StackSets 部署到个人账户允许账户管理员修改或删除规则。

54 / 100

54.

A.配置 AWS Config 以将日志发布到 Amazon S3 存储桶。当担任管理员角色时，使用 Amazon Athena 查询日志并向您的安全团队发送通知。

B.配置 Amazon GuardDuty 以监控何时担任管理员角色并向您的安全团队发送通知。

C. 使用 AWS 管理控制台登录事件事件模式，创建一个 Amazon EventBridge 事件规则，该规则在担任管理员角色时将消息发布到 Amazon SNS 主题。

答案：D

解释：
选项 D 利用 AWS CloudTrail、Amazon EventBridge、AWS Lambda 和 Amazon SNS 的功能，提供一种强大而有效的方法来跟踪和警报管理员角色假设。

55 / 100

55.

A. 在多个 AWS 区域中创建 Amazon Aurora 单可用区集群作为数据存储。如果发生灾难，请使用 Aurora 的自动恢复功能。

C. 在多个 AWS 区域中创建 Amazon Aurora 集群作为数据存储。使用网络负载均衡器来平衡不同区域之间的数据库流量。

答案：BD

解释：
E. 全局加速器会增加故障转移速度，但在这种情况下没有必要。

56 / 100

56.

A.使用 aws cloudformation update-stack 命令而不是 sam deploy 命令。

B. 不要使用 sam deploy 命令，而要使用 aws cloudformation update-stack-instances 命令。

C. 更新 CodeUri 属性以指向您的本地应用程序代码文件夹。使用 sam deploy 命令。

D. 更新 CodeUri 属性以指向您的本地应用程序代码文件夹。使用 aws cloudformation create-change-set 和 aws cloudformation execute-change-set 命令。

E. 更新 CodeUri 属性以指向您的本地应用程序代码文件夹。使用 aws cloudformation package 和 aws cloudformation deploy 命令。

答案：CE

57 / 100

57.

答案：A

解释：
在您的 Amazon ECR 存储库设置中打开增强扫描。这使 Amazon Inspector 能够扫描您的图像以查找漏洞。

58 / 100

58.

A. 配置 Systems Manager 文档以使用 AWS-RunShellScript 命令将文件从 GitHub 复制到 Amazon S3，然后使用 sourceType 为 S3 的 aws-downloadContent 插件。

B. 配置 Systems Manager 文档以使用带有安装操作的 aws-configurePackage 插件并指定 Git 存储库。

C. 配置 Systems Manager 文档以使用 aws-downloadContent 插件，其中 sourceType 为 GitHub，sourceInfo 包含存储库详细信息。

D. 配置 Systems Manager 文档以使用 aws:softwareInventory 插件并从 Git 存储库运行脚本。

答案：C

解释：
aws:下载内容
（模式版本 2.0 及以上）从远程位置下载 SSM 文档和脚本。不支持 GitHub Enterprise 存储库。该插件支持 Linux 和 Windows Server 操作系统。

59 / 100

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:*",
"lambda:*",
"dynamodb:*"
],
"Resource": "*"
}
]
}

59. 该公司希望新角色仅对 CloudFormation 可用。开发团队无法手动更改已部署的资源。

哪些步骤组合可以满足这些要求？（选择三个）

B. 更新 CloudFormationDeployment 角色的信任策略，以允许开发人员 IAM 角色承担 CloudFormationDeployment 角色。

D. 更新 CloudFormationDeployment 角色的信任策略，以允许 cloudformation.amazonaws.com AWS 主体执行 iam:AssumeRole 操作。

答案：ADF

D. 更新 CloudFormationDeployment 角色的信任策略，以允许 cloudformation.amazonaws.com AWS 主体执行 iam:AssumeRole 操作。

60 / 100

60.

A.从数据库 CloudFormation 模板创建堆栈导出，并将这些引用导入 Web 应用程序 CloudFormation 模板。

B. 创建 CloudFormation 嵌套堆栈，以便两个堆栈都可以使用跨堆栈资源引用和参数。

C. 创建一个 CloudFormation 堆栈集，以便两个堆栈都可以使用跨堆栈资源引用和参数。

D. 在 Web 应用程序 CloudFormation 模板中创建输入参数，并从数据库堆栈中传入资源名称和 ID。

答案：A

61 / 100

61.

答案：D

62 / 100

62.

A. 在每个应用程序团队的账户中创建一个域。授予每个应用程序团队帐户对应用程序团队域的完全读写权限。

B. 为共享服务帐户创建一个域。授予组织读取和创建存储库访问权限。

C. 在每个应用程序团队的账户中创建一个存储库。授予每个应用程序团队帐户对其自己的存储库的完全读写权限。

D. 在共享服务帐户中创建一个存储库。授予您的组织对共享服务帐户存储库的读取权限。在每个应用程序团队存储库中，将存储库设置为上游存储库。

E. 对于需要共享包的团队，创建一个基于资源的策略，允许从其他应用程序团队的帐户读取存储库。

F. 将其他应用程序团队的存储库设置为上游存储库。

答案：BCD

63 / 100

63. appspec.yml 文件的 files 部分包含以下内容：

文件：
- 来源：config/config.txt
目的地：/usr/local/src/config.txt
- 酱汁： /
目的地：/var/www/html

部署 config.txt 文件的结果是什么？

A. config.txt文件仅部署到/var/www/html/config/config.txt。

B. config.txt 文件将被部署到 /usr/local/src/config.txt 和 /var/www/html/config/config.txt。

C. config.txt文件仅部署到/usr/local/src/config.txt。

D. config.txt文件部署到/usr/local/src/config.txt和/var/www/html/application/web/config.txt。

答案：B

解释：
根据第一个映射，config/config.txt 文件被复制到 /usr/local/src/config.txt。

整个源目录（/）也映射到/var/www/html，因此 config/config.txt 也被复制到/var/www/html/config/config.txt。

64 / 100

64.

A. 将受影响的 CodeArtifact 包版本的状态更新为未发布。

B. 将受影响的 CodeArtifact 包版本的状态更新为已删除。

C. 将受影响的 CodeArtifact 包版本的状态更新为 Archive。

D.更新 CodeArtifact 包的原始控制设置以允许直接发布并阻止上游操作。

E. 更新 CodeArtifact 包的来源控制设置以阻止直接发布并允许上游操作。

答案：CD

解释：

A - 私密并不阻止下载

B - 删除了无效的代码工件包版本状态

C - 已存档，无法下载

https://docs.aws.amazon.com/codeartifact/latest/ug/packages-overview.html#package-version-status

65 / 100

65.

C. 创建一个将记录放入 Amazon Kinesis 数据流的 Web 应用程序。使用 Kinesis 数据流和 AWS Lambda 函数来分离处理。

D. 创建一个将记录传递给 AWS Step Functions 的 Web 应用程序。将处理分为 Step Functions 任务和 AWS Lambda 函数。

答案：D

解释：
Step Functions 和 Lambda：
- 任务分离
- 错误处理和重试逻辑
- 状态管理

66 / 100

66.

A.使用 Amazon S3 进行应用程序存储。在主区域创建一个 S3 存储桶，在 DR 区域创建一个 S3 存储桶。配置从主区域到 DR 区域的 S3 跨区域复制 (CRR)。

B. 使用 Amazon Elastic Block Store (Amazon EBS) 进行应用程序存储。在 AWS Backup 中创建一个备份计划，在主区域中创建 EBS 卷的快照并将该快照复制到 DR 区域。

C.使用 AWS Storage Gateway 的卷网关进行应用程序存储。为卷网关配置从主区域到 DR 区域的跨区域复制 (CRR)。

D. 使用 Amazon FSx for NetApp ONTAP 进行应用程序存储。在 DR 区域中创建 FSx for ONTAP 实例。配置从主区域到 DR 区域的 NetApp SnapMirror 复制。

答案：D

67 / 100

67.

A.对于关键数据，修改现有的 Auto Scaling 组。创建一个已停止的热池实例。定义温池的大小。创建新版本的启动模板并启用详细监控。使用 Spot 实例。

B.对于关键数据，修改现有的Auto Scaling组。创建一个已停止的热池实例。定义温池的大小。创建新版本的启动模板并启用详细监控。使用按需实例。

答案：BD

解释：
选项 B（对于关键数据）：创建一个温池并使用按需实例实现快速扩展和低延迟扩展需求。

选项 D（针对非关键数据）：使用基于内存的扩展策略的 Spot 实例来有效处理非关键数据。

68 / 100

68.

A.将 CloudWatchAgentServerPolicy 管理的 IAM 策略附加到您的集群使用的 IAM 实例配置文件。

B. 将 CloudWatchAgentServerPolicy 管理的 IAM 策略附加到集群的服务账户角色。

C. 将集成的 Amazon CloudWatch 代理部署到集群中现有的 EC2 实例以收集性能指标。将代理添加到集群中添加的任何新 EC2 实例的 AMI。

D. 将 AWS Distro for OpenTelemetry 收集器部署为 DaemonSet 来收集性能日志。

E.使用服务维度分析 ContainerInsights 命名空间中的 pod_memory_utilization Amazon CloudWatch 指标。

F.使用 ClusterName 维度分析 ContainerInsights 命名空间中的 node_memory_utilization Amazon CloudWatch 指标。

答案：ACE

B.服务账户角色与在需要 AWS 权限的 Kubernetes pod 内运行的应用程序相关。
D. 不相关
F 节点级指标没有提供有效诊断 pod 级内存问题所需的详细程度

69 / 100

69.

B. 启用 Amazon GuardDuty 进行 EKS 审计日志监控。在您公司的 AWS 账户中启用 Amazon Detective。从 Detective 可选源包启用 EKS 审计日志记录。

D. 启用 Amazon GuardDuty 进行 EKS 审计日志监控。启用 Amazon CloudWatch Container Insights 和 VPC Flow Logs。启用 AWS CloudTrail 日志记录。

答案：B

Amazon EKS 审计日志是一个可选的数据源包，可以添加到 Detective 的行为图中。
https://docs.aws.amazon.com/detective/latest/userguide/source-data-types-EKS.html

70 / 100

70.

A. 为 IAM 团队创建一个新的 AWS 账户。在新账户中，启用 IAM 身份中心。在组织管理账户中，将新账户注册为 IAM 身份中心的委派管理员。

B. 为 IAM 团队创建一个新的 AWS 账户。在您的组织管理账户中，启用 IAM 身份中心。在组织管理账户中，将新账户注册为 IAM 身份中心的委派管理员。

C. 在 IAM 身份中心创建 IAM 团队用户和组。将用户添加到组。创建一个新的权限集。将 AWSSSODirectoryAdministrator 管理的 IAM 策略附加到该组。

D. 在 IAM 身份中心，创建 IAM 团队用户和组。将用户添加到组。创建一个新的权限集。将 AWSSSOMemberAccountAdministrator 托管 IAM 策略附加到该组。

E. 将权限集分配给组织管理员账户。使权限集可供 IAM 团队组使用。

F.将权限集分配给新的 AWS 账户。使权限集可供 IAM 团队组使用。

答案：ADF

71 / 100

71.

A. 编辑新账户的备份保险库访问策略以允许访问主账户。

B. 编辑主账户的备份保险库访问策略以允许新账户访问。

C. 编辑主账户的备份保管库访问策略，以允许访问新账户的 KMS 密钥。

D. 编辑主账户中的KMS密钥的密钥策略，与新账户共享密钥。

E. 编辑新账户中的KMS密钥的密钥策略，与主账户共享密钥。

答案：A.D.

解释：
https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html

72 / 100

72.

A. 在每个复制规则上启用 S3 复制时间控制 (S3 RTC)。

B. 在主动/被动配置中创建 S3 多区域接入点。

C. 如果您的公司需要故障转移到另一个区域的 S3 存储桶，则可以调用 AWS API 中的 SubmitMultiRegionAccessPointRoutes 操作。

D. 在两个 S3 存储桶上启用 S3 传输加速。

E. 在 Amazon Route 53 恢复控制器中配置路由控制。在主动/被动配置中添加 S3 存储桶。

F.如果您的公司需要故障转移到另一个区域的 S3 存储桶，则可以调用 AWS API 中的 UpdateRoutingControlStates 操作。

答案：ABC

解释：
A. 在每个复制规则上启用 S3 复制时间控制 (S3 RTC)。这可确保 99.99% 的对象在 15 分钟内被复制。

B. 在主动/被动配置中创建 S3 多区域接入点。这对于管理跨不同 AWS 区域的多个 S3 存储桶的数据访问和促进故障转移非常重要。

73 / 100

73.

A. 在部署应用程序之前，更新您的 CodeBuild 构建阶段命令以运行测试。将 OnFailure 阶段属性设置为 ABORT。

B. 更新 CodeBuild 构建阶段命令以在部署应用程序之前运行测试。将 --rollback true 标志添加到您的 cdk deploy 命令。

C. 更新 CodeBuild 构建阶段命令以在部署应用程序之前运行测试。将 --require-approval any-change 标志添加到您的 cdk deploy 命令。

D. 编写一个使用 AWS CDK 断言模块的测试。使用 template.hasResourceProperties 断言来测试资源是否具有预期属性。

E. 编写一个使用 cdk diff 命令的测试。如果资源发生变化，则配置测试失败。

答案：A.D.

74 / 100

74.

A.关闭 ALB 中的跨区域负载平衡。使用 Amazon Route 53 应用程序恢复控制器启动从一个可用区到另一个可用区的区域转移。

B. 关闭 ALB 目标组中的跨区域负载平衡。使用 Amazon Route 53 应用程序恢复控制器启动从一个可用区到另一个可用区的区域转移。

C. 创建使用 ALB 的 DNS 主机名的 Amazon Route 53 应用程序恢复控制器资源集。从可用区域启动一组资源的区域转移。

D. 创建使用 ALB 目标组的 ARN 的 Amazon Route 53 应用程序恢复控制器资源集。创建使用 ElbV2TargetGroupsCanServeTraffic 规则的就绪情况检查。

答案：A

75 / 100

75.

答案：D

76 / 100

76.

A.向您的管道添加部署阶段。将 Amazon ECS 配置为操作提供程序。

B. 向管道添加部署阶段。将 AWS CodeDeploy 配置为操作提供程序。

C. 将 appspec.yml 文件添加到您的 CodeCommit 存储库。

D. 更新您的图像构建管道阶段以输出引用新图像标签的 imagedefinitions.json 文件。

E. 创建一个 AWS Lambda 函数，执行连接检查和对服务的 API 调用。使用 Lambda 操作阶段将 Lambda 函数与 CodePipeline 集成。

F. 创建一个脚本来针对服务运行集成测试。将脚本上传到 Amazon S3 存储桶。使用 S3 操作阶段将 S3 存储桶中的脚本与 CodePipeline 集成。

答案：ADE

解释：
关键字：最低管理开销

D. 更新您的图像构建管道阶段以输出引用新图像标签的图像 definitions.json 文件。

- 需要 ECS 识别和部署新的映像版本并促进自动更新。

77 / 100

77.

A. 创建一个具有多个可用区域目标的 Amazon Elastic File System (Amazon EFS) 文件系统。

B. 创建 Amazon FSx for NetApp ONTAP Multi-AZ 文件系统。

C. 创建通用 SSD (gp3) Amazon Elastic Block Store (Amazon EBS) 卷用于共享存储。

D. 更新每个应用程序的启动模板中的用户数据以挂载文件系统。

E. 在每个 Auto Scaling 组中执行实例刷新。

F. 更新每个应用程序的 EC2 实例，以便在启动新实例时挂载文件系统。

答案：BDE

解释：
为了满足场景要求，公司必须采取以下步骤：

78 / 100

78.

A. 在您组织的管理帐户中，创建一个新的 OU。将您组织的管理帐户移至新的 OU。将 SCP 与组织根分离。将 SCP 附加到新的 OU。

B. 在组织的管理账户中，将 SCP 条件引用更新为 DevOps 团队组角色的 ARN，以包含组织管理账户的 AWS 账户 ID。

答案：D

79 / 100

79.

A. 创建一个 Systems Manager Run Command 文档来配置所需的实例配置。配置 Systems Manager Compliance，以在 EC2 实例不符合最新补丁时调用 Run Command 文档。

B. 创建一个链接到系统管理器命令文档的系统管理器状态管理器关联。创建一个立即运行的标签查询。

答案：B

解释：
选项 B：创建一个链接到系统管理器命令文档的系统管理器状态管理器关联。创建一个立即运行的标签查询。

原因如下：

80 / 100

80.

A. 允许对所有资源执行所有 API 操作。

B. 允许对 EC2 资源执行所有 API 操作。所有其他 API 操作均被拒绝。

C. 所有资源上的所有 API 操作都被拒绝。

D.针对 EC2 资源的所有 API 操作都被拒绝。允许所有其他 API 操作。

答案：B

81 / 100

81.

A. 启用组织备份策略，将所有日志组备份到专用的 S3 存储桶。添加一个 S3 存储桶策略，允许从属于您公司的所有账户进行访问。

答案：D

解释：
C 似乎是最优雅的解决方案，但我找不到任何支持它的文档。

对于选项 D，我找到了此链接 - https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SubscriptionFilters.html#FirehoseExample

82 / 100

82.

答案：A.D.

83 / 100

83.

答案：C

解释：
这就是为什么这是最具操作效率的：

• 最小的管理开销：AWS 管理 ECR 映像和 Aurora 数据库的复制。无需配置或维护任何额外的 Lambda 函数或 EventBridge 规则。

• 可扩展性：Aurora 全局数据库和 ECR 复制专为生产级系统而设计，可扩展到大型工作负载。

• 可靠性：该解决方案利用 AWS 原生功能，减少出现错误和运营中断的可能性。

84 / 100

84.

答案：B

解释：
B行为：

1. BeginResponse函数：处理完成后，发布到单个SNS主题。

2. SNS 扇出：SNS 主题将消息发送到多个 SQS 队列，每个依赖的 Lambda 函数一个。

3. SQS 队列和 Lambda：每个 Lambda 函数都订阅自己的 SQS 队列并独立处理消息。

4. 重试和并发：SQS 队列允许在处理失败时重试消息，并可以限制每个队列的 Lambda 并发。

85 / 100

85.

答案：C

86 / 100

86.

A. 将您的 Docker 镜像存储在 Amazon Elastic Container Registry (Amazon ECR) 存储库中。为 CodeBuild 实现本地 Docker 层缓存。

B. 将 Docker 镜像缓存在可供多个构建主机使用的 Amazon S3 存储桶中。使用 S3 生命周期策略来使缓存过期。

C. 将 Docker 映像存储在 Amazon Elastic Container Registry (Amazon ECR) 存储库中。更改 CodeBuild 项目的运行时配置以始终使用最新的图像版本。

D.创建包含缓存的 Docker 镜像的自定义 AMI。您的 CodeBuild 构建从您的自定义 AMI 启动 Amazon EC2 实例。

答案：A

87 / 100

87.

答案：A

解释：
如果 ec2:InstanceType 条件不等于 t3.small，则拒绝对所有 EC2 实例资源执行 ec2:RunInstances 操作

如果 aws:RequestedRegion 条件不等于 us-*，则拒绝对所有 EC2 实例资源执行 ec2:RunInstances 操作

88 / 100

88.

答案：B

89 / 100

89.

答案：C

解释：
Athena 只能查询 S3 存储桶，而不能查询 CloudWatch 指标。

90 / 100

90.

C. 运行 AWS Systems Manager AWS-UpdateEKSManagedNodeGroup 自动化文档。根据您对所需节点大小的估计，更改 NodeGroupDesiredSize、NodeGroupMaxSize 和 NodeGroupMinSize 的值。

答案：D

解释：
为什么选项D是正确的：

91 / 100

91.

A. { "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "department" ] } } }

B. { "Condition": { "StringEquals": { "aws:PrincipalTag/department": "${aws:ResourceTag/department}" } } }

C. { "Condition": { "StringEquals": { "ec2:ResourceTag/department": "${aws:PrincipalTag/department}" } } }

D. { "Condition": { "ForAllValues:StringEquals": { "ec2:ResourceTag/department": [ "d1", "d2", "d3" ] } } }

答案：C

解释：
aws:PrincipalTag 条件键必须具有完全相同的名称（即“ec2:ResourceTag/CostCenter”：“${aws:PrincipalTag/CostCenter}”）。

92 / 100

92.

A. 将 SCP 应用于所有 OU 以拒绝 cloudtrail:StopLogging 和 cloudtrail:DeleteTrail 操作。

B. 在每个账户中创建一个 IAM 策略来拒绝 cloudtrail:StopLogging 和 cloudtrail:DeleteTrail 操作。

C. 设置 Amazon CloudWatch 警报，当用户在账户上禁用 CloudTrail 时通知您的安全团队。

D. 如果用户在其账户中禁用 CloudTrail，则使用 AWS Config 自动重新启用 CloudTrail。

93 / 100

93.

答案：A

解释：
答案当然是“A”。首先，使用新版本更新新的（或“绿色”）集群。然后，将 ALB 的流量从第一个目标组转移到第二个目标组。

94 / 100

94.

答案：C

95 / 100

95.

A.配置与 Amazon EC2 RunInstances API 调用匹配的 Amazon EventBridge 规则。配置规则以调用 AWS Lambda 函数并将默认实例配置文件附加到 EC2 实例。

D.配置 AWS Config。部署 AWS Config iam-role-managed-policy-check 托管规则。配置自动补救操作，调用 AWS Lambda 函数将默认实例配置文件附加到 EC2 实例。

96 / 100

96.

A. 为 IAM 团队创建一个新的 AWS 账户。在新账户中启用 IAM Identity Center。在组织管理账户中，将新账户注册为 IAM 身份中心的委派管理员。

B. 为 IAM 团队创建一个新的 AWS 账户。在您的组织管理账户中启用 IAM 身份中心。在组织管理账户中，将新账户注册为 IAM 身份中心的委派管理员。

C. 在组织中创建 SCP。为您的组织管理账户创建一个新的 OU，并将新的 SCP 链接到该 OU。配置 SCP 以拒绝对 IAM 身份中心的所有访问。

D.在 IAM 身份中心为 IAM 团队创建 IAM 用户和 IAM 组。将用户添加到组。创建一个新的权限集。将 AWSSSOMemberAccountAdministrator 托管 IAM 策略附加到该组。

E. 将新的权限集分配给组织管理员帐户。使权限集可供 IAM 团队的群组使用。

F.将新的权限集分配给新的 AWS 账户。使权限集可供 IAM 团队的群组使用。

答案：BDF

解释：

97 / 100

97.

A. 向全局数据库添加辅助集群。

B.启用全局数据库写入转发。

C. 从全局数据库中删除一个辅助集群。

D.配置全局数据库的同步复制。

答案：C

98 / 100

98.

A.将 CloudWatch 代理作为 Kubernetes StatefulSet 部署到您的 EKS 集群中。

B. 将 AWS Distro for OpenTelemetry Collector 作为 Kubernetes DaemonSet 部署到您的 EKS 集群中。

C. 使用 Amazon EKS 中服务账户的 IAM 角色将 Kubernetes 服务账户与 IAM 角色关联。使用 CloudWatchAgentServerPolicy AWS 托管策略。

D. 使用 Amazon EKS 服务账户的 IAM 角色将 Kubernetes 服务账户与 IAM 角色关联。使用 CloudWatchAgentAdminPolicy AWS 托管策略。

E. 为您的 EKS 集群配置 IAM OpenID Connect (OIDC) 提供程序。

F.为您的 EKS 集群启用 EKS 控制平面日志记录。

答案：ACF

解释：
https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-EKS.html

- 缺少 Fargate 守护进程集
- CloudWatchAgentServerPolicy 正确
- 控制平面日志

99 / 100

99.

答案：A

解释：
Amazon CodeGuru Security 使用 ML 和自动推理来检测、跟踪和修复开发周期每个阶段的代码安全漏洞。

100 / 100

100.

A. 使用 Amazon CloudWatch Basic Monitoring 收集 NetworkIn 和 MemoryBytesUsed 指标。绘制 CloudWatch 中的指标图表。

B. 使用 Amazon CloudWatch 详细监控收集 NetworkIn 和 MemoryBytesUsed 指标。绘制 CloudWatch 中的指标图表。

C. 使用 Amazon CloudWatch 详细监控收集 NetworkIn 指标。在您的 EC2 实例上安装 CloudWatch 代理以收集 mem_used 指标。绘制 CloudWatch 中的指标图表。

D. 使用 Amazon CloudWatch Basic Monitoring 收集内置 NetworkIn 指标。要收集 mem_used 指标，请在您的 EC2 实例上安装 CloudWatch 代理。绘制 CloudWatch 中的指标图表。

答案：C

解释：
使用 Amazon CloudWatch 详细监控收集 NetworkIn 指标。要收集 mem_used 指标，请在您的 EC2 实例上安装 CloudWatch 代理。绘制 CloudWatch 中的指标图表。

Your score is

■AWS-DOP-C02-(CN) Q301~363

/63

AWS-DOP-C02-(CN) Q301~363

1 / 63

答案：A

2 / 63

A.创建一个 S3 存储桶策略，授予 S3 存储桶调用 Lambda 函数的权限。

B. 为 Lambda 函数创建资源策略，以授予 Amazon S3 调用 S3 存储桶中的 Lambda 函数的权限。

C. 将 Amazon Simple Queue Service (Amazon SQS) 队列配置为 Lambda 函数的 OnFailure 目标。更新您的 Lambda 函数以处理来自 SQS 队列和 S3 事件通知的消息。

答案：B

3 / 63

A. 使用 aws.controltower 源和 CreateManagedAccount 详细类型创建 Amazon EventBridge 事件。将新的 AWS 账户详细信息添加到事件详细信息字段。

B. 使用 aws.controltower 源和 SetupLandingZone 详细类型创建 Amazon EventBridge 事件。将新的 AWS 账户详细信息添加到事件详细信息字段。

C. 在新 AWS 账户中创建 AWSControlTowerExecution 角色。配置角色以允许 AWS Control Tower 管理员账户承担该角色。

D. 使用新的 AWS 账户详细信息调用 AWS Service Catalog ProvisionProduct API 操作。

E. 使用 controltower.amazonaws.com 服务名称和您的新 AWS 账户详细信息调用 Organizations EnableAWSServiceAccess API 操作。

答案：CD

解释：
选项详细信息：

4 / 63

A. 禁用 ALB 目标组上的跨区域负载平衡。在 ALB 上启动区域转移，以将流量从受影响的可用区引导出去。

B. 禁用 ALB 目标组上的跨区域负载平衡。手动删除目标组中属于受影响可用区域的实例。

C. 在 ALB 的目标组上配置跨区域负载平衡以继承来自 ALB 的设置。在 ALB 上启动区域转移，以将流量从受影响的可用区引导出去。

D. 在 ALB 的目标组上配置跨区域负载平衡以继承来自 ALB 的设置。删除与受影响的可用区域关联的子网。

答案：A

解释：
禁用跨区域负载平衡：

如果禁用跨区域负载平衡，则每个可用区域将仅处理其自己的目标的流量。如有必要，这可让您隔离来自特定区域的流量。
开始区域转换：

5 / 63

答案：C

解释：

要将来自多个 AWS 账户的 Amazon Connect 事件集中到单个账户中的 EventBridge 事件总线中，需要执行以下步骤：

1. 更新 DevOps 账户中 EventBridge 事件总线的基于资源的策略。

• 此策略允许 DevOps 账户中的事件总线接受来自其他账户的事件。

6 / 63

A. 将 CloudWatch 代理和 Fluent Bit 部署到您的集群。验证您的 EKS 集群是否具有将指标和日志发送到 CloudWatch 的正确权限。

B. 将 AWS Distro for OpenTelemetry 部署到您的集群。验证您的 EKS 集群是否具有将指标和日志发送到 CloudWatch 的正确权限。

C. 创建 CloudWatch 警报来监控集群的 CPU、内存和节点故障指标。配置警报，当超出阈值时向您的 DevOps 团队发送 SNS 和电子邮件通知。

E. 创建 CloudWatch 警报来监控 Autoscaler 部署日志中是否存在错误。配置警报，当超出阈值时向您的 DevOps 团队发送 SNS 电子邮件通知。

F. 创建 CloudWatch 警报来监控指标日志过滤器中 Autoscaler 部署中的错误。配置警报，当超出阈值时向您的 DevOps 团队发送 SNS 电子邮件通知。

答案：ACF

解释：
问题要求您“收集指标和日志”。
您需要安装CloudWatch代理，它是A。
您需要收集 C 类指标。
您需要收集 E 的日志。

7 / 63

B. 使用 AWS Backup 创建备份库和间隔 10 分钟的自定义备份计划。指定 DR 区域作为目标区域。将生产区域中的 EC2 实例分配给您的备份计划。

D. 在 DR 区域创建 FSx for ONTAP 实例。设置卷级别 NetApp SnapMirror 5 分钟计划，将卷从生产区域复制到 DR 区域。

答案：D

解释：
实施步骤：
在 DR 区域创建 FSx for ONTAP 实例：

在新的 DR 区域中部署 FSx for NetApp ONTAP 实例。
设置 SnapMirror 复制：

设置从生产区域中的 FSx 卷到 DR 区域中的 FSx 实例的 SnapMirror。

为了满足 10 分钟的 RPO 要求，将复制计划设置为 5 分钟。

测试 DR 设置：

确保 DR 区域中的复制卷一致且可访问。

验证您的 DR 环境是否可以故障转移到复制的 FSx 卷。

CloudFormation 更新：

验证更新后的 CloudFormation 模板是否在 DR 区域中部署了 EC2 实例并且能够挂载复制的 FSx 卷。

8 / 63

A. 为您的所有 AWS 账户启用 AWS Config。使用定期触发器激活 vpe-sg-port-restriction-check AWS Config 规则。创建 AWS Lambda 函数来修复不合规的规则。

D. 在每个账户中创建一个 AWS Systems Manager Automation 文档，以检查所有安全组并删除不合规的规则。使用 Amazon EventBridge 规则每小时运行一次自动化文档。

答案：C

解释：
此选项通过在所有账户中启用 AWS Config、部署受限 ssh 规则以及设置自动补救措施来解决不合规的安全组，从而有效地满足要求。

9 / 63

D. 登录到每个虚拟机。使用本地包管理器安装该包。使用 AWS Config 监控 AWS 资源的配置变化。创建一个脚本来监控您的本地资源。

10 / 63

10.

B. 在管道中的 us-east-1 中创建一个新的 CloudFormation 部署操作。配置一个新的部署操作，以使用 CloudFormation 模板来为 us-east-1 创建附加工件。

C. 在 us-east-1 中创建一个 S3 存储桶。配置您的 S3 存储桶策略以允许 CodePipeline 读取和写入访问。

D. 在 us-east-1 中创建一个 S3 存储桶。配置从 eu-west-1 中的 S3 存储桶到 us-east-1 中的 S3 存储桶的 S3 跨区域复制 (CRR)。

答案：CE

11 / 63

11.

答案：B

12 / 63

12.

A. 在 Amazon ECR 中启用私有注册表的增强扫描。

B. 在 Amazon ECR 中启用私有注册表的基本持续扫描。

C. 创建 AWS System Manager Automation 文档以使用 AWS SDK 扫描图像。配置一个自动化文档，当新图像推送到您的 ECR 注册表时运行。

D. 创建一个 AWS Lambda 函数，使用 AWS SDK 扫描 Amazon ECR 中的所有图像。创建一个 Amazon EventBridge 规则以每日调用 Lambda 函数。

答案：A

13 / 63

13.

A.在事件总线上启用 EventBridge 架构发现，以确定事件模式是否与预期架构匹配。

B. 配置 Amazon CloudWatch 以监控 EventBridge 指标和 Step Functions 指标。针对事件模式和工作流调用中的异常设置警报。

C. 配置 AWS Lambda 日志记录功能以监控和记录来自 EventBridge 的事件并提供有关所处理事件的详细信息。

D.检查 Step Functions 执行历史记录，查找可能与错过事件调用相关的故障或超时模式。

E. 查看 EventBridge 失败调用指标并验证附加到规则的 IAM 执行角色是否具有足够的权限。

F.确保您的 Step Functions 工作流具有正确的权限以供 EventBridge 调用。

答案：AB

14 / 63

14.

A. 为 AWS Health 配置事件源。配置指示计划实例终止和退役的事件类型。以 AWS-RestartEC2Instance Systems Manager Automation 运行手册为目标，重新启动 EC2 实例。

B. 为 Systems Manager 配置事件源。配置指示维护窗口的事件类型。以 AWS-RestartEC2Instance Systems Manager Automation 运行手册为目标，重新启动 EC2 实例。

D. 为 EC2 配置事件源。配置提供实例状态通知的事件类型。注册一个 Systems Manager 维护窗口任务，以新创建的 AWS Lambda 函数为目标重新启动 EC2 实例。

答案：A

15 / 63

15.

A.配置 CheckURL 阶段以使用 Amazon CloudWatch 操作。配置操作以使用金丝雀综合监控检查您的应用程序 URL，并向 CodePipeline 报告成功或失败。

B. 创建一个 AWS Lambda 函数，检查 URL 的响应代码状态并向 CodePipeline 报告成功或失败。配置阶段中的 CheckURL 操作以调用 Lambda 函数。

C. 配置 CheckURL 阶段以使用 AWS CodeDeploy 操作。使用输入工件（应用程序的 URL）配置操作，并向 CodePipeline 报告成功或失败。

16 / 63

16.

B. 在 CloudWatch Logs 日志组中创建与响应代码范围匹配的 CloudWatch Logs 指标过滤器。配置指标过滤器来增加指标。将响应代码和应用程序名称设置为维度。

17 / 63

17.

A. 创建一个 Kubernetes 集群角色，允许持久卷执行获取、列出、监控、创建和删除操作。设置集群角色以允许获取、列出和监控集群中的存储操作。

B. 创建具有所需权限和信任关系的 Amazon EBS 容器存储接口 (CSI) 驱动程序 IAM 角色。将 IAM 角色附加到集群中的 Amazon EBS CSI 驱动程序插件。

C. 将 ebs.csi.aws.com/volumeType:gp3 注释添加到集群中的 PersistentVolumeClaim 对象。

D.创建 Kubernetes 存储类对象。将供应商值设置为 ebs.csi.aws.com。在 Laster 上将 volumeBindingMode 值设置为 WaitForFirstConsumer。

答案：B

18 / 63

18.

A.创建一个对 EC2 实例状态改变通知事件做出反应的 Amazon EventBridge 规则。

B. 创建 Amazon CloudWatch Logs 日志组。将日志组指定为 EventBridge 规则的目标。

C. 在 VPC Flow Logs 中创建流日志。

D. 创建 Amazon CloudWatch Logs 日志组。将日志组指定为流日志的目标。

E.创建日志组指标过滤器。

F.创建日志组订阅过滤器。使用 EventBridge 作为目标。

答案：CDE

解释：

C. 在 VPC Flow Logs 中创建流日志。

• 原因：VPC 流日志捕获有关往返于 VPC 中网络接口的流量的信息。这对于识别和分析默认使用 TCP 端口 3389 的 RDP 会话非常重要。

E.创建日志组指标过滤器。
• 原因：指标过滤器允许您从流日志中提取特定指标。您可以创建一个指标，使用端口 3389（RDP）过滤流量并计算会话数。

19 / 63

19.

A.为您的 EKS 集群创建 IAM OpenID Connect (OIDC) 提供程序。

B.验证节点是否可以访问 EKS Auth API。为您的 EKS 集群添加并配置 EKS Pod Identity Agent 插件。

C.创建使用API_AND-CONFIG_MAP集群授权模式的EKS访问条目。

D. 为 Kubernetes 服务账户配置一个 AWS 安全令牌服务 (AWS STS) 终端节点，该终端节点将由 EKS 集群中的 Pod 使用。

答案：B

解释：
问题没有说明 pod 正在使用 irsa，因此 eks 插件应该可以与 pod id 配合使用

20 / 63

20.

D. 使用组织为每个帐户生成服务访问报告。从结果中，获取“上次访问日期”和“上次访问帐户”字段以查找顶级用户和角色。

答案：C

解释：
您可以使用 Athena 分区投影通过指定 S3 中日志的结构来优化查询。这极大地简化了跨多个 AWS 账户查询 CloudTrail 日志的流程。

21 / 63

21.

A.启用对 CloudFormation StackSets 的可信访问。创建一个 CloudFormation 钩子，将服务器端加密应用于 EBS 卷和 SQS 队列。使用 StackSets 跨 OU 中的账户部署挂钩。

B. 为 OU 中的所有账户配置 AWS Config。使用 AWS Systems Manager 部署 AWS Config 规则，该规则对 OU 中各个账户的 EBS 卷和 SQS 队列应用服务器端加密。

C. 创建一个 SCP，拒绝创建 EBS 卷和 SQS 队列，除非它们具有服务器端加密。将 SCP 附加到 OU。

答案：A

22 / 63

22.

D. 为 VPC 中的公共 ECR 存储库创建 Amazon ECR 接口 VPC 终端节点。

E. 为您 VPC 中的私有 ECR 存储库创建一个 Amazon ECR 接口 VPC 终端节点。

F. 在您的 VPC 中创建一个 Amazon S3 网关终端节点。

答案：CEF

解释：
通过使用 Amazon ECR 拉取缓存规则（选项 C）并为私有 ECR（选项 E）和 S3（选项 F）配置必要的 VPC 终端节点，您可以：

消除互联网访问：
从您的 VPC 中删除 NAT 网关和 Internet 网关。

维护图像访问：
允许 ECS 任务无需互联网访问即可从私有和公共 ECR 存储库中提取图像。

23 / 63

23.

A. 激活 Amazon ECR 的 Amazon Inspector 增强扫描。配置高级扫描以使用连续扫描。在 Amazon Simple Notification Service (Amazon SNS) 中设置主题。

B. 为 Amazon Inspector 发现结果创建 Amazon EventBridge 规则。将 Amazon Simple Notification Service (Amazon SNS) 主题配置为规则的目标。

C. 为 Amazon ECR 激活 AWS Lambda 增强扫描。配置扩展扫描以使用连续扫描。在 Amazon Simple Email Service (Amazon SES) 中设置主题。

D.创建一个新的 AWS Lambda 函数。当找到扫描结果时，它会调用一个新的 Lambda 函数。

E. 激活 Amazon ECR 对所有容器镜像的默认基本扫描。设置默认基本扫描以使用连续扫描。在 Amazon Simple Notification Service (Amazon SNS) 中设置主题。

答案：AB

解释：
这是基于https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning-enhanced.html的AB。

24 / 63

24.

A. 在 Amazon Elastic Container Registry (Amazon ECR) 中创建一个存储库。向存储库添加生命周期策略，使具有匹配标签的图像在 15 天后过期。

B. 在 AWS CodeArtifact 中创建一个存储库。将存储库策略添加到您的 CodeArtifact 存储库，以使具有匹配标签的旧资产在 15 天后过期。

C.在 Amazon S3 中创建一个存储桶。添加存储桶生命周期策略，使具有匹配标签的旧对象在 15 天后过期。

D.创建 EC2 Image Builder 容器配方。添加构建组件，使带有匹配标签的容器在 15 天后过期。

答案：A

解释：
A. 在 Amazon Elastic Container Registry (Amazon ECR) 中创建一个存储库。

25 / 63

25.

A.创建一个 Amazon CloudWatch 日志组。创建写入 CloudWatch 日志组的 AWS CloudTrail 跟踪。

B.创建一个新的 Amazon S3 存储桶。在 Redshift 集群中配置默认审计日志。将您的 S3 存储桶设置为目标。

C. 配置 Redshift 集群数据库审计日志以包含用户活动日志。将 Amazon CloudWatch 设置为目标。

D. 创建包含日志小部件的 Amazon CloudWatch 仪表板。配置小部件以显示来自 Redshift 日志的用户详细信息。

E. 创建一个使用 Amazon Athena 查询 Redshift 日志的 AWS Lambda 函数。创建具有使用 Lambda 函数的自定义小部件类型的 Amazon CloudWatch 仪表板。

答案：CD

26 / 63

26.

B.创建一个 SCP，以防止创建没有 CostCenter 标签键的 EC2 实例。将策略附加到 OU。更新脚本以扫描标签键和标签值，如果标签值无效则通知管理员。

答案：A

解释：
服务控制策略 (SCP)：创建 SCP 将确保任何创建没有 CostCenter 标签键的 EC2 实例的尝试都将从一开始就被拒绝。这在组织层面强制执行了要求。

标签策略：您可以通过创建标签策略来强制 CostCenter 标签值来自已知列表，从而确保所有 EC2 实例仅使用有效的成本中心值。

更新您的脚本：更新您的脚本不仅可以扫描标签键和值，还可以使用默认的批准标签值更新不合规的资源，以确保合规性并缓解任意字符串值的问题。

综合解决方案：这种方法既解决了 CostCenter 标签的存在问题，又解决了其值的准确性问题，为该问题提供了综合解决方案。

27 / 63

27.

C. 将管道中 CloudFormation 操作的输出工件设置为名为 StackVariables 的 AWS Systems Manager 参数存储参数。将工件命名为 BucketName。

D. 将构建操作中的构建工件配置为 CodePipeline S3 部署操作的输入。使用 StackVariables.BucketName 变量配置部署操作以部署到 S3 存储桶。

E. 将构建操作中的构建工件和 AWS Systems Manager 参数配置为部署操作的输入。使用 StackVariables.BucketName 变量配置部署操作以部署到 S3 存储桶。

答案：BD

28 / 63

28.

29 / 63

29.

30 / 63

30.

答案：A

解释：
“A”无疑是最优雅、最明显的解决方案。
“B” 可能可行，但似乎太复杂了

31 / 63

31.

A.创建并将资源策略附加到您的 API 网关 API。配置资源策略以仅允许特定的 VPC ID。

B. 向 API 网关 API 添加安全组。配置入站规则以仅允许特定的 VPC IP 地址范围。

C.创建并将 IAM 角色附加到 API 网关 API。配置 IAM 角色以仅允许特定的 VPC ID。

D. 向 API 网关 API 添加 ACL。配置出站规则以仅允许特定的 VPC IP 地址范围。

答案：A

32 / 63

32.

A. 验证与服务关联的安全组是否允许来自 ALB 的流量。

B. 延长您服务的 ALB 健康检查宽限期。

C. 增加服务的最低健康百分比设置。

D.减少ALB健康检查间隔。

答案：B

33 / 63

33.

B.使用 AWS Direct Connect 将自定义存储库与 EC2 实例集成。使用 Amazon EventBridge 事件部署补丁。

C. 使用 yum-config-manager 命令将自定义存储库添加到 /etc/yum.repos.d 配置中：运行 yum-config-manager-enable 命令来激活新的存储库。

答案：A

34 / 63

34.

A.创建一个新的 AWS 账户。在新账户中创建一个 AWS Lambda 函数，以将自定义设置应用于组织中每个 AWS 账户中的 AWS Config 配置记录器。

C. 在 AWS Control Tower 管理账户中配置 Amazon EventBridge 规则，以便在组织 OU 注册或重新注册时调用 AWS Lambda 函数。重新注册根组织 OU。

35 / 63

35.

A.用 AWS Lambda 函数替换在 EC2 实例和 ALB 上运行的容器。将您的 MySQL 数据库替换为与 Amazon Aurora Serverless v2 MySQL 兼容的数据库。

B. 用 AWS Fargate 替换在 EC2 实例上运行的容器。将您的 MySQL 数据库替换为与 Amazon Aurora Serverless v2 MySQL 兼容的数据库。

C. 用 AWS Lambda 函数替换在 EC2 实例和 ALB 上运行的容器。用 Amazon DynamoDB 表替换 MySQL 数据库。

D.用 AWS Fargate 替换在 EC2 实例上运行的容器。用 Amazon DynamoDB 表替换 MySQL 数据库。

答案：B

解释：
正如问题所述，“B”是最容易实现的选项。

其余选项需要从 SQL 迁移到 NoSQL（需要多次代码更改）或从 Docker 容器迁移到 Lambda（需要多次代码更改）。

36 / 63

36.

A.创建具有服务管理权限的CloudFormation StackSet。将根 OU 设置为部署目标。

B.创建具有服务管理权限的CloudFormation StackSet。将根 OU 设置为部署目标。在 Organizations 管理账户中部署另一个 CloudFormation 堆栈。

C. 创建具有自我管理权限的 CloudFormation StackSet。将根 OU 设置为部署目标。

D. 创建具有自我管理权限的 CloudFormation StackSet。将根 OU 设置为部署目标。在 Organizations 管理账户中部署另一个 CloudFormation 堆栈。

答案：B

解释：
我认为是 B。具有服务管理权限的堆栈集不会部署到管理账户。

37 / 63

37.

A. 创建一个包含定义处理任务的并行状态的标准工作流。创建一个异步 Express 工作流，其中包含定义处理任务的并行状态。

B. 创建一个同步 Express 工作流，其中包含定义处理任务的地图状态。

C. 创建一个与新 S3 对象创建时间匹配的 Amazon EventBridge 规则。配置 EventBridge 规则以调用 AWS Lambda 函数。配置 Lambda 函数以启动处理工作流程。

D. 创建一个与新 S3 对象创建时间匹配的 Amazon EventBridge 规则。配置 EventBridge 规则以启动处理工作流程。

答案：A.D.

38 / 63

38.

A. 修改您的 CodeDeploy 部署以使用 CodeDeployDefault.ECSCanary10Percent5Minutes 配置。

B. 修改您的 CodeDeploy 部署以使用 CodeDeployDefault.ECSLinear10PercentEvery3Minutes 配置。

答案：A.D.

39 / 63

39.

A.配置 AWS Config 以对您的 AWS 账户使用定期记录。部署 vpc-sg-port-restriction-check AWS Config 托管规则。配置 AWS Config 以使用 SNS 主题作为通知目标。

C. 配置 AWS Config 以使用您的 AWS 账户的配置变更记录。部署具有 ssh 限制的 AWS Config 托管规则。配置 AWS Config 以使用 SNS 主题作为通知目标。

D. 创建一个 AWS Lambda 函数来评估安全组并向 SNS 主题发布消息。使用 Amazon EventBridge 规则安排 Lambda 函数每天运行一次。

答案：C

40 / 63

40.

D.创建与企业办公室IP地址范围相匹配的WAF IP地址集。将现有 Web ACL 的默认操作设置为“阻止”。添加优先级为 0 的规则以允许来自 IP 地址集的流量。

答案：D

41 / 63

41.

C. 通过为 CloudWatch 日志配置指标过滤器来创建自定义指标。配置 CloudWatch 指标流以将应用程序指标传送至 S3 存储桶。

答案：A

解释：
要求如下：

1. 从 CloudWatch 收集性能和自定义指标。

2. 自动包含添加到命名空间的任何新指标。

3.转换指标数据。

4. 将转换后的数据保存到 S3 存储桶。

5.尽量减少运营开销。

42 / 63

42.

A.使用 CodeBuild 检索之前推送到 Amazon ECR 的图像。使用 AWS Signer 对图像进行签名。使用 AWS CloudTrail 来跟踪谁生成了签名。

B. 使用 AWS Lambda 检索之前推送到 Amazon ECR 的图像。使用 Lambda 函数对图像进行签名。使用 Amazon CloudWatch 跟踪谁生成签名。

C. 使用 AWS Lambda 检索之前推送到 Amazon ECR 的图像。使用 AWS Signer 对图像进行签名。使用 Amazon CloudWatch 跟踪谁生成签名。

D.使用CodeBuild构建镜像。在将图像推送到 Amazon ECR 之前，请使用 AWS Signer 对其进行签名。使用 AWS CloudTrail 来跟踪谁生成了签名。

答案：D

解释：
该解决方案以最少的操作努力满足所有要求。原因：

1. 使用 AWS Signer 对图像进行签名：

2. 自动密钥轮换：

3. 追踪谁签署了图像：

4.使用CodeBuild创建镜像：

5. 最少的操作努力：

43 / 63

43.

A. 为 CodeArtifact 创建服务相关角色。将角色与 EC2 实例关联。在实例上使用 aws codeartifact get-authorization-token CLI 命令。

B. 在 CodeArtifact 存储库上放置基于资源的策略，允许 EC2 实例主体执行 ReadFromRepository 操作。

C. 配置 CodeArtifact 存储库的 ACL 以允许 EC2 实例访问 Python 包。

D.创建一个包含有权访问 CodeArtifact 的 IAM 角色的实例配置文件。将实例配置文件与 EC2 实例关联。在实例上使用 aws codeartifact login CLI 命令。

答案：D

解释：
D.创建一个包含有权访问 CodeArtifact 的 IAM 角色的实例配置文件。将实例配置文件与 EC2 实例关联。在实例上使用 aws codeartifact login CLI 命令。

解释：

要允许您的 EC2 实例访问您的 CodeArtifact 存储库，您的 EC2 实例必须具有与 AWS CodeArtifact 交互所需的 IAM 权限。选项D是最佳解决方案，因为：

44 / 63

44.

答案：A

45 / 63

45.

A. 创建一个新的 SCP 语句，如果 ec2:MetadataHttpTokens 条件键不等于 required 的值，则拒绝 ec2:RunInstances 操作。将 SCP 附加到您的组织的根目录。

B. 创建一个新的 SCP 语句，如果 ec2:MetadataHttpPutResponseHopLimit 条件键的值大于 2，则拒绝 ec2:RunInstances 操作。将 SCP 附加到您的组织的根目录。

C. 创建一个新的 SCP 语句，如果 ec2:RoleDelivery 条件键值小于 2，则拒绝“*”。将 SCP 附加到您的组织的根目录。

D. 创建一个新的 SCP 语句，如果 ec2:MetadataHttpTokens 条件键值不等于 required，则拒绝。将 SCP 附加到您的组织的根目录。

答案：D

46 / 63

46.

A.创建一个 CloudWatch Contributor Insights 规则，根据实例 ID 和错误对来自 CloudWatch 应用程序日志的日志进行分组。

答案：A.D.

47 / 63

47.

答案：A

解释：
关键要求：

1. 检测 CloudFormation 管理资源的手动更改。

2.当检测到此类变化时，他们会向 DevOps 领导发送警报。

3. 它以最少的操作努力实现这一目标。

48 / 63

48.

答案：C

49 / 63

49.

答案：A

50 / 63

50.

答案：B

51 / 63

51.

A. 在您的组织中创建一个 SCP，以防止用户创建或修改 IAM 用户。将 SCP 附加到您的组织的根目录。将 CreateAndManageUsers 角色附加到开发人员。

C. 在每个账户中创建一个名为 PermissionBoundaries 的 IAM 权限策略。配置 PermissionBoundaries 策略以指定开发人员可以授予新 IAM 用户的最大权限。

D. 在每个账户中创建一个名为 PermissionBoundaries 的 IAM 权限策略。设置 PermissionsBoundaries 以允许具有 PermissionBoundaries 策略的用户创建新的 IAM 用户。

答案：CE

为实现此目的，AWS 权限边界提供了一种有效的方法来对开发人员可以分配的权限应用限制。

52 / 63

52.

答案：C

解释：
回答：
通过 StackSets 在所有帐户上应用标记。
使用 CDK 堆栈以相同的配置部署 SQS。

53 / 63

53.

No.353
DevOps 团队管理公司的 AWS 账户。一家公司希望某些 AWS 资源配置更改能够自动恢复。
哪种解决方案可以满足这一要求？

A.使用 AWS Config 规则检测资源配置的变化。使用 AWS Systems Manager Automation 文档配置补救措施以恢复配置更改。

B. 使用 Amazon CloudWatch 警报监控资源指标。当警报激活时，使用 Amazon Simple Notification Service (Amazon SNS) 主题通知管理员手动恢复配置更改。

C. 使用 AWS CloudFormation 创建一个部署所需配置更改的堆栈。如果需要恢复配置更改，请更新堆栈。

D.使用 AWS Trusted Advisor 检查不合规的配置。根据 Trusted Advisor 建议手动应用任何所需的更改。

答案：A

54 / 63

54.

A. 在您的账户中创建 AWS CloudTrail 跟踪。启用 S3 数据事件日志记录。配置一条跟踪以记录到 Amazon CloudWatch。

B.创建一个新的 S3 存储桶。在应用程序的 S3 存储桶上配置访问日志记录。将您的访问日志传送到新的 S3 存储桶。

D. 在您的账户中创建 AWS CloudTrail 跟踪和新的 S3 存储桶。配置一条跟踪以记录到 S3 中的新存储桶。

55 / 63

55.

56 / 63

56.

B. 创建一个 SCP，其中包含针对 s3:createBucket 操作的拒绝语句和 s3:x-amz-server-side-encryption 不是 aws:kms 的条件语句。将 SCP 附加到您的组织的根目录。

D. 创建一个 SCP，其中包含针对 s3:putObject 操作的拒绝语句以及 s3:x-amz-server-side-encryption 不是 aws:kms 的条件。将 SCP 附加到您的组织的根目录。

57 / 63

57.

58 / 63

58.

D. 使用 AWS Lambda 函数查询 Amazon Inspector 以查找美国以外地区的服务活动。配置 Lambda 函数以在 Amazon Inspector 发现活动时发送警报。

59 / 63

59.

60 / 63

60.

A.管道中的构建阶段必须使用 AWS CodeStar 连接操作。

B. AWS CodeStar 与 GitHub 的连接包含不正确的凭证。

C.AWS CodePipeline 服务角色没有使用 AWS CodeStar 连接的权限。

D.AWS CodeBuild 服务角色没有使用 AWS CodeStar 连接的权限。

61 / 63

61.

B. 在您的 CodeBuild 项目配置中启用 Amazon S3 缓存。向您的 buildspec.yaml 配置文件添加步骤，以针对缓存中的包版本执行必要的检查。

62 / 63

62.

63 / 63

63.

Your score is