AWS SAP-C02中文

答案：A
说明：
所有选项都提到了问题中没有的共享服务 VPC。这用于 cloud.example.com 的 Route 53。

选项 A - 将所有 VPC 与私有托管区域关联，允许解析 cloud.example.com；入站解析允许本地资源解析为 cloud.example.com；最后一点连接允许本地连接并解析为 cloud.example.com

选项 B - Amazon EC2 条件转发器不适用于这种情况，因为 Active Directory 在这种情况下不起作用

选项 C - 不起作用，因为它依赖于出站解析器（从云到本地）

选项 D - 不起作用，因为其他 VPC 未连接到私有区域。此外，连接不完整，因为只有共享服务 VPC 连接到 Transit Gateway

答案：C
说明：
选项 A - 不提供故障转移到新区域的方法，而是提供 API 网关从最靠近客户端的区域响应的方法

选项 B - 不提供故障转移到新区域的方法，因为当主区域健康时，名称解析将提供 2 个可能连接的区域

选项 C - 通过使用 Route 53 故障转移记录和健康监控以及在另一个区域中部署来提供故障转移到新区域的方法

选项 D - 不提供故障转移到新区域的方法，因为当主区域健康时，名称解析将提供 2 个可能连接的区域

答案：D
说明：
选项 A - 此选项实际上在整个公司范围内推广 AWS Config，这与他们所做的完全相反

选项 B - 此选项不起作用，因为尽管 Onboarding 中允许 SCP，但 AWS Config 仍将受到限制，因为组织的根目录中存在拒绝 SCP

选项 C - 此选项允许在新业务部门访问 AWS Config，并限制对其他所有内容的访问。但是，SCP 需要定期更新才能添加新的 AWS 服务

选项 D - 此选项无需更新即可将正确的访问级别应用于每个 OU：入职可以访问 AWS Config，生产不能，并且在公司的拒绝 SCP 移动后，在根目录建立 FullAWSAccess。

答案：C
说明：
选项 A - 允许层级增长，但 NLB 不会以这种方式做出负载平衡决策

选项 B - 没有针对 Aurora 写入器的 Aurora 自动扩展

选项 C - 允许层级增长，使用粘性会话的 ALB 提供一致的用户体验

选项 D - 没有针对 Aurora 写入器的 Aurora 自动扩展

注意：该应用程序是基于 Web 的，因此选择 ALB 应该不是问题。

答案：D
说明：
选项A - CloudFront函数可以修改头信息，但仅限于请求处理，无法修改响应头信息。这不能完全满足基于User-Agent头信息删除响应头信息的要求。
选项B - API Gateway不支持基于User-Agent动态删除头信息。此外，API Gateway REST API过于复杂且昂贵。
选项C - 响应映射模板的灵活性有限。此外，没有边缘缓存以优化性能。
选项D - Lambda@Edge性能更好，因为它更接近终端用户，减少了延迟。Lambda@Edge还可以处理更复杂的逻辑，更适合基于User-Agent修改头信息。

答案：C, D
说明：
选项A - CORS不解决跨账户访问S3存储桶的问题。
选项B - 此选项无效，因为存储桶策略缺少Principal。
选项C - 此选项提供了一个有效的S3存储桶策略，授予User_DataProcessor访问权限。
选项D - 这些权限允许User_DataProcessor从存储桶中获取对象。
选项E - 此选项无效，因为它不是有效的IAM策略。

答案：B
说明：
选项A - AWS Lambda运行容器可能不适用，因为Lambda的执行时间限制为15分钟。
选项B - 使用ALB、ECR、ECS和Fargate组合可以提供有效的解决方案。
选项C - 使用ALB、ECR、EKS和Fargate组合也可以提供有效的解决方案，但相对于ECS，EKS更复杂。
选项D - Elastic Beanstalk依赖于ECS运行容器，但Beanstalk的配置和管理较为复杂。
https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/create_deploy_docker_ecs.html

答案：B
说明：
选项A - 当最近的区域是应用程序的备份区域时，客户端会收到错误。
选项B - 此选项实现了主动-被动策略：当健康检查失败时，Route 53将解析到备份区域，Lambda函数将确保备份区域有资源运行。
选项C - 此选项实现了主动-主动策略。
选项D - 客户端将有50%的时间收到错误。

答案：A, D, F
说明：
选项A - 使用Elastic Load Balancer（ELB）在多个EC2实例之间分配流量，并确保EC2实例位于Auto Scaling组中，最小容量为两个实例。
选项B - 没有EC2无限模式。
选项C - 没有提供故障转移的目标。
选项D - 创建Multi-AZ部署可以确保数据库在故障时保持可用。
选项E - 没有提供故障转移的目标。
选项F - 启用Multi-AZ的ElastiCache for Redis集群可以确保内存数据存储在故障时保持可用。

答案：A, E
说明：
选项A - 使用Amazon S3托管静态网页并上传自定义错误页面。
选项B - 需要大量设置。
选项C - 修改DNS记录会将所有流量重定向到公共网页。
选项D - 需要大量设置。
选项E - 配置CloudFront自定义错误页面可以在错误发生时显示自定义错误页面。

答案：B, D
说明：
选项A - 问题中没有提到多个VPC，因此Transit Gateway不相关。
选项B - 启用AWS Organizations管理账户中的资源共享。
选项C - 不需要，因为资源共享将允许其他账户在共享VPC中创建资源。
选项D - 允许基础设施团队在基础设施账户中创建资源共享，以便与其他账户共享VPC。
选项E - 不需要，因为资源共享允许其他账户在共享VPC中创建资源，而无需前缀列表。

答案：A
说明：
选项A - 创建AWS PrivateLink接口VPC端点，并将其连接到第三方SaaS应用程序提供的端点服务。创建安全组以限制对端点的访问，并将安全组与端点关联。
选项B - 如果VPC的CIDR块重叠，此选项可能无效。
选项C - 如果VPC的CIDR块重叠，此选项可能无效。
选项D - PrivateLink端点服务用于促进对AWS服务的访问，不适用于此场景。

答案：A
说明：
选项A - 使用AWS Systems Manager管理本地服务器和EC2实例的补丁，并生成补丁合规性报告。
选项B - AWS OpsWorks和Amazon QuickSight不专门用于补丁管理。
选项C - Amazon Inspector不专门用于补丁管理报告。
选项D - AWS OpsWorks和X-Ray不专门用于补丁管理。

答案：B
说明：
B - 使用脚本创建 AWS Systems Manager 文档以将日志文件复制到 Amazon S3。创建 Auto Scaling 生命周期挂钩和 Amazon EventBridge 规则以检测来自 Auto Scaling 组的生命周期事件。在 autoscaling:EC2_INSTANCE_TERMINATING 转换上调用 AWS Lambda 函数以调用 AWS Systems Manager API SendCommand 操作来运行文档以复制日志文件并将 CONTINUE 发送到 Auto Scaling 组以终止实例。此方法将使用 Auto Scaling 生命周期挂钩在实例终止之前执行将日志文件复制到 S3 的脚本，确保从终止的实例复制所有日志文件。

选项 C - 此选项不起作用，因为它不能解决问题：在 15 分钟内终止实例会导致日志文件丢失。

选项 D - 此选项可能不起作用：它不依赖 EventBridge 来检测 ASG 终止事件。这也可能会造成进一步的麻烦，因为由于发送了 ABANDON，因此不会执行任何其他操作，尽管问题中没有提到其他操作。

答案：C, E
说明：
选项A - 无法解决新VPC中的地址解析问题。
选项B - 虽然有效，但破坏了公司架构，所有DNS名称应存储在账户A的私有区域中。
选项C - 创建授权以将账户A中的私有托管区域与账户B中的新VPC关联。
选项D - 破坏了公司架构。
选项E - 在账户B中关联新VPC与账户A中的托管区域，并在账户A中删除关联授权。

答案：C
说明：
选项A - 此选项可能无效且成本较高：启用最大I/O会增加成本，且EFS对视频存储来说成本较高。
选项B - 使用实例存储卷可能会导致不一致的用户体验，且S3是更便宜的存储选项。
选项C - 使用Amazon CloudFront分发内容，将视频从EFS迁移到Amazon S3，可以缓存内容到边缘节点，减少缓冲和超时问题。S3是为高流量设计的，能够处理大量用户请求。
选项D - 将所有内容迁移到CloudFront可能会增加成本，且EFS对视频存储来说成本较高。

答案：A
说明：
选项A - 创建Direct Connect网关，删除现有连接的私有虚拟接口，创建第二个Direct Connect连接，并将两个私有虚拟接口连接到Direct Connect网关，再将网关连接到单个VPC。
选项B - 无法扩展到其他区域，且未创建冗余链接。
选项C - 使用公共虚拟接口无法连接VPC资源到本地网络。
选项D - 缺少多个步骤，且每个VPC需要自己的Transit Gateway。

答案：C
说明：
选项A - ECS减少了部分操作开销，但仍需管理基础设施。
选项B - EFS不适用于此用例，S3是更好的选择。
选项C - 使用Amazon S3托管Web应用程序和视频，通过S3事件通知触发Lambda函数调用Amazon Rekognition API进行分类，减少了操作开销。
选项D - Elastic Beanstalk简化了部署，但仍依赖EC2实例和Auto Scaling，增加了操作开销。

答案：B
说明：
选项A - 回滚所有函数会增加时间。
选项B - 使用AWS SAM和内置的AWS CodeDeploy逐步将流量转移到新版本，并使用预流量和后流量测试功能验证代码，触发CloudWatch警报时回滚。
选项C - 仅自动化当前流程，无法减少检测和回滚时间。
选项D - 切换CloudFront源需要时间，且未改进部署和测试流程。

答案：A
说明：
选项A - 使用S3 One Zone-IA存储类创建S3存储桶，并通过S3接口端点限制访问，是最便宜的解决方案。
选项B - EFS可能不是存储大量文档的便宜解决方案。
选项C - EBS Cold HDD可能不是存储大量文档的便宜解决方案。
选项D - S3 Glacier Deep Archive不能用于静态网站托管。

答案：A
说明：
选项A - 使用AWS IAM Identity Center（AWS SSO）通过SAML 2.0连接到Active Directory，并使用SCIM v2.0协议自动配置，基于属性控制访问。
选项B - 将用户身份管理和身份验证转移到IAM Identity Center，不符合公司要求。
选项C - 使用SAML 2.0身份提供者配置IAM，但不支持跨账户IAM用户。
选项D - 使用OIDC身份提供者配置IAM，但Active Directory不支持OIDC。

答案：B
说明：
选项A - 重试逻辑会增加所有客户端的重试时间，而不是仅针对少数导致问题的客户端。
选项B - 在API Gateway级别实施API限流，限制客户端的请求速率，减少错误数量，并确保客户端处理429错误。
选项C - 启用API缓存与问题无关。
选项D - 为Lambda函数设置预留并发无法解决少数客户端导致的问题。

答案：A
说明：
选项A - 使用Amazon S3 Intelligent-Tiering存储类迁移数据，并在作业运行前使用Amazon FSx for Lustre创建新文件系统，作业完成后删除文件系统。
选项B - 一个EBS卷最多只能附加到16个Nitro实例，无法满足数百个EC2实例的需求。
选项C - 批量加载会加载过多数据，成本较高。
选项D - Storage Gateway用于本地数据访问，不适合此场景。

答案：C
说明：
选项A - 为每个EC2实例创建弹性IP地址会增加管理复杂性。
选项B - 使用ECS集群的公共IP地址可能无法提供固定的IP地址用于允许列表。
选项C - 使用Network Load Balancer（NLB）暴露TCP端口，并将NLB的DNS名称分配给A记录集，提供固定的IP地址用于允许列表。
选项D - 使用Application Load Balancer（ALB）不适合TCP服务，且ECS集群的公共IP地址管理复杂。

答案：D
说明：
选项A - 可能无法在故障期间提供足够的处理能力来满足定时作业的SLA。
选项B - 在On-Demand实例故障时可能无法满足定时作业的SLA。
选项C - 使用Savings Plan不符合无需长期承诺的要求。
选项D - 在每个可用区运行3个On-Demand实例和1个Spot实例，提供足够的处理能力以满足定时作业的SLA，并保持用户作业的处理。

答案：A
说明：
选项 A - 此选项有效：此选项利用 Secrets Manager 中的自动轮换功能，可减少密钥轮换期间的运营开销，即 CloudTrail 将显示密钥已轮换

选项 B - 此选项无效：参数存储没有名为 RotationSchedule 的功能

选项 C - 此选项可能有效但会增加开销：轮换将按 90 天计划触发，但需要更多工作来验证密钥是否已轮换和测试，即 CloudTrail 日志将仅显示触发了 lambda 函数

选项 D - 此选项无效：参数存储没有名为 RotationSchedule 的功能

答案：A,C
说明：
选项 A - 此选项可能有效：REST API 可以通过 HTTPS 运行，并且可以使用集成类型 DynamoDB

选项 B - 此选项无效：HTTP API 不支持 DynamoDB 的集成类型

选项 C - 此选项有效：HTTP API 支持与 Lambda 函数的集成

选项 D - 此选项无效：Lambda@Edge 是 CloudFront 的一个函数

选项 E - 此选项无效：NLB 目标组可以定位 Lambda 函数，但是 NLB 不是无服务器解决方案（它们部署在 VPC 上）。

答案：C,E,F
说明：
A：不正确，因为
需要服务器维护，
需要手动处理扩展，
与无服务器解决方案相比，操作工作量更大，
需要管理操作系统更新和安全补丁。

B：不正确，因为
对于简单的重定向来说有点过分，
需要管理目标组，
与无服务器解决方案相比，成本更高，
设置比必要的更复杂。

C：通过创建 AWS Lambda 函数，解决方案架构师可以使用 JSON 文档查找每个域的目标 URL 并使用适当的重定向 URL 进行响应。这样，解决方案就不需要依赖 Web 服务器来处理重定向，从而减少了操作工作量。

D（具有自定义域的 API 网关） - 不正确，因为
对于简单的重定向来说，它比必要的更复杂，
额外的成本层，
需要单独的域管理，
此用例有更好的解决方案。

E：通过创建 Amazon CloudFront 分发，解决方案架构师可以部署 Lambda@Edge 函数，该函数可以查找每个域的目标 URL 并使用适当的重定向 URL 进行响应。这样，CloudFront 可以处理重定向，从而减少了操作工作量。

F：通过使用 ACM 创建 SSL 证书并将域作为主题备用名称包括在内，解决方案架构师可以确保重定向服务可以处理 HTTP 和 HTTPS 请求，这是公司所需要的。

答案：A
说明：
A：需要在组织级别（管理账户）激活标签才能用于成本分配。
管理账户级别的 AWS 成本和使用情况报告 (CUR) 可以查看所有账户的成本。
管理账户可以为整个组织生成合并账单和详细成本报告。
在组织级别配置时，基于标签的成本分配最准确。

B：单独激活成员账户中的标签效率低下。
使用 Lambda 计算成本是不必要的开销。
可能导致账户间不一致。
当组织级报告可用时，比需要的更复杂。

C：单独激活成员账户中的标签效率低下。
需要激活组织级标签才能正确分配成本。
没有充分利用 AWS Organizations 的全部功能进行整合成本管理。

D：AWS Trusted Advisor 并非为详细的成本分配报告而设计。
无法提供跨账户计费所需的详细成本明细。
没有提供 CUR 提供的准确成本分配功能。

答案：A，C
说明：
选项 A - 这是使用 AWS Resource Access Manager 与成员账户共享 transit gateway，这允许管理账户与成员账户共享资源。

选项 B - 不正确，因为
AWS Organizations 服务控制策略 (SCP) 用于权限边界和访问控制，而不是用于资源共享。
SCP 只能允许/拒绝权限；它们无法促进账户之间的资源共享。
跨账户共享资源需要 AWS RAM（资源访问管理器）。

选项 C - 这是从管理账户启动 AWS CloudFormation 堆栈集，该堆栈集会自动在成员账户中创建新的 VPC 和 VPC 中转网关附件，并使用中转网关 ID 将附件与管理账户中的中转网关关联。在新的成员账户中自动创建新的 VPC 和中转网关附件有助于简化流程并减少运营工作量。

选项 D - 不正确，因为
没有“对等中转网关附件”之类的东西 - 这个术语是错误的。
中转网关附件不使用服务链接角色进行共享。
您无法共享中转网关附件 - 您共享中转网关本身。
使用服务链接角色共享附件的概念从根本上讲是。

选项 E - 不正确，因为
AWS Service Catalog 用于创建和管理已获准使用的 IT 服务目录。
它不是为在 AWS 账户之间共享资源而设计的，也不具备这种能力。
Service Catalog 有助于在账户内部署已批准的资源，但不处理跨账户资源共享。
AWS RAM 是跨账户共享 AWS 资源的正确服务。

答案：C
说明：

a. 它没有实现强制采购经理在每个组织单位中使用共享服务帐户的要求。

b. 这将允许开发人员管理私人市场。

C. 通过在组织中的所有共享服务账户中创建一个名为采购经理角色的 IAM 角色，并将 AWSPrivateMarketplaceAdminFullAccess 托管策略添加到该角色，采购经理将拥有管理 Private Marketplace 所需的权限。然后，通过创建组织根级 SCP 以拒绝除名为采购经理角色的角色之外的所有人管理 Private Marketplace 的权限，并创建另一个组织根级 SCP 以拒绝组织中所有人创建名为采购经理角色的 IAM 角色的权限，公司可以将 Private Marketplace 管理访问权限限制为仅限采购经理。

D. 将采购经理角色放置在具有完全 Private Marketplace 管理员访问权限的开发人员账户中会增加管理不善的风险。此外，仅将 SCP 应用于共享服务账户并不能充分限制整个组织的访问权限。

答案：B
说明：
选项 A - 为每个 AWS 服务创建显式拒绝语句是不切实际且难以管理的，因为有数百个 AWS 服务需要单独拒绝，这使得策略极其冗长且难以维护。此外，随着新 AWS 服务的发布，这种方法需要不断更新。
选项 B - 从开发人员账户的 OU 中删除 FullAWSAccess SCP 是正确的解决方案，因为 AWS Organizations 默认应用此 SCP，目前允许开发人员访问所有服务。通过删除它，自定义策略将成为唯一有效的策略，有效地将访问限制在 EC2、S3 和 DynamoDB，因为 SCP 采用默认拒绝模型。
选项 C - 修改 FullAWSAccess SCP 以明确拒绝所有服务是不可能的，因为它是一个无法编辑的 AWS 管理策略。即使可以修改，这种方法也比简单地删除策略并让自定义 SCP 处理访问限制效率低。
选项 D - 在 SCP 末尾使用通配符添加显式拒绝语句会与现有的允许语句产生冲突，甚至可能阻止允许的服务（EC2、S3 和 DynamoDB）。这种方法可能会导致意外行为，不是实施服务限制的推荐方法。

答案：B
说明：

选项 A - 创建单独的 AWS Lambda 函数并使用 API Gateway 是具有最少运营开销的最佳解决方案，因为它提供了真正的无服务器架构，可以根据需求自动扩展、消除服务器管理，并且只对实际使用量收费。此外，API Gateway 会自动处理所有路由和 Lambda 管理，同时提供内置功能，如限制、缓存和安全。

选项 B - 使用带有容器化 API 的 Amazon EKS 需要大量的运营开销，因为团队需要管理 EKS 集群和运行容器的 EC2 实例、处理容器编排、管理 Kubernetes 入口控制器以及处理集群升级和维护。虽然此解决方案可以提供可扩展性，但它会为该用例带来不必要的复杂性。

选项 C - 创建 Auto Scaling 组并将 Lambda 更新到 Route 53 并不是最理想的，因为它需要管理 EC2 实例、配置适当的扩展策略以及维护自定义 Lambda 函数来更新 DNS 记录。这种方法在扩展时会引入 DNS 传播的潜在延迟，并且需要更多的操作工作来维护 Auto Scaling 配置和 Lambda 函数。

选项 D - 使用具有私有子网中 EC2 实例的应用程序负载均衡器将提供基本的可扩展性，但仍需要管理 EC2 实例，并且不会像无服务器解决方案那样自动高效地处理变化的负载。虽然这比当前设置更安全，但它并没有以最小的运营开销满足动态扩展的基本需求。

答案：B

说明：

选项 A - 使用 AWS Storage Gateway 的文件网关选项并不是最佳解决方案，因为它主要设计用于混合存储而不是数据迁移。虽然它可以工作，但它需要替换现有的文件服务器基础设施，这对于此用例来说不是必需的，并且可能会导致不必要的中断。

选项 B - 这是正确的解决方案，因为 DataSync 专为数据迁移而设计，可以有效地将数据传输到 FSx，这对 Windows 工作负载来说是理想的。DataSync 可以通过 Direct Connect 高效处理每天 5 GB 的传输，而 FSx 提供了迁移的 Windows 工作负载所需的本机 Windows 文件系统兼容性。

选项 C - 这是不正确的，因为 AWS Data Pipeline 不是为文件系统复制任务而设计的。它更适合在不同的 AWS 计算和存储服务之间处理和移动数据。此外，EFS 使用 NFS 协议，这对基于 Windows 的工作负载来说并不理想。

选项 D - 虽然 AWS DataSync 是适合数据迁移的服务，但将其与 Amazon EFS 一起使用是不正确的，因为 EFS 使用 NFS 协议，而该协议对于 Windows 工作负载来说并不是最佳的。由于该公司正在运行基于 Windows 的工作负载，因此 Amazon FSx 将是更合适的存储目标。

答案：C

说明：
选项 A - 虽然这种方法跨区域分配流量，但它要求应用程序写入两个存储桶，从而显著增加复杂性和运营开销。应用程序现在必须处理写入两个位置时可能出现的不一致和故障。Route 53 中的加权路由有利于流量分配，但本身并不能解决数据复制问题。

选项 B - 使用 Lambda 复制对象增加了另一层管理层。您需要监控 Lambda 函数，处理复制过程中的潜在错误，并确保 Lambda 函数适当扩展。虽然 CloudFront 和源组是一个好主意，但 Lambda 的复制方法会带来不必要的运营开销。

选项 C - S3 跨区域复制 (CRR) 或同区域复制 (SRR) 是专门为此目的而设计的。它会自动异步复制存储桶之间的对象，从而最大限度地降低运营开销。将其与 CloudFront 和源组相结合，可同时提供对静态资产的冗余和低延迟访问。如果主存储桶不可用，CloudFront 会自动故障转移到辅助存储桶。此解决方案需要的手动干预和管理最少。

选项 D - 虽然复制使用正确，但此选项需要在故障转移期间更改应用程序代码。这意味着在更新和重新部署应用程序时需要手动干预和停机。目标是最大限度地减少运营开销，而要求更改代码以进行故障转移则违背了这一目的。CloudFront 的源组功能会自动处理故障转移，使这种手动方法变得不必要且更加复杂。

答案：B

说明：
选项 A - Elastic Beanstalk 适用，但 NLB 不如 ALB 适合 HTTP/HTTPS 流量。多可用区 RDS 不错，但 Aurora 提供更好的性能和可扩展性。
选项 B - CloudFormation 提供基础设施即代码。ALB 非常适合 Web 流量。具有保留策略的 Aurora 多可用区非常适合 HA 和数据保留。跨越三个可用区也是一种很好的做法。
选项 C - 多区域部署增加了复杂性。地理邻近路由不如加权路由适合故障转移。跨区域读取副本适合读取扩展，但不适用于主数据库。
选项 D - Spot 实例具有成本效益，但可能会中断，从而影响可用性。快照删除策略对生产数据库有风险。对于这种场景，ECS 的管理比 EC2 Auto Scaling 更复杂。

答案：C

说明：
选项 A - 在单个成员账户中创建堆栈集无法扩展到整个组织进行管理。偏差检测很有用，但不是核心部署方法。
选项 B - 自助服务权限需要在每个账户中手动设置。自动部署不是 StackSets 功能。
选项 C - 使用服务管理权限在管理账户中创建堆栈集并部署到组织是集中管理的正确方法。
选项 D - 直接创建堆栈不是 StackSets 方法。偏差检测是一项单独的功能。

答案：A、D、E

说明：
选项 A - AWS Application Discovery Agent 捕获所需的详细信息（系统配置、性能、流程、网络连接）。
选项 B - Systems Manager Agent 提供运营管理，而不是用于迁移的详细应用程序发现。
选项 C - Application Manager 帮助在应用程序进入 AWS 后对其进行管理，而不是用于初始发现和分组以进行迁移。
选项 D - AWS Migration Hub 有助于将服务器分组到应用程序中进行迁移。
选项 E - Migration Hub 生成实例类型建议和成本估算。
选项 F - Trusted Advisor 提供成本优化建议，但并非专门针对基于发现的本地工作负载特征的实例类型。它不会以此处所需的方式导入服务器大小数据。

答案：C

说明：
选项 A - NAT 实例需要管理，并且可用性低于 NAT 网关。它们也不是一个经济高效的解决方案。
选项 B - 将 EC2 实例移动到公共子网会损害安全性。
选项 C - S3 网关端点将流量保持在 AWS 网络内，从而降低数据传输成本并提高安全性。这是最具成本效益和安全性的选项。
选项 D - EFS 是一个文件系统，而不是对象存储。将图像移动到 EFS 可能会*更昂贵*，并且不一定会降低从 S3 传输数据的成本（这是这里的主要成本驱动因素）。它还增加了操作复杂性。

答案：A

说明：
选项 A - Application Auto Scaling 在高峰期扩展容量，预留容量覆盖一致的平均负载。这是波动工作负载最具成本效益的方法。
选项 B - 即使有峰值，按需模式对于一致负载来说也很昂贵。它更适合不可预测的流量。
选项 C - DAX 缓存读取，但工作负载写入繁重。减少读取容量不会显著影响成本。
选项 D - DAX 对写入繁重的工作负载无效。按需模式对平均负载也不具成本效益。

答案：D

说明：
选项 A - 建议使用 AWS Lambda，其最大执行时间为 15 分钟。

选项 B - 建议为队列中的每条消息创建一个新的 EC2 实例，这不具成本效益。

选项 C - 建议使用 Amazon EFS，这不是长期存储大文件的合适选项。

选项 D - 此选项建议使用 Amazon SQS 创建队列，配置现有 Web 服务器以发布到新队列，并使用 EC2 Auto Scaling 组中的 EC2 实例从队列中提取请求并处理文件。EC2 实例可以根据 SQS 队列长度进行扩展，从而确保资源在高峰使用时间可用，并在非高峰时间降低成本。

答案：B

说明：
选项 A - UltraWarm 适用于只读数据，但 Glacier Deep Archive 对于初始加载来说太慢了。在加载期间转换到 Glacier 会增加复杂性和成本。
选项 B - 减少数据节点并在活跃月份使用 UltraWarm 是具有成本效益的。通过生命周期策略在月份之后转换到 Glacier Deep Archive 是最具成本效益的长期存储解决方案。
选项 C - 冷存储是另一种选择，但与简单地使用生命周期策略迁移到 Glacier 相比，从 UltraWarm 转换到冷存储会增加复杂性和成本。从 S3 中删除数据对于合规性来说不是一个好主意。
选项 D - 对于这种用例，实例支持的数据节点通常比 UltraWarm 更昂贵。Glacier Deep Archive 对于初始加载来说太慢了。

答案：D

说明：
选项 A - 修改 EventBridge 规则并添加 Lambda 函数会增加运营开销。它也不会*阻止*规则的创建，而是在创建后进行补救。
选项 B - 托管规则有帮助，但 SCP 更具预防性。配置规则在大规模管理上也比 SCP 更复杂。
选项 C - 仅当操作不是 0.0.0.0/0 时才允许该操作。这实际上阻止了所有访问，限制性太强。
选项 D - SCP 提供集中控制并首先防止创建有问题的规则，这是最安全且操作密集程度最低的方法。

答案：B

说明：
选项 A - 对于单个函数，Lambda 函数 URL 比 API Gateway 更简单，但管理多个 webhook 的许多单个 URL 变得复杂。
选项 B - API Gateway 为所有 webhook 提供单一入口点，将请求路由到单个 Lambda 函数。这是最具可扩展性和可管理性的无服务器方法。
选项 C - App Runner 是无服务器的，但它仍然涉及管理服务。对于像这样的事件驱动架构，API Gateway + Lambda 更灵活，通常更具成本效益。
选项 D - ECS Fargate 是一种容器编排服务，而不是像 Lambda 那样的无服务器。与 API Gateway + Lambda 相比，它增加了运营开销。

答案：D

说明：
选项 A - Agentless Discovery Connector 用于*依赖关系映射*，而不是详细的服务器指标，如 CPU 详细信息、RAM 使用情况、操作系统信息和正在运行的进程。数据探索和 Glue/S3 Select 不是此类分析的合适工具。
选项 B - 仅导出 VM 性能信息不足以满足要求。直接导入和手动更新 Migration Hub 无法扩展到 1,000 台服务器。
选项 C - 对于 1,000 台服务器，编写脚本和使用 CLI 很复杂。Migration Hub 不是为查询详细的服务器指标而设计的。
选项 D - AWS Application Discovery Agent 旨在捕获必要的详细信息（CPU、RAM、OS、进程）。数据探索和 Athena 提供查询和分析功能。这是最完整且可扩展的解决方案。

答案：A

说明：
选项 A - 具有弹性 IP 的 NAT 网关为来自私有子网中资源的出站互联网流量提供静态公共 IP 地址，从而满足要求。
选项 B - 仅出口互联网网关适用于 IPv6 流量，而不是 IPv4。外部提供商需要 IPv4 地址。
选项 C - VPC 中的 Lambda 函数不直接使用互联网网关。当在私有子网中时，它们需要 NAT 网关或 NAT 实例来进行出站互联网访问。
选项 D - 虽然互联网网关对于一般互联网访问是必需的，但私有子网中的 Lambda 函数并不直接使用它。它们需要 NAT 网关来获取静态公共 IP。

答案：B、D

说明：
选项 A - 在这种情况下，使用 Aurora 数据库的集群终端节点而不是读取器终端节点不会帮助提高性能，因为解决方案架构师已经在使用读取副本来卸载主实例的读取流量。
选项 B - 使用 RDS Proxy 设置到 Aurora 数据库读取器终端节点的连接池可以通过减少打开到数据库的连接数量来帮助提高应用程序的性能。RDS Proxy 管理连接池并将传入连接路由到可用的读取副本，这有助于连接管理并减少需要打开和关闭的连接数量。
选项 C - 在这种情况下，使用 Lambda 预置并发功能不会帮助提高性能，因为问题与数据库的连接数量有关，而不是运行 Lambda 函数的实例数量。
选项 D - 将用于在 Lambda 函数中打开数据库连接的代码移到事件处理程序之外，可以通过允许在多个请求之间重复使用数据库连接来帮助提高应用程序的性能。这样就无需为每个请求打开和关闭新连接，而这既耗时又耗资源。
选项 E - 在这种情况下，将 API 网关终端节点更改为边缘优化终端节点不会帮助提高性能，因为问题与数据库的连接数有关，而不是 API 网关终端节点的位置。

答案：C

说明：
选项 A - AWS 证书管理器 (ACM) 不支持导出 SSL 证书。 ACM 证书只能与 ALB 等 AWS 服务一起使用，不能直接安装在 EC2 实例上。

选项 B - CloudFront 无法直接将流量路由到 EC2 目标组。它需要 ALB、S3 或 HTTP 终端节点等源。此设置不能确保端到端加密。

选项 C - ACM 为 ALB 提供 SSL 证书，而第三方 SSL 证书安装在 EC2 实例上，确保端到端加密（客户端 → ALB → EC2）。ALB 侦听端口 443 并通过端口 443 将流量安全地转发到 EC2。

选项 D - 网络负载均衡器 (NLB) 不支持 AWS ACM 证书，因此 SSL 终止需要 NLB 和 EC2 实例上的第三方证书。虽然这实现了加密，但与基于 ALB 的解决方案相比，它增加了不必要的复杂性。

答案：C

说明：
选项 A - 对于此工作负载，无需将 NLB 与 Lambda 结合使用。NLB 通常用于 TCP/UDP 流量，而 ALB 更适合基于 HTTP 的应用程序。此外，Aurora 副本用于读取可扩展性，而不是主要写入操作。

选项 B - 虽然 AWS DMS 用于持续复制，并且 ALB 后面的 EC2 实例用于收集端点，但此选项未提及 RDS Proxy，这将有助于管理数据库连接并防止因连接耗尽而导致故障。

选项 C - AWS DMS 确保迁移期间的停机时间最短。Aurora Replica 卸载读取查询，提高聚合作业的性能。RDS Proxy 高效管理数据库连接，防止数据提取过程中出现故障。在 ALB 后面使用 Lambda 可简化管理并自动扩展。

选项 D - Kinesis Data Firehose 对于流式提取很有用，但对于此工作负载而言并非必需。现有系统使用 MySQL，因此引入 Kinesis 会增加不必要的复杂性，而无法解决连接管理问题。

答案：B

说明：
选项 A - SSE-S3 使用 Amazon S3 托管密钥，而不是公司安全团队管理的密钥。要求指定使用客户管理密钥，而 SSE-S3 不支持。

选项 B - 将默认加密更改为 SSE-KMS 可确保所有新对象都使用 AWS KMS 托管加密密钥，这些密钥可由公司的安全团队控制。拒绝未加密 PutObject 请求的存储桶策略可加强安全性。重新上传对象可确保现有文件符合新的加密要求。

选项 C - AWS 不支持对 GetObject 请求进行自动加密。加密发生在存储对象时，而不是检索对象时。

选项 D - “带有客户管理密钥的 AES-256”不是有效的 S3 加密选项。带有客户管理密钥的 SSE-KMS 是正确的选择。

答案：B

说明：

选项 A：该方案使用 Route 53 故障转移记录，但这可能会导致客户端的延迟增加，并影响 DNS 解析时间，因此并不是最佳方案。

选项 C：该方案未提供 ALB 的冗余，而 ALB 是应用程序的重要组件。此外，目标组不能跨区域，因此此方法不可行。

选项 D：虽然该方案可行，但其架构过于复杂。在这种情况下，CloudFront 本身已是全球服务，创建两个 CloudFront 分发不会显著提高容错能力。此外，将 CloudFront 与 AWS Global Accelerator 结合使用在此场景下没有明显优势。

选项 B（正确答案）：在另一个 AWS 区域部署 ALB、Auto Scaling 组和 EC2 实例，能够提供应用程序的冗余和故障转移能力。通过在 CloudFront 分发中为新 ALB 创建第二个源，并使用源组配置主、备源，CloudFront 可以在主源不可用时自动路由流量到备用源。这种方案能够确保应用程序的高可用性和容错能力。

答案：C

说明：

- 选项 A：该方案需要手动更新 JSON 文件，并且开发人员还需手动更新各账户的安全组规则，增加了运维开销。
- 选项 B：虽然 AWS Config 可以检查合规性，但仍然需要在每个账户手动更新安全组规则，增加了额外的管理负担。
- 选项 C（正确答案）：在传输账户中创建一个 VPC 前缀列表（VPC Prefix List），并使用 AWS Resource Access Manager (RAM) 共享给所有其他账户。这种方式能够集中管理 IP 地址范围，并避免在每个账户手动更新安全组规则。此外，AWS Config 还可以用于合规性检查，并可自动修正不合规的安全组规则，从而减少运维工作量。
- 选项 D：该方案需要手动更新传输账户中的安全组，并且在所有账户中进行嵌套安全组引用，增加了运维复杂性。

答案：B

说明：

- 选项 A：此方案需要开发一个 Lambda 函数来提取指标数据并整理成表格格式，增加了开发时间。
- 选项 B（正确答案）：选择加入 AWS Compute Optimizer，并创建一个 Lambda 函数调用 ExportLambdaFunctionRecommendations 操作，能够以最少的开发时间实现需求。此方法利用 AWS Compute Optimizer 的内置功能来提取指标数据，并自动导出为 CSV 文件存储到 S3 存储桶，减少了开发工作量。
- 选项 C：需要设置增强型基础设施指标，这会增加额外的开发时间。
- 选项 D：需要购买 AWS Business Support 计划，并使用 Trusted Advisor 控制台进行配置，增加了额外的成本和开发时间。

答案：A, C, F

说明：

A、C 和 F 是正确答案，因为它们为公司应用程序和团队提供了所需的成本报告和分析。

选项 A - 启用表示应用程序和团队的用户定义成本分配标签，允许公司将费用分配到特定的应用程序和团队。这使公司能够了解每个应用程序和团队的费用，这对于成本预测和预算非常重要。

选项 B - AWS 生成的成本分配标签是针对某些 AWS 资源自动创建的，但它没有提供所需的应用程序和团队的成本报告和分析。

选项 C - 在计费和成本管理中为每个应用程序创建一个成本类别，允许公司按应用程序对成本进行分组。这使公司更容易理解与每个应用程序相关的成本，并比较不同应用程序在一段时间内的成本。

选项 D - IAM 访问控制用于限制对计费和成本管理功能的访问，但配置它并不是满足需求的必要条件。

选项 E - 创建成本预算允许公司为其成本设定预算，并在费用超过预算时收到警报，但它没有提供所需的应用程序和团队的成本报告和分析。

选项 F - 启用成本探查器使公司能够分析时间跨度内的成本和使用情况，并创建自定义报告和预测。这对于了解与每个应用程序和团队相关的成本以及预测未来成本至关重要。

答案：B

说明：

选项 B - 在 AWS 账户中注册一块客户拥有的公共 IP 地址块。从该地址块中创建弹性 IP 地址，并将它们分配给 VPC 中的 NAT 网关。这将确保 web 应用程序在迁移后仍然可以继续调用第三方 API，通过使用分配给 NAT 网关的客户拥有的公共 IP 地址。这样可以确保第三方 API 只看到来自允许列表中的客户拥有的 IP 地址的流量。

选项 A、C 和 D 在这种情况下不适用。

答案：C

说明：

选项 C - SCP 策略允许所有操作，除了 cloudtrail。SCP 是权限边界，但它并不直接授予 IAM 用户权限。必须为每个 IAM 用户配置允许操作。SCP 并不会直接授予权限。

答案：C

说明：

选项 A - 实例需要一个具有写入 S3 权限的 IAM 角色，并且通过 Systems Manager Session Manager 访问实例。

选项 B - 需要停止实例，这会影响正在运行的应用程序。

选项 C - 使用 Amazon 数据生命周期管理器 (DLM) 对 EBS 卷进行快照可以满足要求，因为它允许在无需访问实例或其 SSH 密钥对的情况下创建卷的备份。此外，DLM 允许您安排备份按特定时间间隔执行，并使您能够将快照复制到 S3 存储桶。此方法不会影响正在运行的应用程序，因为备份是在 EBS 卷级别进行的。

选项 D - 需要停止实例并创建一个新的 EC2 实例，这会影响正在运行的应用程序。

答案：B, D, F

说明：

选项 A, C - 这些选项涉及在源账户中创建策略，但要访问数据的用户是在目标账户中的。

选项 B - B 是必要的，以便目标账户中的用户拥有访问源存储桶、列出其内容和读取对象的权限。

选项 D - D 是必要的，以便目标账户中的用户拥有访问目标存储桶、列出内容、放入对象并设置对象 ACL 的权限。

选项 E - 这是关于在源账户中运行命令，这不合适，因为这会导致目标 S3 存储桶中的复制对象仍然具有源账户权限，并且目标账户的用户将无法访问这些对象。

选项 F - F 是必要的，因为 aws s3 sync 命令需要使用目标账户中 IAM 用户的凭证来运行，这样在复制后对象将具有适当的权限，以便目标账户中的用户访问。

答案：A

说明：

选项 A - 为每个新部署的 Lambda 函数版本创建别名。使用 AWS CLI update-alias 命令和 routing-config 参数来分配负载是正确的答案，因为它满足支持金丝雀发布的要求。

选项 B - 虽然它允许金丝雀发布，但它涉及将新版本的应用程序部署到一个单独的 CloudFormation 堆栈中，这将比为 Lambda 函数的新版本创建别名更复杂且耗时。

选项 C - 虽然它允许金丝雀发布，但它涉及为每个新部署的 Lambda 函数创建一个版本，这比为 Lambda 函数创建别名更复杂且耗时。

选项 D - AWS CodeDeploy 是一个部署服务，允许你自动化代码部署到 EC2 等各种计算服务，但它不支持 AWS Lambda 上金丝雀发布的路由配置。

答案：B

说明：

选项 A、C 和 D 并没有提供与 AWS Transfer for SFTP 相同的可扩展性和可靠性。虽然将 EC2 实例放在负载均衡器后面有助于提高可用性，但它不一定能提高可扩展性，并且仍然需要公司管理 SFTP 服务器。

选项 B - 将 SFTP 服务器迁移到 AWS Transfer for SFTP 将提高 SFTP 解决方案的可靠性和可扩展性。AWS Transfer for SFTP 是一个完全托管的 SFTP 服务，使公司能够直接使用 SFTP 协议将文件传输到 Amazon S3 或从 Amazon S3 中传输文件。通过使用该服务，公司可以将 SFTP 服务器的管理工作交给 AWS，这将提供高可用性、可扩展性和安全性。然后，公司可以更新 Route 53 中的 DNS 记录 sftp.example.com，指向服务器端点主机名，确保 SFTP 服务器可通过 DNS 访问。

选项 C - 将 SFTP 服务器迁移到 AWS Storage Gateway 中的文件网关不会必然提高 SFTP 解决方案的可扩展性和可靠性，因为它仍然需要公司管理 SFTP 服务器。

答案：B

说明：

选项 A - 它使用 AWS DataSync 和 FSx for Windows File Server 来复制数据存储，但它没有保留应用程序的配置和软件设置。

选项 B - 使用 VMware vSphere 客户端将应用程序导出为 OVF 格式的映像。创建 Amazon S3 存储桶，将映像存储到目标 AWS 区域。创建并应用 VM 导入的 IAM 角色。使用 AWS CLI 运行 EC2 导入命令。这种方法允许解决方案架构师将应用程序导出为 OVF 格式的映像，从而保留软件和配置设置，然后使用 EC2 导入命令将其导入到 Amazon EC2 中。

选项 C - 它使用 AWS Storage Gateway 导出 CIFS 共享，但它没有保留应用程序的配置和软件设置。

选项 D - 它使用 AWS Systems Manager 和 AWS Backup 创建虚拟机快照，但它没有保留应用程序的配置和软件设置。

答案：A, B

说明：

选项 A - 这一步是将应用程序代码打包成容器并使其可以在 ECS 上运行。

选项 B - 这一步是将容器化应用程序运行在 Fargate 上，Fargate 是一个完全托管的容器编排服务，消除了管理底层基础设施的需要。

选项 C 和 E 不正确，因为它们没有解决 Lambda 函数超时错误的问题。AWS Step Functions 和 Amazon Elastic File System (EFS) 是分别用于协调和管理工作流与文件存储的服务，但它们不能解决 Lambda 函数超时的问题。

选项 D 不正确，因为 AWS Fargate 是一个为容器提供无服务器计算引擎的服务，可以消除对底层基础设施的管理需求。这正是公司所需要的，不需要使用 EC2 类型的 ECS 任务定义。

答案：B

说明：

选项 A - 强制性控制是由 AWS 预定义的，无法自定义。

选项 B - AWS Control Tower 提供了一组“强烈推荐的控制”，可以启用以实现治理和政策执行。其中一个控制是“加密 Amazon RDS 实例”，它可以检测未加密的 RDS DB 实例。启用此控制并将其应用于生产 OU，公司将能够强制要求在生产环境中加密 RDS 实例。

选项 C - AWS Config 不提供 RDS 实例的强制性控制。

选项 D - AWS Control Tower 不提供名为自定义 SCP 的功能，而是使用控制来管理治理。

答案：D

说明：

选项 A - 选项 A 使用 EC2 Instance Connect 提供安全且可审计的 SSH 访问实例，但需要额外的基础设施和配置。

选项 B - 选项 B 提供了对工程师运行命令的审计，但它依赖基于 IP 的安全组规则，管理起来可能比较困难，且安全性可能不如使用 IAM 角色。

选项 C - 选项 C 使用 AWS Config 和 Firewall Manager 自动修复安全组规则的变化，但仍然依赖基于 IP 的安全组规则，并且不提供对实例访问的可审计方法。

选项 D - 此策略使用 IAM 角色和 AWS Systems Manager 提供对实例的安全且可审计的 SSH 访问。将 IAM 角色附加到所有 EC2 实例，并附加 AmazonSSMManagedInstanceCore 托管策略，使实例能够由 Systems Manager 管理。然后，工程师为他们的设备安装 AWS Systems Manager Session Manager 插件，并通过 Systems Manager 的 start-session API 调用远程访问实例。此方法提供安全且可审计的访问，无需基于 IP 的安全组规则或额外的基础设施。

答案：B, C, F

说明：

选项 A - SCP 用于限制管理员可以授予 IAM 用户/角色的权限，SCP 无法设置固定的每月账户使用限制。

选项 B - 使用 AWS Budgets 为每个开发人员的账户创建固定的每月预算，作为账户创建过程的一部分。

选项 C - 创建一个 SCP，拒绝访问昂贵的服务和组件。将 SCP 应用于开发人员账户。

选项 D - 它可能有效，但相比 SCP，它需要更多的工作。

选项 E - 预算操作不能终止所有类型的服务，实际上支持三种类型的操作：1）对 IAM 身份应用 IAM 策略，2）对 OU 应用 SCP，3）终止 EC2 和 RDS 实例。

选项 F - 创建一个 AWS Budgets 警报操作，当预算金额达到时发送 Amazon SNS 通知，并调用 AWS Lambda 函数终止所有服务。

答案：B

说明：

选项 A - 该解决方案并未共享 Aurora 数据库集群给 Target 账户，这可能导致数据不一致，因为 Source 和 Target 账户将无法共享相同的数据。

选项 B - 这是最佳解决方案，结合了 AWS Resource Access Manager (RAM) 和自动备份来将 Lambda 函数和 Aurora 数据库迁移到 Target 账户，同时最小化停机时间。在此方案中，首先从 Source 账户下载 Lambda 函数部署包，并在 Target 账户中创建新的 Lambda 函数。接着，通过 AWS RAM 将 Aurora 数据库集群共享给 Target 账户，并授权 Target 账户克隆 Aurora 数据库集群。这样，数据可以迁移到 Target 账户，同时 Source 账户仍可以使用原始 Aurora 数据库。

选项 C - 该选项没有明确说明数据如何迁移，这可能导致停机时间，因为 Source 和 Target 账户无法共享数据。

选项 D - 该选项没有明确说明如何迁移 Lambda 函数，且仅共享 Aurora 数据库的快照，可能导致数据不一致问题。

答案：A

说明：

选项 A - 这个方案利用 AWS Lambda 进行数据处理，Lambda 天然支持高可用性和可伸缩性，同时无需管理服务器，减少了长期运维开销。此外，S3 事件通知可直接触发 Lambda 处理文件，使整个流程更加高效和自动化。因此，这个方案是最具成本效益的选择。

选项 B - 该方案使用 SQS 队列并让 EC2 Auto Scaling 组轮询 SQS 进行文件处理。虽然这个方案提供了高可用性和可伸缩性，但相比 Lambda，它需要额外管理 SQS 队列和 EC2 实例，因此成本较高，管理开销更大。

选项 C - 该方案使用 EC2 运行容器并轮询 S3，但仍然需要管理 EC2 实例，无法实现无服务器架构，因此不如 Lambda 成本效益高。

选项 D - 该方案使用 AWS Fargate 运行容器，但仍需 Lambda 触发 Fargate RunTask API，这增加了系统的复杂性。此外，Fargate 按计算资源计费，相比 Lambda 可能会产生更高的成本，因此不是最具成本效益的选择。

答案：C

说明：
选项 A、B 和 D 不完全满足在 us-west-1 区域实现灾难恢复环境以及故障切换路由策略的要求，因为它们未包含必要的主动-被动故障切换配置。

- 选项 A - 在 us-east-1 和 us-west-1 之间配置了 VPC 对等连接，并且 Auto Scaling 组和 ALB 横跨两个区域的多个可用区。然而，没有明确配置故障切换路由策略，因此在 us-east-1 发生故障时，应用程序如何切换到 us-west-1 并不清楚。
- 选项 B - 在两个区域分别创建了 VPC，并在两个区域分别配置了相同的架构，但未明确配置故障切换路由策略，因此在 us-east-1 发生故障时，应用程序如何切换到 us-west-1 仍不清楚。
- 选项 C - 该选项符合高可用性和动态扩展的要求，同时在 us-west-1 区域实现了灾难恢复环境，并通过主动-被动故障切换来确保高可用性。
在此方案中，公司在 us-east-1 和 us-west-1 分别创建 VPC，并在每个 VPC 中部署 ALB 和 Auto Scaling 组。ALB 跨多个可用区，而 Auto Scaling 组在这些可用区内部署 EC2 实例，并将 Auto Scaling 组置于 ALB 之后，以支持自动扩展以满足用户流量需求。
另外，还创建了一个 Amazon Route 53 代管区域，并为每个 ALB 创建单独的记录。启用了健康检查，并配置了故障切换路由策略，从而实现主动-被动故障切换，确保应用程序的高可用性。
- 选项 D - 该选项与选项 A 类似，VPC 之间建立了对等连接，并且 Auto Scaling 组和 ALB 跨多个可用区部署在两个区域。然而，它同样缺少明确的故障切换路由策略，因此在 us-east-1 发生故障时，应用程序如何切换到 us-west-1 仍不清楚。

答案：D

说明：

选项 A，B - 仅在 AWS 组织中启用 IAM 身份中心功能是不对的。它只能是合并计费或所有功能。

选项 C - 要求是基于公司本地 Active Directory 登录用户，为此没有必要使用 AWS 管理的 AD 与本地域/目录和双向信任。AD 连接器就足够了，并且更便宜。

选项 D - 该选项首先会启用 AWS 组织中的所有功能，然后创建并配置一个 AD 连接器，以连接公司本地的 Active Directory。接着，它将配置 IAM 身份中心（AWS SSO）并将 AD 连接器设置为身份源，允许 IT 支持工作人员使用他们现有的 Active Directory 凭证访问控制台。最后，它将创建权限集并将其映射到公司 Active Directory 中的现有组。此解决方案也具有成本效益，因为它不涉及在 AWS 目录服务中创建新目录。

答案：A, D

说明：

选项 A - 启用 S3 传输加速功能，配置应用使用传输加速端点进行上传。这将提高远离 S3 存储桶的用户的上传速度，尤其是像澳大利亚这样的远程地区。

选项 B - 配置每个区域的 S3 存储桶来接收上传并使用 S3 跨区域复制将文件复制到分发 S3 存储桶，可能提高数据的持久性和可用性，但它无法解决来自澳大利亚的慢速上传问题。

选项 C - 使用 Amazon Route 53 和基于延迟的路由可以根据网络延迟将上传请求路由到最近的 S3 存储桶区域，但它不能保证更快的上传速度或更好的可靠性。

选项 D - 配置应用将视频文件拆分成多个块，使用分段上传将文件传输到 Amazon S3。这将允许应用以并行方式上传大文件，提高上传性能和可靠性。

选项 E - 在上传前为文件添加随机前缀不会提高上传性能或可靠性。

答案：B

说明：

选项 A - 使用 Aurora MySQL Serverless 不会解决问题，而且 Serverless V1 在高可用性方面表现不佳。如果你运行的是单个实例（没有只读副本），它会尝试在相同的可用区内创建一个新的数据库实例。

选项 B - RDS Proxy 除了连接池功能外，还能使应用程序在数据库故障时更加弹性。它通过自动连接到备用 DB 实例，在故障切换时保持应用程序的连接，并在检测到故障切换时将请求路由到备用实例，最大可提升 66% 的故障切换时间。

选项 C - 创建并迁移到 Aurora 集群并不是必需的，RDS Proxy 已经足够。

选项 D - 这种方法需要大量的工作，不是最简便的解决方案。

答案：C

说明：

选项 A - 设置 Amazon MQ 队列并将每个设备连接到队列，会需要大量的操作开销来管理队列，并确保每个设备能够正确地进行身份验证和连接。

选项 B 和 D，使用网络负载均衡器（NLB）与 Lambda 授权器或带有相互 TLS 证书授权器的 Amazon API Gateway HTTP API，并在 EC2 实例上运行 MQTT 经纪人，会增加比使用 AWS IoT Core 更复杂的操作开销和复杂性。

选项 C - AWS IoT Core 是一个完全托管的服务，能够实现互联网连接设备与 AWS 云之间的安全双向通信。它支持 MQTT 协议，并包括内置的设备身份验证和访问控制。通过使用 AWS IoT Core，公司可以轻松地为每个设备提供和管理 X.509 证书，并将设备与该服务连接，操作开销最小。

答案：C

说明：

这是一个有点棘手的问题。题目中有一个提示——"强制执行 IAM 角色的新限制"（注意，不是像选项 B 中提到的 IAM 策略）。首先创建一个包含批准资源的策略，并将该角色应用于工程师，将强制执行该限制。因此，C 是正确的。（B 缺少强制执行，B 是不正确的。）

C 是正确的，而 B 不正确。AWS CloudFormation 代表工程师创建、修改和删除这些资源。为了将用户与 AWS CloudFormation 服务的权限分开使用，请使用服务角色。AWS CloudFormation 使用服务角色的策略来执行调用，而不是使用用户的策略。有关更多信息，请参见 AWS CloudFormation 服务角色 [文档](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html)。

选项 B 允许工程师通过 AWS CloudFormation 以外的方法配置资源，这将违反新公司政策，从而使得难以强制执行工程师 IAM 角色的访问限制。

答案：B

说明：
最具成本效益且符合设计要求的解决方案是选项 B，即将每条传入记录存储在适当配置的 Amazon DynamoDB 表中，并配置 DynamoDB 的生存时间 (TTL) 功能，以删除超过 120 天的记录。
DynamoDB 是专为高扩展性和高性能设计的 NoSQL 键值存储服务，由 AWS 全面托管，能够轻松处理每分钟数百万条小型记录。此外，TTL 功能允许为每条记录设置过期时间，从而在指定时间后自动删除数据。

选项 A：将每条记录作为单独的 .csv 文件存储在 Amazon S3 存储桶中，不是一个好的选择，因为从 .csv 文件中检索单个记录很困难，并且可能会增加数据检索成本。
选项 C：将每条记录存储在 Amazon RDS MySQL 数据库中成本较高，因为 RDS 通常比 DynamoDB 更昂贵。此外，运行定时任务 (cron job) 来删除旧数据会带来额外的运维开销。
选项 D：以批处理方式存储数据在 S3 存储桶中效率较低，因为检索单个记录需要额外的处理和解析步骤。

答案：D

说明：
此题的关键是最高可用性 (Highest Availability)。只读副本是数据库的异步复制，而备份是一个时间点快照。在发生故障时，只读副本可以更快地提升为主数据库 (Primary DB)，相比之下，从备份恢复数据的时间更长。因此，选择使用只读副本，并在发生故障时进行提升。

选项 A：不能直接将自动备份提升为独立数据库实例（必须先恢复备份到新实例）。创建只读副本有助于高可用性，但必须明确支持跨区域复制，此选项未明确说明。
选项 B：Amazon RDS 不支持全局表 (global tables)，这个功能仅适用于 Amazon DynamoDB。此外，跨区域复制只读副本是没有意义的。
选项 C：Amazon RDS 不支持全局表，因此该选项无效。
选项 D：配置跨区域只读副本，并在发生故障时提升只读副本为主数据库实例，这是最好的高可用性解决方案。该方案还确保在发生故障后，可以创建新的只读副本来保持冗余，提高可用性。

参考资料：https://disaster-recovery.workshop.aws/en/services/databases/dynamodb/dynamo-global-table.html

答案：A

说明：

选项 A - 由于传输网关允许两个 VPC 连接到本地网络，因此此选项是正确的。
传输网关是 AWS 管理的高可用性和可扩展性区域网络传输中心，用于互连 VPC 和客户网络。AWS 传输网关 + VPN，使用传输网关 VPN 附加组件，提供了通过互联网创建 IPsec VPN 连接到传输网关的选项，如下图所示。

选项 B - 选项 B 提出了相同的功能，但以错误的方式使用了传输网关。传输网关的主要功能是作为互连点。

选项 C - 对等连接不允许边缘到边缘路由（即 VPC B 无法通过 VPC A 访问本地网络，反之亦然）。

选项 D - 选项 D 提出了修改 Site-to-Site VPN 的虚拟私有网关，以包含 VPC A 和 VPC B。然而，虚拟私有网关不能像描述的那样直接共享或拆分在两个 VPC 之间。此选项误解了 AWS 网络组件的架构及其功能。

答案：B

说明：

选项 A - 选项 A 错误，因为您不能通过 SES SMTP 使用由临时 STS 令牌（即 IAM 角色）派生的 SMTP 凭证。必须使用 IAM 用户访问密钥来派生凭证。

选项 B - https://docs.aws.amazon.com/ses/latest/dg/smtp-connect.html
STARTTLS 支持端口 25、587 和 2587。
TLSWRAPPER 支持端口 465 和 2465。

选项 C - 此选项通过 SES API 发送邮件，而应用程序只能使用 SMTP。

选项 D - 此选项通过 SES SDK（API）发送邮件，而应用程序只能使用 SMTP。

答案：A

说明：

选项 A - 为组织创建 AWS 成本和使用报告并在报告中定义标签和成本类别，将允许对已整合到一个组织中的不同公司进行详细的成本报告。通过在 Amazon Athena 中创建一个表，并基于 Athena 表创建一个 Amazon QuickSight 数据集，财务团队将能够轻松查询并生成所有公司成本的报告。然后，可以将该数据集与财务团队共享，以便他们用于报告需求。

选项 B - 该选项没有提供查询和生成所有公司成本报告的方法。

选项 C - 该选项仅提供来自 AWS 价格清单查询 API 的支出信息，而没有为不同公司提供详细的成本报告。

选项 D - 该选项仅使用 AWS 价格清单查询 API，无法提供查询和生成所有公司成本报告的方法。

答案：C，E

说明：

选项 C - 使用 Amazon Kinesis 数据流和 AWS Lambda 来摄取和处理原始数据是一个有效的解决方案，因为它允许系统弹性地处理增加的数据流量，同时降低数据库负载。Kinesis 可以处理大量流数据，Lambda 可以实时处理这些数据，减轻 API 服务器和数据库的负担。

选项 E - 将数据库层重新架构为使用 Amazon DynamoDB 替代 RDS MySQL 是一个合适的解决方案，尤其是在 IoT 场景中，DynamoDB 提供高可扩展性和低延迟的性能。DynamoDB 可以轻松应对大规模的数据写入操作，并支持自动扩展，以满足不断增加的传感器数据需求。

选项 A - 增加 MySQL 存储容量可能对提高性能有所帮助，但这只是对现有架构的改进，不能从根本上解决 API 服务器负载和数据库性能问题。

选项 B - 使用 Amazon Aurora 替代 RDS MySQL 和添加只读副本是一个有益的扩展方案，但与选项 C 和 E 结合使用可能更具成本效益和可扩展性，尤其是考虑到 IoT 的高并发数据流特性。

选项 D - 虽然 AWS X-Ray 可以帮助分析和调试应用程序问题，并添加更多 API 服务器以处理负载，但它未能解决根本的数据库写入延迟和数据处理瓶颈问题。

答案：A，C

说明：

选项 A - 启用 S3 传输加速并确保 Web 应用程序使用传输加速签名 URL，将加速文档上传到 S3 存储桶，这将有助于减少欧洲以外地区用户的延迟。

选项 B - 在 AWS Global Accelerator 中创建加速器并将其附加到 CloudFront 分发并不会帮助解决此场景中的问题，因为它只会根据用户的位置将流量路由到最优端点。

选项 C - 将 API Gateway 区域端点更改为边缘优化端点，将通过将 API Gateway 的响应缓存更接近用户，从而改善延迟。

选项 D - 在世界其他地方提供整个堆栈并使用 Aurora Serverless 集群上的全球数据库将有助于减少延迟，但实施和管理会更复杂。

选项 E - 在 Lambda 函数和 Aurora Serverless 数据库之间添加 Amazon RDS 代理不会在此场景中提供帮助，因为它仅用于改进 Amazon RDS 数据库的连接管理和负载均衡，而不适用于 Aurora Serverless 数据库。

答案：A

说明：

选项 A - Amazon S3 Intelligent-Tiering 是一种存储类别，它根据访问模式的变化自动将对象在两个访问层之间移动。频繁访问的对象存储在频繁访问层，不常访问的对象存储在不常访问层。此功能可以在不需要手动干预的情况下优化成本，特别适合这种场景，可以自动将 30 天后不常访问的对象移动到更低成本的存储层，同时仍保持毫秒级的检索可用性。

选项 B - 该方案将数据仅在 30 天后移动到 S3 Glacier Deep Archive，这仍然需要额外步骤来检索数据，因此不适合此场景。

选项 C - Amazon Elastic File System (Amazon EFS) 是一种与 Amazon EC2 实例一起使用的文件存储服务，无法为存储和检索大量数据提供具有成本效益的解决方案。

选项 D - 添加 Cache-Control: max-age 标头仅控制对象的缓存行为，并没有解决成本优化的问题。

答案：C

说明：

选项 C - Amazon S3 Storage Lens 提供了 S3 存储使用情况的详细分析。默认仪表板可以查看过去 15 个月的存储趋势，但如果需要查询到 12 个月的数据，您需要升级到高级指标。存储 Lens 能够提供有用的数据趋势信息，有助于确定适当的存储类别。

选项 A - 下载 AWS 成本和使用报告 (CUR) 可以提供详细的使用数据，但对于此任务来说，它不是最佳工具。它不能帮助分析存储类别的趋势。

选项 B - S3 存储类别分析能够提供标准存储类别和标准 IA 存储类别的建议，但无法提供详细的趋势数据分析。

选项 D - S3 访问分析器提供了对存储桶的访问权限的可见性，主要用于查找允许所有人或其他 AWS 账户访问的存储桶，而不是用于分析存储趋势。

答案：C

说明：

选项 A 和 D 都使用 AWS CloudFormation，但没有考虑到多个账户和区域的管理。选项 B 使用 AWS Organizations，但没有包括使用 CloudFormation StackSets，这对于跨多个账户和区域的部署管理是必要的。

选项 C - 使用 AWS Organizations 和 AWS CloudFormation StackSets。
AWS Organizations 允许将多个 AWS 账户作为一个实体进行管理，而 AWS CloudFormation StackSets 允许在组织中的多个账户和区域中创建、更新和删除堆栈。这种解决方案允许创建一个可以在多个账户和区域中部署的 CloudFormation 模板，并通过管理账户中的 IAM 角色和策略来管理对不同账户的访问和权限。

答案：B

说明：

选项 A - 虽然通过替换 Amazon EC2 实例来部署应用程序并恢复到之前的版本可能可以回滚更改，但它可能无法支持每小时多次的快速部署。

选项 B - 这种方法允许公司每小时多次部署更新，并在需要时迅速回滚更改。

选项 C - 更新 Amazon EC2 用户数据以从 Amazon S3 拉取最新代码，并使用 Amazon Route 53 加权路由指向新环境，可能需要更长的时间步骤，且无法像选项 B 那样快速回滚更改。

选项 D - 使用新版本的 AMI 添加实例，并通过配置的终止策略逐步淘汰所有使用先前 AMI 版本的实例，虽然这种方法可以回滚更改，但无法支持每小时多次的快速更新。

答案：B, C

说明：

选项 A - 向 EC2 实例的安全组添加入站规则只会允许来自 DB 集群的传入连接，但无法让实例连接到 DB 集群。

选项 B - 这允许实例通过默认 Aurora 端口向 DB 集群发起出站连接。

选项 C - 这允许从 EC2 实例通过默认 Aurora 端口连接到 DB 集群。

选项 D - 向 DB 集群的安全组添加出站规则只会允许 DB 集群向 EC2 实例发起出站连接，但无法让实例连接到 DB 集群。

选项 E - 向 DB 集群的安全组添加出站规则，指定 EC2 实例的安全组作为目标，并通过临时端口进行访问，只会允许 DB 集群向实例发起出站连接，但无法让实例连接到 DB 集群。

答案：B

说明：

选项 A - 选项 A 不是最具成本效益的解决方案，因为它需要在多个账户中配置预算和报告，这增加了管理每个业务单元云支出的复杂性和成本。

选项 B - 这是最具成本效益的解决方案，因为它利用组织的管理账户为所有账户设置预算和配置警报，而不必在每个账户中单独配置预算和警报。此外，在管理账户中使用 Cost Explorer 允许云治理团队查看组织中所有账户的合并支出，并为每个业务单元创建报告。这消除了访问每个单独账户以查看成本和创建报告的需求。

选项 C - 选项 C 不是最具成本效益的解决方案，因为它要求云治理团队访问每个账户中的 AWS Billing and Cost Management 控制台，为每个业务单元创建每月报告，这增加了管理每个业务单元云支出的复杂性和成本。

选项 D - 选项 D 不是最具成本效益的解决方案，因为它需要创建 AWS Lambda 函数来处理 AWS 成本和使用报告，这增加了管理每个业务单元云支出的复杂性和成本。

答案：A

说明：
- 选项 A（正确）
通过 DeletionPolicy 属性，CloudFormation 可以在堆栈被删除时保留资源，甚至在某些情况下备份资源。如果资源没有 DeletionPolicy 属性，默认情况下 CloudFormation 会删除该资源。
- DeletionPolicy: Retain 确保即使 CloudFormation 堆栈被删除，RDS 和 EBS 资源仍然存在，不会被删除。
- 相关官方文档：https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-attribute-deletionpolicy.html

- 选项 B（错误）
堆栈策略（Stack Policy）可以控制 CloudFormation 操作（如更新或删除资源），但它不会阻止最终的删除操作。如果用户删除整个 CloudFormation 堆栈，RDS 和 EBS 资源仍然可能会被删除。

- 选项 C（错误）
虽然 IAM 策略可以控制用户权限，但 "aws:cloudformation:stack-name" 只是一个标记，IAM 无法基于标签完全阻止删除操作。此外，IAM 需要明确列出每个可能的删除操作，这可能会增加管理复杂性。

- 选项 D（错误）
AWS Config 主要用于合规性检查，而不是主动阻止资源删除。即使 AWS Config 发现资源被删除，它也不能阻止删除行为，只能触发警报或审计记录。

答案：B

说明：
- 选项 B（正确）
该选项使用 Amazon CloudWatch 来分析 VPC Flow Logs**，这是 AWS 推荐的监控 NAT 网关流量的方法。
- 源地址应为公有 IP（如 198.51.100.2），目标地址应匹配私有实例所在 VPC 的前两个八位组（如 203.0）。
- 查询示例：

filter (dstAddr like '203.0' and srcAddr like '198.51.100.2')
| stats sum(bytes) as bytesTransferred by srcAddr, dstAddr
| limit 10

- 结果可用于确认 NAT 网关是否允许来自公有 IP 地址的未经请求的连接。

- 选项 A（错误）
AWS CloudTrail 主要用于跟踪 API 调用**，而 VPC Flow Logs 记录的是网络流量数据。因此，使用 CloudTrail 进行查询并不能提供准确的流量分析。

- 选项 C（错误）
该选项的过滤条件将 源地址 设置为 VPC（203.0），目标地址设置为 公有 IP（198.51.100.2）**，这与 NAT 网关的入站流量分析方向相反。

- 选项 D（错误）
该选项的查询方向与 NAT 网关的流量模式不匹配，无法正确分析 NAT 网关的入站连接情况。

答案：C

说明：

选项A - 使用 S3 Select 适用于在 S3 中过滤数据，但可能不适用于查询和分析大量数据。

选项B - Amazon Redshift Spectrum 可用于查询存储在 S3 中的数据，但相比 Amazon Athena，在查询非结构化数据方面可能成本较高。

选项C - 该方案允许使用 Amazon Athena 和 AWS Glue Data Catalog 在 S3 存储桶中查询和分析数据。Amazon Athena 是一种无服务器的交互式查询服务，可使用 SQL 分析 S3 中的数据。AWS Glue Data Catalog 是一个托管的元数据存储库，可用于存储和检索存储在 S3 中的数据表定义。结合这些服务，可以提供一种成本效益高的方式来查询和分析大量非结构化数据。此外，通过使用 S3 生命周期策略将超过 1 年的数据转换到 S3 Glacier Deep Archive，能够在降低存储成本的同时满足合规性要求。

选项D - 使用 Amazon Redshift Spectrum 和 S3 Intelligent-Tiering 可能是一个不错的解决方案，但 S3 Intelligent-Tiering 旨在根据访问模式优化存储成本，并不是最佳的合规性解决方案，因为 S3 Intelligent-Tiering 会根据访问模式自动将数据移动到其他存储类。

答案：A

说明：

选项 A - 此选项符合要求，可以在 3 周内完成数据传输，因为 Snowball Edge 设备可以快速、安全地传输大量数据。数据在传输过程中和存储时都会被加密。公司的互联网连接速度不会成为瓶颈，因为数据传输是在设备上进行的，而不是通过互联网传输。

选项 B - 选项 B 不是一个具备成本效益的解决方案，因为建立和维护 10 Gbps 的 Direct Connect 连接成本较高，尤其是仅用于一次性数据传输的情况下。

选项 C - 选项 C 不是一个具备成本效益的解决方案，因为在本地存储和 AWS 之间建立 VPN 连接需要进行复杂的网络配置和维护，并且相比使用 Snowball Edge 设备可能更昂贵。

选项 D - 选项 D 不是一个具备成本效益的解决方案，因为部署 AWS Storage Gateway 文件网关需要额外的硬件和持续的维护成本，而且对于一次性数据传输而言可能并不必要。

答案：D

说明：

选项 A —— 该选项需要大量的开发和维护工作，并且未充分利用 AWS 的托管服务，导致运营开销增加。
选项 B —— 该选项类似于 A，需要开发和维护 AI/ML 模型，并且未利用 AWS 的托管服务，因此会导致较高的运营开销。
选项 C —— 该选项与 B 类似，需要训练和托管 AI/ML 模型，增加了开发和维护工作量，同时未利用 AWS 的托管服务，运营开销较高。
选项 D —— 该解决方案满足准确表单提取、最小化上市时间和长期运营开销的要求。Amazon Textract 和 Amazon Comprehend 是完全托管的无服务器服务，可执行 OCR 并从表单中提取相关数据，无需开发自定义库或训练和托管模型。使用 AWS Step Functions 和 Lambda 可轻松自动化该过程，并根据需要进行扩展。

答案：A

说明：

- 选项 A：该解决方案使用 Web 服务器 VM 创建 AMI，并利用该 AMI 在 EC2 Auto Scaling 组中部署 Web 服务器，同时使用 ALB 提供自动扩展和高可用性。此外，使用 Amazon MQ 作为托管的消息代理服务，完全兼容 RabbitMQ，可无缝替换本地队列系统。最后，Amazon EKS 可直接托管 Kubernetes 集群，无需对应用程序进行重大更改。因此，该方案能以最低的运维开销迁移现有平台。

- 选项 B：使用自定义 AWS Lambda 运行时和 API Gateway 需要对应用程序进行大量改动，可能与当前代码不兼容。

- 选项 C：在 EC2 实例上手动安装 Kubernetes 需要额外的管理和运维工作，增加了复杂性。

- 选项 D：Amazon SQS 并非 RabbitMQ 的直接替代方案，缺少某些高级消息功能，可能无法满足订单处理平台的需求。

答案：A

说明：

- 选项 A（正确）**：解决方案架构师需要在 IAM 策略中添加 `"kms:GenerateDataKey"` 操作，以便生成用于客户端加密的数据密钥。如果没有此权限，IAM 角色将无法生成数据密钥，这将导致在尝试上传新对象时出现权限错误。

- 其他选项不正确的原因：
- `kms:GetKeyPolicy` 允许检索 CMK 的密钥策略，但这与 S3 对象的客户端加密无关。
- `kms:GetPublicKey` 允许检索 CMK 的公钥，但这与 S3 对象的客户端加密无关。
- `kms:Sign` 允许使用 CMK 对消息进行签名，但这与 S3 对象的客户端加密无关。

答案：A

说明：

- 选项 A（正确）：AWS WAF 允许创建 Web ACL 规则并将其设置为 `"Count"` 模式，在该模式下，WAF 仅统计匹配规则的请求数量，而不会真正阻止请求。这种方式可以减少误报的风险，同时确保不会影响正常流量。
1. 先将 Web ACL 规则的操作设置为 `"Count"`（仅统计请求）。
2. 启用 AWS WAF 日志功能，监控并分析请求，识别误报情况。
3. 根据分析结果优化规则，以减少误报或漏报。
4. 经过一段时间的观察和调整后，将 Web ACL 规则的操作从 `"Count"` 变更为 `"Block"`（阻止恶意流量）。

- 选项 B（错误）：仅使用基于速率的规则可能会导致误报，从而阻止合法流量。
- 选项 C（错误）：仅使用 AWS 托管规则组可能会限制 Web ACL 的灵活性和针对性，无法满足特定的安全需求。
- 选项 D（错误）：仅使用自定义规则组并将操作设置为 `"Allow"` 可能会导致安全漏洞，使恶意流量得以通过。

答案：C

说明：

- 选项 A（错误）：该方案需要在安全团队的 AWS 账户中设置 SNS 主题，并在每个 AWS 账户中部署 Lambda 函数。这增加了运维开销，因为需要在多个账户中部署和维护 SNS 主题和 Lambda 函数。
- 选项 B（错误）：该方案要求在组织内的每个 AWS 账户中创建独立的客户管理前缀列表，这会导致安全团队需要维护多个前缀列表，增加运维复杂性。
- 选项 C（正确）：此方案通过在安全团队的 AWS 账户中创建一个集中管理的客户管理前缀列表，并使用 AWS Resource Access Manager 与组织共享，极大地减少了运维开销。各 AWS 账户的所有者仅需在其安全组中允许该前缀列表 ID，而不需要手动维护 IP 变更。该方案简化了管理流程，并避免了手动通知每个账户所有者的额外工作量。
- 选项 D（错误）：该方案需要在每个账户中创建 IAM 角色，并允许安全团队的 Lambda 函数假设这些角色进行安全组管理。这会增加 IAM 角色的创建和维护成本，并增加 Lambda 调用的复杂性，因此运维开销较高。

答案：A

说明：

选项 A - 这是分离第三方服务调用并确保最终完成所有调用的良好解决方案。SQS 是一种完全托管、可靠且高度可扩展的消息队列服务，允许应用程序在分布式组件之间发送、存储和接收消息。通过将第三方服务调用发送到 SQS 队列，它允许应用程序继续处理而无需等待第三方服务响应，从而可以缩短响应时间并降低错误率。
其他选项（如 AWS Step Functions 状态机、Amazon EventBridge 和 Amazon Simple Notification Service (SNS) 主题）不适用于此用例。AWS Step Functions 是一种服务，它使用可视化工作流轻松协调分布式应用程序和微服务的组件。Amazon EventBridge 是一种无服务器事件总线，可以使用来自您自己的应用程序、集成的 SaaS 应用程序和 AWS 服务的数据轻松地将应用程序连接在一起。Amazon SNS 是一种完全托管的消息传递服务，用于应用程序到应用程序和应用程序到人 (A2P) 通信。这些服务并不专注于提供消息队列，并且不太适合这种用例。

答案：D

说明：

选项 A - 不正确，因为它会造成不必要的数据重复并增加存储成本。

选项 B - 不正确，因为它没有提供在账户之间共享 KMS 密钥的安全方式，而且会造成不必要的数据重复并增加存储成本。

选项 C - 不正确，因为销售团队的 S3 存储桶位于不同的账户中，因此营销团队无法更新销售团队 S3 存储桶上的策略。

选项 D - 此解决方案通过允许营销团队通过承担 IAM 角色来访问销售账户中 S3 存储桶中的数据，从而满足要求，从而无需复制数据或共享 KMS 密钥，也无需修改 S3 存储桶策略或创建 KMS 授权。此解决方案允许使用相同的存储桶访问权限，而无需复制数据并重新加密。

答案：C

说明：

选项 A - 虽然 Amazon RDS for MySQL 支持 SQL Server 数据库，但它并不适合迁移业务关键型应用程序。数据模型和架构不同，需要进行大量重新设计。

选项 B - AWS Snowball Edge Storage Optimized 设备用于向 AWS 传输大量数据和从 AWS 传输大量数据，但它们不支持 SQL Server。

选项 C - AWS Schema Conversion Tool (SCT) 可以自动将数据库架构从 Microsoft SQL Server 转换为 Amazon RDS for MySQL。这样就可以顺利过渡数据库架构，而无需任何人工干预。然后，可以使用 AWS DMS 将数据从本地数据库迁移到新创建的 Amazon RDS for MySQL 实例。此服务可以执行一次性数据迁移，也可以设置数据更改的持续复制，以使本地数据库和 AWS 数据库保持同步。

选项 D - AWS DataSync 只能传输文件和文件夹，不支持 SQL Server 数据库。

答案：A、C、E

说明：

选项 A - 它允许设计团队上传和更新生产账户中 S3 存储桶中的静态资产。

选项 B - 设计团队需要访问生产账户中的 S3 存储桶，而不是开发账户。

选项 C - 允许开发账户中的设计团队承担角色并访问生产账户中的 S3 存储桶，同时限制他们只能访问策略中定义的特定资源和操作。

选项 D - 设计团队需要在生产账户中承担角色才能访问 S3 存储桶，而不是在开发账户中创建角色。

选项 E - 允许组中的用户承担在生产账户中创建的角色，这使他们能够访问生产账户中的 S3 存储桶。

选项 F - 设计团队需要在生产账户中承担角色才能访问 S3 存储桶，而不是开发账户。

答案：C

说明：
您可以通过编辑环境的配置将环境类型更改为单实例或负载平衡、可扩展的环境。

选项 A - 您不需要创建新的应用程序（相反，您可以在现有应用程序中创建新的环境）

选项 B - 流量拆分用于部署应用程序的新版本，而不是扩展

选项 D - 重建不允许更改环境配置

答案：B

说明：

选项 A - 选项 A 可能有帮助，但不足以处理重负载，选项 C 和 D 不是有效的解决方案

选项 B - 这是最佳解决方案，因为将数据库迁移到 Amazon RDS 将能够轻松扩展读取副本以处理月底增加的读取流量。此外，RDS 将管理底层基础设施并提供自动备份、软件修补和监控，这将减少公司的运营开销。

答案：A

说明：

选项 A - 此选项允许公司使用应用程序负载均衡器 (ALB) 与应用程序交互，并使用 ECS 任务执行角色权限访问 ECR 映像存储库。

选项 B - 选项 B 需要将应用程序代码迁移到在 AWS Lambda 中运行的容器，这将需要更多代码更改。

选项 C - 选项 C 需要将应用程序迁移到 Amazon Elastic Kubernetes Service (Amazon EKS)，这将需要更多管理开销。

选项 D - 选项 D 需要配置 Lambda 以使用应用程序负载均衡器 (ALB)，这不是 Lambda 的原生功能。

答案：D

说明：

选项 A - 它仅在 us-west-2 中创建一个额外的 API 网关终端节点，并依靠 Route 53 的故障转移路由策略将流量引导到正确的终端节点。但它不会将 Lambda 函数部署到新区域，这会导致故障转移不完整。

选项 B - 它使用 SQS 队列作为 API 网关和 Lambda 函数之间的缓冲区，但这不提供到其他区域的故障转移。此外，由于 SQS 将充当附加层，因此它还会增加系统的延迟。

选项 C - 它将 Lambda 函数部署到 us-west-2 区域，并在同一区域创建 API 网关端点。但它使用 AWS Global Accelerator 和应用程序负载均衡器来管理两个 API 网关端点之间的流量。但是，这不是故障转移解决方案，因为两个区域都将同时处于活动状态并提供流量。

选项 D - 此解决方案通过在不同区域中拥有 Lambda 函数和 API 网关端点的副本，并使用 Route 53 的故障转移路由策略在两个区域之间路由流量，满足了故障转移到另一个区域的要求。

答案：C

说明：

选项 C - 管理账户 --> 账单仪表板 --> 账单偏好设置，此选项用于选择启用/禁用 RI 折扣共享。使用组织的管理账户 10 关闭人力资源部门生产 AWS 账户的 RI 共享。

答案：D

说明：

选项 A - 暂停 HealthCheck 扩展过程不会阻止实例被终止。

选项 B - 启用 EC2 实例终止保护不会阻止实例被 Auto Scaling 组终止。

选项 C - 将 Auto Scaling 组上的终止策略设置为 OldestInstance 不会阻止标记为不健康的实例被终止。

选项 D - 禁用健康检查不会让 SA 知道哪个实例不健康。这将允许架构师使用会话管理器登录实例并解决问题，而不会失去对实例的访问权限。

答案：A

说明：

选项 A - 此解决方案允许以最小的运营开销轻松管理跨多个账户的 AWS WAF 规则。

选项 B - 选项 B 不符合能够根据需要从托管 AWS WAF 规则集中添加或删除账户或 OU 的要求。

选项 C - 选项 C 不是最佳方法，因为它需要手动配置跨账户 IAM 角色并在 Lambda 函数中承担角色调用，从而增加了运营开销。

选项 D - 选项 D 不符合提供集中管理控制台来管理跨多个账户的 WAF 规则的要求。

答案：A

说明：

选项 A - 正如其他成员所说，D 并未解决“数据不得通过互联网传输”的问题

选项 B - 您需要 VPC 端点。

选项 C - 您无法在参数存储中启用轮换

选项 D - 您需要 VPC 端点。

答案：C

说明：

选项 A - 在 AWS Config 中创建所需实例类型托管规则不是一个足够的解决方案，因为它仅识别何时以未经授权的类型启动实例，而不会阻止它。

选项 B - 创建指定允许的实例类型的启动模板不是一个足够的解决方案，因为它限制了可以在 EC2 控制台中启动的实例类型，但不会阻止通过 AWS SDK、AWS CLI 或其他 AWS 服务启动实例。

选项 C - 在此解决方案中，创建了一个新的 IAM 策略来指定允许的实例类型。然后将此策略附加到包含开发人员的 IAM 帐户的 IAM 组。这将确保开发人员只能启动指定类型的实例，从而限制与创建和终止大型实例相关的成本。

选项 D - 使用 EC2 Image Builder 为开发人员创建映像管道并协助他们创建黄金映像并不是限制只有开发人员可以启动的实例类型的问题的直接解决方案。它对于为开发人员创建标准化映像很有用，但它没有提供限制实例类型的必要控制机制。

答案：A、B、E

说明：
如果添加了配置规则 (A)，则可以在 AWS Config 聚合器 (E) 中看到它，此处使用 aws 组织中的 SCP。
选项 A - 在每个账户中创建 AWS Config 规则以查找缺少标签的资源。通过在每个账户中创建 AWS Config 规则，您可以检查资源是否缺少标签或标签是否不符合组织的标准。您还可以使用 AWS Config 通过应用标签自动修复不合规的资源。这有助于确保正确标记资源以进行成本分配。

选项 B - 如果缺少 Project 标签，则在组织中创建一个 SCP，并对 ec2:RunInstances 执行拒绝操作。
通过在组织中创建服务控制策略 (SCP)，您可以对没有所需 Project 标签的 EC2 实例强制执行拒绝操作。这可以防止用户启动未正确标记的实例，并确保新实例被正确标记以进行成本分配。

选项 E - 为组织创建 AWS Config 聚合器，以收集缺少项目标签的 EC2 实例列表。
通过创建 AWS Config 聚合器，您可以收集组织中多个账户中缺少所需项目标签的 EC2 实例列表。这可以帮助您识别需要正确标记以进行成本分配的实例。

答案：A、D

说明：

选项 A - Amazon Kinesis Data Firehose (A) 允许您通过两种方式缓冲事件：通过缓冲大小或缓冲时间。使用缓冲大小，您可以配置缓冲区的最大大小（以 MB 为单位）或缓冲区中的最大记录数。缓冲区已满后，它将自动将数据传送到目标

选项 D - Amazon ES (D) 能够实时从各种来源接收事件。 Amazon ES 可以从各种来源提取数据，例如 Amazon Kinesis Data Firehose、Amazon CloudWatch Logs 和 Amazon S3，使其成为希望分析和可视化实时流数据的组织的强大工具。（Kibana 仪表板）

选项 B 包括使用 Amazon Kinesis 数据流来缓冲事件，这是流数据用例的有效解决方案。但是，与使用完全托管的服务 Amazon Kinesis Data Firehose 相比，它需要更多的持续管理。此外，使用 Amazon Kinesis Data Firehose 使公司能够利用内置的数据转换和处理功能，从而减少实施解决方案所需的代码量。因此，我选择了选项 A 而不是选项 B，因为它更好地满足了最小化操作复杂性的要求。

答案：D

说明：
VPC 终端节点可减轻 NAT 网关巨大的数据传输成本，尤其是在传递大量数据的 Kinesis 用例中。
使用 VPC 终端节点策略，您可以定义规则来控制对 VPC 终端节点的访问。您可以指定允许访问终端节点的源 IP 地址或 IP 地址范围，以及允许的流量类型，例如 HTTP、HTTPS 或自定义 TCP 端口。您还可以指定可以通过 VPC 终端节点访问的资源，例如 Amazon S3 存储桶或 Amazon DynamoDB 表。

答案：D

说明：

选项 A - A 是错误的，因为私有 VIF 不适合问题中提到的配置。如果您使用的是单个 DX 网关，则公共 VIF 是正确的（中转公共 VIF）。

选项 B - B 是错误的，因为它说两个 DX 网关相互矛盾

选项 C - C 是错误的，因为它说配置 DXG 来路由流量。事实上，中转网关对等需要在每个区域的两个中转网关之间进行。

选项 D - 请参阅下图，其中详细解释了中转 VIF 和公共 VIF 的使用。还证明了对等传输网关以允许跨区域路由的必要性。
https://docs.aws.amazon.com/images/whitepapers/latest/hybrid-connectivity/images/dx-dxgw-transit-gateway-multi-region-public-vif.png
使用跨区域路由的唯一选项是 A 和 D。选项 A 提到使用私有 VIF 而不是 Transit VIF。因此 A 是不正确的。

答案：A、D、E

说明：
Event Bus (EventBridge) 系统接收事件通知（选项 A）。Step Function 可以通过执行诸如删除访问权限和发送电子邮件等步骤的工作流来触发。（选项 D、E）

EventBridge 使您能够创建与来自不同来源的事件相匹配的事件规则，例如 AWS 服务、SaaS 应用程序、自定义应用程序和其他 AWS 账户。触发事件规则后，EventBridge 可以将事件路由到一个或多个目标，例如 AWS Lambda 函数、Amazon SNS 主题、Amazon SQS 队列或自定义 HTTP 端点。

AWS Step Functions 支持多种 AWS 服务，例如 AWS Lambda、Amazon Simple Notification Service (SNS) 和 Amazon Simple Queue Service (SQS)。您可以使用这些服务触发操作并在状态机中的步骤之间传递数据。

Pinpoint 是聊天系统，这个问题没有问，F 是错误的。不是 C as。

答案：A、C、D

说明：

选项 A - 使用 AWS Control Tower 部署登陆区环境并在 AWS Organizations 中的组织中注册账户，可以集中管理对所有账户和应用程序的访问。

选项 B - 在所有账户中启用 AWS Security Hub 以管理跨账户访问并通过 AWS CloudTrail 收集结果以强制 MFA 登录不足以满足为开发、暂存、生产和共享网络创建单独账户的要求。它可以与其他步骤一起使用，但不能作为独立解决方案。

选项 C - 在每个账户中创建传输网关和传输网关 VPC 附件并配置适当的路由表，以允许私有网络流量，并确保生产账户和共享网络账户与所有账户都有连接，而开发和暂存账户只能相互访问。

选项 D - 设置和启用 AWS IAM Identity Center（AW​​S Single Sign-On）并为现有账户创建具有所需 MFA 的适当权限集，允许在登录时进行多因素身份验证并为用户组分配特定角色。

选项 E - 在所有账户中启用 AWS Control Tower 以管理账户之间的路由并通过 AWS CloudTrail 收集结果以强制 MFA 登录，这不足以满足为开发、暂存、生产和共享网络创建单独账户的要求。它可以与其他步骤一起使用，但不能作为独立解决方案。

选项 F - 创建 IAM 用户和组并为所有用户配置 MFA，并设置 Amazon Cognito 用户池和身份池来管理对账户和账户之间的访问，这无法满足为开发、准备、生产和共享网络创建单独账户的要求。此外，它也无法满足将流量保持在私有网络上的要求。

答案：B

说明：

选项 A - 选项 A 要求每天停止和启动一次实例，这可能导致实例在使用时停止，或在不使用时不停止。

选项 B - 此方法允许在非工作时间停止未使用的实例，从而降低运行这些实例的相关成本。它还允许在开发和测试团队需要使用实例时在早上重新启动它们。

选项 C - 选项 C 将在非工作时间终止实例，并在早上再次恢复它们，这可能会导致数据丢失或启动时间延长。

选项 D - 选项 D 每小时终止或恢复实例，这可能会导致不必要的成本以及数据丢失或启动时间延长。

答案：C

说明：

选项 A - 错误消息与 Lambda 函数达到并发限制无关。

选项 B - 错误消息与 Lambda 函数达到并发区域限制无关。

选项 C - 该公司已达到其 API Gateway 账户每秒调用次数限制。这是因为 Amazon API Gateway 的默认账户级限制为每秒 10,000 个请求 (RPS)，默认每个方法限制为 5,000 RPS。如果该公司的高级客户在所有 API 方法和区域中每秒总共发出超过 10,000 个请求，他们将收到 429 请求过多的错误消息。这表明 API Gateway 账户已达到其容量限制，并且未调用 Lambda 函数，因为 API Gateway 在请求到达 Lambda 函数之前阻止了这些请求。

选项 D - 错误消息与公司达到其 API 网关默认的每秒每个方法调用限制无关，但与账户级别限制有关。

答案：A

说明：

选项 A - IOT Core 通信支持协议 MQTT、HTTPS、MQTT over WSS 和 LoRaWAN（但不支持 FTP/SFTP），因此 C 应该是错误的。
规则引擎：AWS IoT Core 提供了一个规则引擎，允许用户在其 IoT 设备生成的数据上定义和执行业务逻辑。这使用户能够自动执行操作，例如根据实时数据发送通知、触发警报或更新设备设置。
与其他 AWS 服务集成：AWS IoT Core 与其他 AWS 服务（如 AWS Lambda、AWS Kinesis 和 AWS S3）集成，使用户能够轻松处理和存储其 IoT 数据，以及使用一系列 AWS 服务构建复杂的 IoT 应用程序。

选项 B 和 D 不会优化数据分析成本，因为它们分别涉及使用 AWS Fargate 和 Snowball Edge 等昂贵的服务。选项 C 不使用实时数据收集，可能不是更快分析的最佳选择。

答案：B、D、F

说明：

选项 A - 同时使用 Direct Connect 网关和中转网关是多余的。

选项 B - 在中央网络账户中创建 Direct Connect 网关和中转网关将允许公司将其本地数据中心连接到 AWS 中的资源。

选项 C - 无需配置互联网网关，因为公司希望通过其本地数据中心路由流量。

选项 D - 与其他账户共享中转网关将允许公司与多个账户中的所有 VPC 进行通信。

选项 E - 如果公司使用中转网关连接所有 VPC，则可能不需要 VPC 对等连接。

选项 F - 仅配置私有子网并在中转网关和客户网关上打开必要的路由，将允许公司通过其本地数据中心将其云资源路由到互联网。

答案：A、D

说明：

选项 A - 通过确保所有 AWS 账户都是 AWS Organizations 中组织的一部分，可以集中管理和控制账户。这可以帮助实施新的采购流程，让专门的团队能够管理和执行所有账户的策略。

B 和 C 不是正确答案，因为 AWS Config 和 IAM 策略分别用于监控和管理对账户中资源的访问。他们不强制执行购买预留实例的新流程。
E 不是正确答案，因为这与购买预留实例的新流程无关。

选项 D - 通过创建拒绝访问 ec2:PurchaseReservedInstancesOffering 和 ec2:ModifyReservedInstances 操作的 SCP（服务控制策略），它强制执行新的集中采购流程。将 SCP 附加到组织内的每个 OU（组织单位）可确保所有业务单位都遵守新流程。

答案：C、D、E

说明：
RDS 故障转移通常需要 60-120 秒，而 Aurora 故障转移在 30 秒内完成。ElastiCache 用于减少延迟，而不是用于故障转移。
RDS Proxy 与 Aurora 是故障转移时间少于“20 秒”的最佳组合...
根据本文，RDS Proxy 可以将 Aurora 的故障转移时间减少 79%，而只能将 RDS 故障转移时间减少 32%。

答案：D

说明：
选项 A 和 B 都涉及向合作伙伴公司提供凭证，这些凭证很容易被盗用，并可能导致安全漏洞。选项 C 也为合作伙伴公司提供了 IAM 角色，但它对合作伙伴公司何时何地可以访问客户帐户中的资源没有任何限制，这可能是一个安全风险。
选项 D - 客户应创建 IAM 角色并将所需的权限分配给 IAM 角色。然后，合作伙伴公司应在请求访问权限以执行所需任务时使用 IAM 角色的 Amazon 资源名称 (ARN)，包括 IAM 角色信任策略中的外部 ID。
它允许最小特权安全访问。客户应创建 IAM 角色并将所需的权限分配给 IAM 角色。然后，合作伙伴公司应使用 IAM 角色的 Amazon 资源名称 (ARN)，并在请求访问权限以执行所需任务时将外部 ID 包含在 IAM 角色的信任策略中。这可确保合作伙伴公司只能访问其所需的资源，并且只能从特定客户账户访问。

答案：D

说明：

选项 B - B 没有意义，因为 EKS 更适合复杂的编排微服务应用，我认为在这种情况下不需要它。

选项 C - 在 EC2 和 Fargate 之间，如果没有任何东西明确指向 Ec2，我会选择 Fargate（开销更少，成本更低）

选项 D - 当您使用 API 创建服务或运行任务时，必须将 run-task 和 create-service 的 enableECSManagedTags 设置为 true。

答案：A、E

说明：

选项 A - A 是正确的，因为两个 VPC 的 IPv4 CIDR 范围重叠。两个 VPC 的 IP 范围为 10.10.0.0/16 和 10.10.10.0/24，这意味着它们共享同一个 10.10.0.0 网络。这会导致路由冲突，并会阻止 VPC 相互通信。

选项 E - E 是正确的，因为对等接受者账户中的 IAM 角色没有正确的权限。角色必须具有创建、修改和删除 VPC 对等连接的权限才能建立对等连接。

B、C 和 D 不正确。VPC 位于同一区域，两个账户都可以访问互联网网关，并且两个 VPC 不通过 AWS Resource Access Manager 共享。

答案：B

说明：
访问分析器使用自动推理来分析资源策略并检测诸如过度宽松的访问或违反组织安全策略等问题。它的工作原理是检查附加到 AWS 资源（例如 S3 存储桶、IAM 角色和 KMS 密钥）的策略，并识别任何潜在的安全风险或策略违规行为。

答案：C

说明：

AWS Compute Optimize 帮助分析 AWS 资源（例如 EC2 实例和 Auto Scaling 组）的使用模式，并就如何使用机器学习算法优化它们的性能和成本提出建议。然后，它会生成可用于调整实例类型、购买选项和其他参数的建议。它提供两种类型的建议：
推荐的实例类型 - 推荐更具成本效益且更适合工作负载要求的实例类型。
推荐的购买选项 - 推荐购买选项，例如预留实例或 Savings Plans，可帮助客户节省计算资源费用。
A 是错误的。
OpsCenter 是 AWS Systems Manager 的一项功能，它提供了一个中心位置，运营工程师和 IT 专业人员可以在其中管理与 AWS 资源相关的运营工作项 (OpsItems)。OpsItem 是任何需要调查和补救的运营问题或中断。使用 OpsCenter，您可以查看有关每个 OpsItem 的上下文调查数据，包括相关的 OpsItems 和相关资源。您还可以运行 Systems Manager Automation 运行手册来解决 OpsItems。

答案：B

说明：

选项 A - 机密不是 RAM 可共享资源。但是谁能记得这个完整的列表？因此我的理由是，我希望通过 RAM 共享更多细节，例如启用 AWS Org 共享、分配权限（允许在共享资源上执行的操作）和选择外部主体。

选项 B - 正确，请参阅 https://aws.amazon.com/blogs/database/design-patterns-to-access-cross-account-secrets-stored-in-aws-secrets-manager/

选项 C - 无法跨账户访问 AWS 托管 KMS 密钥，因为您无法控制密钥策略

选项 D - SCP 只能删除权限。即使 SCP 不会阻止您访问机密，您仍然需要拥有 IAM 用户权限和/或基于资源的策略才能实际访问

答案：C、E

说明：

选项 A - 它仅限制对特定实例类型的访问，但不限制对特定区域的访问。

选项 B - 应用于 IAM 用户而不是 OU，这不会有效地将限制应用于组织中的所有资源。

选项 C - 创建 SCP。使用 aws:RequestedRegion 条件键限制对除 ap-northeast-1 之外的所有 AWS 区域的访问。将 SCP 应用于根 OU。这将确保组织中部署的所有资源都驻留在 ap-northeast-1 区域中。

选项 D - 建议使用 ec2:Region 条件键限制对除 ap-northeast-1 之外的所有 AWS 区域的访问。但是，ec2:Region 条件键不是 EC2 操作的有效条件键。相反，应该使用 aws:RequestedRegion 条件键来限制对特定 AWS 区域的访问。

选项 E - 创建 SCP。使用 ec2:InstanceType 条件键限制对特定实例类型的访问。将 SCP 应用于 DataOps OU。这将确保部署在 DataOps OU 中的 EC2 实例仅使用预定义的实例类型列表。

答案：A、C

说明：
SNS 是发布者，SQS 是订阅者。
选项 A - 将带有 Lambda 函数的 SQS 队列部署到其他区域将允许应用程序处理这些区域中的 URL 并比较站点本地化的差异。

选项 B - 将每个区域中的 SNS 主题订阅到现有区域中的 SQS 队列将不允许在其他区域中处理 URL。

选项 C - 将每个区域中的 SQS 队列订阅到现有区域中的 SNS 主题将允许应用程序将 URL 发布到现有 SNS 主题并在其他区域中处理这些 URL。

选项 D - 配置 SQS 队列以将 URL 发布到每个区域的 SNS 主题，这无法确保 URL 在这些区域得到处理。

选项 E - 将 SNS 主题和 Lambda 函数部署到没有 SQS 队列的其他区域，这不允许应用程序处理这些区域中的 URL。

答案：C

说明：

选项 A - CW Log 无法每 4 小时调用一次 lambda

选项 B - Step Function 无法每 4 小时调用一次批处理作业（除非您使用 EventBridhe 计划事件）

选项 C - 只有 eventbridge 可以运行计划任务。如果没有计划元素，我会选择 AWS Batch，因为它几乎可以加载容器并执行作业，尤其是因为它就像一个 20 分钟的作业。但是，step functions 部分对调度部分没有帮助。

选项 D - CodeDeploy 无法每 4 小时运行一次应用程序

答案：C

说明：
选项 A - 使用新表作为 DynamoDB 全局表的副本目标不会提高可靠性。选项 D 也是如此，它仅使用 S3 同区域复制，这不会降低其他区域用户的延迟。

选项 B - 使用具有变更数据捕获 (CDC) 的 AWS Database Migration Service (AWS DMS) 在 DynamoDB 表之间配置异步复制不是此用例的最佳解决方案。它需要额外的配置和管理工作。

选项 C - 选项 C 是正确的答案，因为它满足减少延迟、提高可靠性和需要最少的实施工作的要求。
通过在新区域中创建另一个 S3 存储桶并在存储桶之间配置 S3 跨区域复制，游戏资产将被复制到新区域，从而减少用户从该区域访问资产的延迟。此外，通过创建 Amazon CloudFront 分发版并配置源故障转移，每个区域中有两个源访问 S3 存储桶，可以确保即使其中一个区域不可用，游戏资产也能提供给用户。
通过启用 Amazon DynamoDB Streams 配置 DynamoDB 全局表并在新区域添加副本表，还可以通过允许在多个区域中复制和更新玩家得分来提高可靠性，确保即使发生区域故障，得分也可用。

选项 D - 我们需要不同区域中的新存储桶。

答案：C

说明：

选项 A - Aurora 支持 MySQL 和 PostgreSQL，不支持 MongoDB。不允许更改应用程序。

选项 B - 这可能有效，但 DocumentDB 提供托管 MongoDB 实例，这是更好的选择。

选项 C - DocumentDB 仅具有按需实例，但没有按需容量模式，该模式适用于 DynamoDB。

选项 D - 没有按需容量模式，2022 年推出了 MondoDB Elastic Cluster，无需选择、管理或升级实例，并允许扩展到 4PiB 存储，而基于实例的可扩展到 128TiB。

答案：A、C、F

说明：

选项A - 源存储桶需要通过存储桶策略和KMS密钥策略授予访问权限。

选项B - 完全权限？当问题要求最低权限时。

选项C - 首先，源存储桶需要通过存储桶策略和KMS密钥策略授予访问权限。

选项 D - 匿名用户？匿名不起作用。

选项 E - 加密权限？无策略帐户需要解密权限。

选项 F - 策略 IAM 角色需要授予从 S3 存储桶读取的权限以及 KMS 密钥。

答案：C

说明：

选项 A - 200GB 偶尔不需要 Snowball Edge。

选项 B - 数据管道是 ETL，不适用于混合场景。

选项 C - S3 事件只能是 Lambda、SNS 或 SQS。Lambda 函数充当 S3 事件和 AWS Batch 之间的桥梁，允许您触发 AWS Batch 作业以响应 S3 事件。

选项 D - 它不正确，因为 S3 事件无法直接触发批处理作业，您需要 Lambda 函数。

答案：C

说明：

选项 A - EFS 基于 Linux/Mac。

选项 B - Lustre 代表 Linux 集群。FSx for Lustre 不适用于 Linux POSIX 兼容。

选项 C - FSx for Lustre 只能由基于 Linux 的实例使用。

选项 D - EFS 基于 Linux/Mac。

答案：D

说明：
SendTemplatedEmail、
SendEmail、
SendRawEmail 是 SES 中使用的电子邮件 API 方法。
选项 A - 需要在 EC2 实例上设置 SMTP 服务器，但这不是必需的，并且会增加运营开销。

选项 B - 需要在 EC2 实例上设置 SMTP 服务器，但这不是必需的，并且会增加运营开销。

选项 C - 它将电子邮件模板与客户数据参数一起存储在 Amazon SES 中，但这是不可能的。

选项 D - 公司可以使用 Amazon SES 发送电子邮件，这将最大限度地降低运营开销，因为 SES 是一项完全托管的服务，可处理电子邮件的发送和接收。公司可以将电子邮件模板与客户数据参数一起存储在 Amazon SES 上，并使用 AWS Lambda 函数调用 SendTemplatedEmail API 操作，传入客户数据以替换参数和电子邮件目的地。此解决方案无需在 EC2 实例上设置和管理 SMTP 服务器，因为这可能既昂贵又耗时。

答案：C

说明：

选项 A - 为 EC2 实例启用终止保护不会解决问题，因为它会影响 Auto Scaling 组根据队列中的视频数量缩减实例的能力。

选项 B - 因为公司已指定 1 小时的可见性超时，这足以让实例处理视频，因此无需将超时更新为 3 小时。

选项 C - 公司可以通过在处理过程中为实例配置缩减保护来解决问题。这将确保实例在处理视频时不会终止。这将防止消息移动到死信队列并确保正确处理视频。

选项 D - 公司已将 maxReceiveCount 设置为 1，将其更改为 0 不会解决问题。maxReceiveCount 允许的范围是 1 到 1000。

答案：C

说明：
问题设计不好。没有一个答案是正确的。
没有一个答案提到如何满足“所有 API 都需要通过经过身份验证的用户调用”的要求。
另一个要求是“使 API 集只能从 VPC 访问”。 “集合”并不意味着整个集合。这里的“集合”是指整个集合的一部分。
选项 A - 该 API 集仍可公开访问。

选项 B - 删除 DNS 条目不会删除公共可访问性。

选项 C - 这使整套 API 成为私有的。如果此答案可以具体到“该套”API，那么这可能是一个好答案。
应该是 C，因为问题中说“不需要公共 IP”==> API 网关中的私有 IP = VPC 端点。

选项 D - 使用 EC2 实例始终是一个糟糕的答案。

答案：B、D

说明：

选项 A - Global Accelerator 不能将 s3 存储桶作为终端节点。

选项 B - 它涉及在 us-east-1 区域中创建新的 S3 存储桶并配置跨区域复制以从 eu-west-1 中的现有 S3 存储桶同步。这将允许 us-east-1 中的用户从更近的位置访问天气地图，从而提高性能。

选项 C - 人们抱怨检索地图的时间太长。 Transfert 加速用于加速对位于远程区域的 s3 存储桶的 PUT 请求。

选项 D - 它涉及使用 Lambda@Edge 修改来自北美的请求以使用 us-east-1 中的 S3 存储桶。这还将允许 us-east-1 中的用户从更近的位置访问天气图，从而提高性能。

选项 E - 加速器作为 cloudfront 原点没有多大意义，因为 cloudfront 已经在使用 AWS 网络。全局加速器通常用于第 4 层网络和/或静态任播 IP。

答案：B

说明：

选项 A - 删除旧用户配置文件可能不足以创建足够的空间，并且不能防止问题再次发生。

选项 B - 通过使用 Amazon CloudWatch 中的 FreeStorageCapacity 指标监控文件系统并使用 Amazon EventBridge 调用 AWS Lambda 函数来根据需要增加容量，可以防止问题再次发生。这可确保文件系统始终有足够的可用空间来存储用户配置文件，并避免达到最大容量。

选项 C - AWS Step Functions 不能用于增加容量，它是一种用于创建和运行将多个 AWS 服务拼接在一起的工作流的服务。

选项 D - 创建额外的 FSx for Windows File Server 文件系统并更新部分用户的用户配置文件重定向可能不足以防止问题再次发生，并且不能解决当前的容量问题。

答案：C

说明：

选项 A - 仍然使用 EC2 实例，这是问题的根源。选项 D 需要对手持设备进行修改，这是不可能的。

选项 B - 仍然使用 EC2 实例，这是问题的根源。选项 D 需要对手持设备进行修改，这是不可能的。

选项 C - 使用 AWS Transfer Family 创建将文件放置在 Amazon S3 中的 FTP 服务器，并通过 Amazon Simple Notification Service (Amazon SNS) 使用 S3 事件通知来调用 AWS Lambda 函数，这将确保存档始终接收文件，并且中央系统始终更新。此解决方案可最大限度地提高可扩展性，并消除手动干预的需要，例如重新启动 EC2 实例。

答案：A

说明：

选项 A - 在不同的区域中配置 Aurora 副本将满足应用程序在发生故障时能够恢复到单独的 AWS 区域的要求，并且不会丢失任何数据，同时将运营开销降到最低。

选项 B - AWS DataSync 可以复制数据，但它不是完全托管的服务，需要更多的配置和管理。

选项 C - AWS DMS 是一种用于在数据库之间迁移数据的完全托管服务，但它可能需要额外的配置和管理才能持续实时复制数据。

选项 D - Amazon DLM 可用于安排快照，但它不提供实时复制，可能无法满足发生故障时不丢失数据的要求。

答案：C

说明：

选项 A - 它使用多个 Lambda 函数、SQS 队列和 S3 临时位置，这将增加运营开销。

选项 B - 使用 Fargate 可能不是最具成本效益的解决方案，也可能无法处理大量数据。

选项 C - 从 S3 中提取数据 + 掩码 + 发送到另一个 S3 + 转换/处理 + 加载到 S3。
所有这些都是应该使用 Glue 的 ETL、ELT 任务。
EMR 更侧重于大数据处理框架，例如 Hadoop 和 Spark，
而 Glue 更侧重于 ETL，每 15 分钟超过 5000 条记录并不算大数据。
它将使用 Glue ETL 作业以批处理模式处理数据，该作业可以处理大量数据，并且可以安排定期运行。此解决方案还可以轻松扩展以用于未来的供稿。

选项 D - Athena 和 EMR 都是功能强大的工具，但它们比 Glue 更复杂，成本也更高。

答案：B

说明：
棘手的问题。这不是提示答案 C 的本地迁移用例。这是本地应用程序的当前情况，公司希望在使用 AWS 作为 DR 解决方案的要求下继续保持其状态。
https://docs.aws.amazon.com/images/drs/latest/userguide/images/drs-failback-arc.png
https://docs.aws.amazon.com/drs/latest/userguide/what-is-drs.html
此外，B 的运营开销最少，只需使用复制代理启动 DR 解决方案。C 的运营开销包括 DMS、SCT、CDC、迁移等。

选项 A - 要使用 AWS DRS，您首先需要在要使用它的每个 AWS 区域中进行设置。安装 AWS Replication 代理是不够的

选项 B - “经常从最近的时间点执行故障转移和回退”这句话含糊不清，因为这指向实际的故障转移/故障回复，而不是演练

选项 C - 选项 C 是错误的。它只是提到了迁移方法。我认为这个问题问的是本地和 AWS 云之间的 DR 架构。
对于相同的引擎数据库迁移，不需要 SCT。此外，安装其余软件对于应用程序 DR 来说是不够的。

选项 D - 卷网关可用于备份和恢复 DR 场景，但选项 D 非常令人困惑。无论如何，与 AWS DRS 相比，用于 DR 的存储网关需要更多的开销。

答案：B

说明：

选项 A - 它授予对公司 AWS 账户中所有资源的访问权限，并且不提供限制外部审计员拥有的权限的方法。

选项 B - 此解决方案创建一个信任审计员 AWS 账户的 IAM 角色，并将所需的 IAM 策略附加到该角色。这可确保审计员对公司的 AWS 账户具有只读访问权限，同时确保公司的 AWS 账户是安全的并且符合 AWS 安全最佳实践。此外，分配给角色信任策略的唯一外部 ID 增加了额外的安全性。

选项 C - 它在公司的账户中创建一个 IAM 用户并与外部审计员共享 API 访问密钥，这并不安全，也不符合 AWS 安全最佳实践。

选项 D - 它在公司账户中为每个审计员创建一个 IAM 用户，这对于公司来说将是繁琐且难以管理的。使用信任审计员 AWS 账户的 IAM 角色而不是为每个审计员创建单独的用户会更安全、更高效。

答案：B

说明：
DAX 集群需要 3 个节点才能实现容错。
https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DAX.concepts.cluster.html
为了实现应用程序的高可用性，我们建议您为 DAX 集群配置至少三个节点。

选项 A - 2 个节点 DAX 不具备容错能力。

选项 B - 绕写策略可确保较低的延迟。

选项 C - 直写策略可能具有更高的延迟。

选项 D - 1 个节点 DAX 不具备容错能力。

答案：B、E

说明：
可突发实例可让您节省成本，您需要支付一些基准费用（例如 40%），如果实例利用率较低，信用额度会累积。因此，这对于 CPU 负载不断变化的工作负载非常有用。

选项 A - 更改为计算优化实例或使用 Elastic Beanstalk 不会帮助降低成本，它只会更改实例类型，而不会帮助优化成本。

选项 B - 我希望另一个选项提到更改后端 Python API 网关和 Lambda，因为选项 B 提到更改前端无服务器。我认为这个问题是无服务器架构的典型用例。

选项 C - 更改为计算优化实例或使用 Elastic Beanstalk 不会帮助降低成本，它只会更改实例类型，而不会帮助优化成本。

选项 D - 选项 D 是错误的。现货实例不适合生产服务器。

选项 E - 将后端 Python 应用程序部署到通用可突发 EC2 实例不会帮助降低成本，因为它仍然使用按需实例。

答案：B

说明：
选项 A、C 和 D 是错误的。它们都提到使用基于 EC2 的 Spot 实例和 EKS。现货实例不适合生产服务器，而且公司正在开发专为 AWS Fargate 设计的新应用程序，这意味着我们必须规划包括 AWS Fargate 在内的未来成本改进。
https://aws.amazon.com/savingsplans/compute-pricing/
A 错误：现货实例用于处理峰值。
C 和 D 错误：在峰值期间手动临时扩展数据库实例。

答案：A、C、D

说明：
A. 将静态信息内容上传到 S3 存储桶。
C. 将 S3 存储桶设置为原始 CloudFront 分发中的第二个源。配置分发和 S3 存储桶以使用源访问身份 (OAI)。
D. 在每周维护期间，编辑默认缓存行为以使用 S3 源。维护完成后恢复更改。

步骤 1：解决方案架构师应将静态信息内容上传到 S3 存储桶，当应用程序停机维护时，此内容将显示给用户。

步骤 2：解决方案架构师应将 S3 存储桶设置为原始 CloudFront 分发中的第二个源。为了确保 S3 存储桶的安全，解决方案架构师应将分发和 S3 存储桶配置为使用源访问身份 (OAI)。这将确保只有 CloudFront 可以访问 S3 存储桶。

步骤 3：在每周维护期间，解决方案架构师应编辑 CloudFront 分发的默认缓存行为以使用 S3 源。这会将所有传入流量重定向到 S3 存储桶并向用户显示静态信息内容。维护完成后，解决方案架构师应将更改恢复为原始 Elastic Beanstalk 源。

选项 B：创建新的 CloudFront 分发并将 S3 存储桶设置为源是不必要的，可能会给用户造成困惑。
选项 E：在每周维护期间，无需在新分发上为 S3 源创建缓存行为，因为它更复杂且容易出现人为错误。
选项 F：无需配置 Elastic Beanstalk 来为来自 S3 存储桶的流量提供服务，因为 CloudFront 已用作 Web 请求服务器。

答案：D

说明：

选项 A - 直接修改已发布的 Lambda 函数版本的环境变量会导致所有客户端立即使用更新的环境变量，并且不允许进行测试。

选项 B - 使用 DynamoDB 存储图像处理参数会增加复杂性和运营开销，并且不会消除更新自定义应用程序的需要。

选项 C - 直接在 Lambda 函数中编写图像处理参数并发布新版本不会消除更新自定义应用程序的需要。

选项 D - 通过使用函数别名，自定义应用程序可以调用最新版本的 Lambda 函数，而无需在公司每次更新图像处理参数时修改应用程序代码。这降低了对用户造成中断的风险。
创建 Lambda 函数别名允许解决方案架构师更改别名指向的 Lambda 函数版本，而无需修改客户端应用程序。这消除了频繁更新自定义应用程序的需要，并最大限度地减少了对用户的干扰。解决方案架构师可以使用不同版本的函数测试不同的参数，并在验证结果后重新配置别名以指向新版本。这允许公司更新图像处理参数而不会影响用户。

答案：C

说明：
顶级域无法在 AWS 中使用 CNAME 记录。这是因为 DNS 解析的工作方式。CNAME 记录指定域名的别名，该别名指向另一个域的规范名称。但是，DNS 标准不允许顶级域使用 CNAME 记录，因为它们应该只具有 A 或 AAAA 记录。
当您尝试在 AWS Route 53 中为顶级域创建 CNAME 记录时，您将收到一条错误消息，指示记录集类型对于顶级域无效。要解决此限制，您可以改用别名记录。
A、B、D 都具有不允许用于顶级域的 CNAME 记录。

答案：D

说明：
容器映像不能与 Lambda 层一起使用。这意味着 A、B、C 立即失效。这实际上是他们首先提到的关于 Lamba 层的事情之一。答案是 D，而 A、B、C 根本无法配置。
https://docs.aws.amazon.com/lambda/latest/dg/configuration-layers.html
您可以从 ECR 映像创建 Lambda 函数，但您无法从 ECR 映像创建 Lambda 函数层！

答案：B

说明：
离线操作：AWS IoT Greengrass 支持离线操作，使设备即使与互联网断开连接也能继续处理数据。

选项 D - Amazon Monitron 需要 Internet 连接。问：当 Amazon Monitron 未连接到 AWS 区域或在断开连接的环境中时，我可以使用它吗？
答：Amazon Monitron 传感器和网关及其与 Amazon Monitron 服务的使用依赖于通过 Internet 连接到 AWS 区域。
https://aws.amazon.com/monitron/faqs/
Amazon Monitron 传感器和网关不适用于断开连接的操作或没有连接的环境。我们建议客户拥有高可用性的 Internet 连接。

答案：B

说明：
https://aws.amazon.com/blogs/architecture/accelerating-your-migration-to-aws/
使用 AWS Migration Evaluator 构建业务案例
成功迁移的基础始于定义的业务目标（例如增长或新产品）。为了实现业务驱动力，已建立的业务案例必须与技术能力（提高安全性和弹性）保持一致。AWS Migration Evaluator（以前称为 TSO Logic）可以帮助您实现这些目标。
要开始使用，您可以选择从第三方工具（例如配置管理数据库 (CMDB)）上传导出内容，或安装收集代理进行监控。数据收集后，您将收到评估，其中包括预计成本估算和在 AWS 云中运行本地工作负载的节省。此估算将根据使用模式提供在 AWS 上重新托管的预计成本摘要。它将按基础设施和软件许可证显示成本明细。有了这些信息，您就可以制定业务案例并规划后续步骤。
A - 这是一个用于评估您的 AWS 架构的问卷调查工具
C - 我们需要使用 SDK 创建复杂应用程序
D- Application Discovery 是免费的，并且支持 CMDB 导入，但它只能为您提供计划，而不是业务用例
B - 正确答案 - 免费并帮助您创建业务用例。

答案：B

说明：
AWS Shield Advanced 专注于防范 DDoS 攻击，而 AWS WAF 专注于防范网络漏洞。但是，这两种服务可以一起使用，为您的应用程序提供全面保护。

选项 B - 选项 B 是一项付费服务​​，用于 DDoS。这里的攻击不是 DDoS，而是某些 IP 在应用程序层生成的过量流量。不是分布式攻击模式。高级盾牌将提供 DDoS+WAF。但您已经拥有 WAF，并且可以使用它阻止超过设定阈值的 IP。因此选项 A 是更好的选择。选项 B 需要额外付费。

选项 C - 选项 C 是错误的，因为您无法在路由表中添加拒绝规则。路由表只有路由。

选项 D - 选项 D 是运营开销，如果您封锁整个国家，真正的流量也会被封锁，这并不好。

答案：A、D

说明：

选项 A - 向 Aurora MySQL DB 群集添加另一个区域。

选项 D - 通过向其配置添加另一个区域，将现有的 DynamoDB 表转换为全局表。

答案：B

说明：
背景如下。
- 公司正在使用 ALB 功能，必须保留这些功能。
- 新的本地防火墙需要 ALB 的静态 IP 地址作为下一跳。
- 但是，ALB 不能有静态 IP 地址。
因此，关键在于 ALB 如何拥有静态 IP 地址端点。

解决方案
https://aws.amazon.com/premiumsupport/knowledge-center/alb-static-ip/

选项 A - 无法为 ALB 分配静态 IP。

选项 B - 这是正确的，因为使用 NLB，我们可以分配静态 IP，也可以将 ALB 作为目标附加到 NLB。

选项 C - 无法直接附加目标组，因为 NLB 无法进行基于路径的转发。

选项 D - 网关负载均衡器仅支持实例和 IP 作为目标。

答案：C

说明：
https://docs.amazonaws.cn/en_us/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html
如果您的源托管在 Amazon 上并受 Amazon VPC 安全组保护，则可以使用 CloudFront 托管前缀列表仅允许来自 CloudFront 面向源服务器的入站流量到达您的源，从而阻止任何非 CloudFront 流量到达您的源
，假设您的源是欧洲（伦敦）区域 (eu-west-2) 中的 Amazon EC2 实例。如果实例位于 VPC 中，您可以创建一个安全组规则，允许来自 CloudFront 托管前缀列表的入站 HTTPS 访问。这允许所有 CloudFront 面向源的全局服务器到达该实例。如果您从安全组中删除所有其他入站规则，则可以阻止任何非 CloudFront 流量到达该实例。
https://docs.amazonaws.cn/en_us/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html
更推荐使用AWS托管前缀列表。

答案：B

说明：
当然，我们需要一个身份验证令牌。使用 SSM 参数存储或 Secrets Manager 都可以。创建新集群或更新当前集群都可以。我将选择 B，因为这种方法避免了设置新集群的需要，从而可能减少与迁移或重复资源相关的工作量和成本。
创建 AUTH 令牌提供了一种访问 ElastiCache 集群的身份验证形式。
将 AUTH 令牌存储在 AWS Secrets Manager 中可确保令牌的安全集中管理。
配置现有 ElastiCache 集群以使用 AUTH 令牌可启用访问缓存的身份验证。
启用传输中加密可确保数据在客户端和 ElastiCache 集群之间传输时被加密。
更新应用程序以从 Secrets Manager 检索 AUTH 令牌并将其用于身份验证可确保只有授权用户才能访问缓存。

答案：B

说明：
启动配置被启动模板替换，因此不可行，选项 A 被排除。C 是错误的，因为启动模板无法更新。D 也是错误的，原因相同。
作为手动指定实例类型的替代方法，您可以指定实例必须具有的属性，Amazon EC2 将识别具有这些属性的所有实例类型。
这称为基于属性的实例类型选择。
例如，您可以指定实例所需的最小和最大 vCPU 数量，EC2 Fleet 将使用满足这些 vCPU 要求的任何可用实例类型启动实例。

答案：B

说明：

选项 A - 迁移到 lambda 需要大量工作，并且不能解决快速访问文件的需求

选项 C - FSx for Luster 不支持 NFS 协议。
它实际上仅支持 POSIX 协议：
针对性能进行了优化的自定义（符合 POSIX 标准的）协议。
选项 C 是如何从 EC2 Linux 系统挂载 Lustre 的示例。它不使用 NFS。
sudo mount -t lustre <fsx-dns-name>@tcp:/<mount-point>
Amazon FSx for Lustre 提供了自己的 Lustre 特定挂载命令和协议，用于在 Linux 实例上挂载文件系统。
mount 命令中的 lustre 文件系统类型表示它专门用于挂载基于 Lustre 的文件系统，例如 Amazon FSx for Lustre。

D = DataSynch 可以按小时、每天或每周安排传输，但无法满足 30 分钟的要求。

答案：C

说明：

选项 A - SQS 不用于扇出情况。

选项 B - 没有“DynamoDB 事件通知”之类的东西。

选项 C - SQS 是一个队列对应一个微服务，在 dynamodb 事件通知上找不到任何内容。

选项 D - 同样是因为 SQS 不用于扇出。

答案：C

说明：

选项 A - AWS WAF 不支持与 NLB 关联。
https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html

选项 B - ALB 不支持弹性 IP 地址。
https://aws.amazon.com/elasticloadbalancing/features/

选项 C - 静态 IP 可以采用以下方法。
・NLB（用 ALB 替换 NLB）
・NLB + ALB
・全局加速器 + ALB
・原始负载均衡器（例如由 EC2 + nginx 制作）

选项 D - CloudFront 分发来自许多 IP 的回复，AWS 为此管理一个前缀列表。在客户端配置起来并不容易。

答案：C、D、F

说明：
当您在已注册到 AWS Control Tower 的组织单位 (OU) 上启用控制时，预防性控制将适用于该 OU 下的所有成员账户（已注册和未注册）。侦探性控制仅适用于已注册的账户。
https://docs.aws.amazon.com/controltower/latest/userguide/controls.html
https://docs.aws.amazon.com/controltower/latest/userguide/controls.html
https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#ebs-enable-encryption
AWS 正在将之前的术语“guardrail”转换为新的术语“control”。

选项 D - 邀请现有账户加入 AWS Organizations 中的组织。创建 SCP 以确保合规性。

答案：A

说明：
您可以使用 AWS DRS 恢复在受支持的 Windows 和 Linux 操作系统版本上运行的所有应用程序和数据库。这包括关键数据库（例如 Oracle、MySQL 和 SQL Server）以及企业应用程序（例如 SAP）。
AWS Elastic Disaster Recovery (DRS) 与 AWS DLM 与 AWS Backup。
当您想要自动创建、保留和删除 EBS 快照时，应该使用 DLM。您应该使用 AWS Backup 从单个位置管理和监控您使用的 AWS 服务（包括 EBS 卷）中的备份。

答案：C、D

说明：
不是 B，因为 Trusted Advisor 仅适用于企业支持，这并不便宜，SA 需要在这里进行成本优化。CPU、内存和网络与计算有关，所以肯定是 D。C 将能够知道实例需要多少实际内存/CPU，SA 可以根据 cw 日志进行配置。

答案：C

说明：
https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automate-event-driven-backups-from-codecommit-to-amazon-s3-using-codebuild-and-cloudwatch-events.html
很难相信 AWS 的产品可以以如此业余的方式设计。
AWS Backup 无法为您做到这一点，因此您应该使用 Code Build 克隆 repo 并将 zip 上传到 s3。

答案：C

说明：

选项 C - 私有链接是解决 IP 重叠和在账户之间安全访问应用程序的解决方案。
借助 AWS PrivateLink，营销团队可以创建终端节点服务，使用私有 IP 地址安全地与其他账户共享其内部应用程序。他们可以授予特定 AWS 账户连接到服务的权限，并在其他账户中创建接口 VPC 终端节点，以使用私有 IP 地址访问应用程序。此选项不需要对其他业务部门的网络进行任何更改，也不需要对等或 NAT。此解决方案既可扩展又安全。

答案：B

说明：

选项 A - Amazon S3 目前无法发布 isPublic 事件的通知。
https://docs.aws.amazon.com/AmazonS3/latest/userguide/EventNotifications.html

选项 B - IAM Access Analyzer for S3 会提醒您配置为允许互联网上任何人或其他 AWS 账户访问的 S3 存储桶
https://aws.amazon.com/blogs/security/how-to-prioritize-iam-access-analyzer-findings/

选项 C - PutBucketPolicy 会通知我们有关 Amazon S3 存储桶的 Amazon S3 存储桶策略事件，并且我们正在寻找存储桶权限的特定事件，而不是所有事件。

选项 D - cloudtrail-s3-dataevents-enabled 检查是否至少有一个 AWS CloudTrail 跟踪正在记录所有 S3 存储桶的 Amazon Simple Storage Service (Amazon S3) 数据事件。
https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-s3-dataevents-enabled.html

答案：C

说明：

选项 C - 使用 Migration Evaluator 生成服务器列表。为业务案例构建报告。使用 AWS Migration Hub 查看产品组合。使用 AWS Application Discovery Service 了解应用程序依赖关系。

答案：A

说明：

选项 A - EFS = 与 S3/EBS 相比，存储性能最快。Amazon EFS 提供高可用性和耐用性的共享文件存储。它是在集群中多个实例上运行的容器之间共享文件的理想解决方案。在每个子网上挂载 Amazon EFS 文件系统为在不同可用区中运行的多个实例提供了共享文件系统。此外，AWS Backup 还提供 Amazon EFS 文件系统的自动备份和恢复。

选项 B - EBS 多连接只能执行相同的 AZ -> out。

选项 C - S3 是为了耐用性，而不是为了性能。

选项 D - 看到第三方工具时可能会放弃。

答案：A

说明：
Amazon Connect 是一种基于云的联系中心服务，可让您为您的企业设置虚拟呼叫中心。它提供了一个易于使用的界面，用于通过语音和聊天管理客户互动。Amazon Connect 与其他 AWS 服务（例如 Amazon S3 和 Amazon Kinesis）集成，可帮助您收集、存储和分析客户数据，以深入了解客户行为和趋势。
另一方面，Amazon Pinpoint 是一种营销自动化和分析服务，可让您通过电子邮件、短信、推送通知和语音等不同渠道与客户互动。它可以帮助您根据用户行为创建个性化活动，并使您能够跟踪用户参与度和保留率。
虽然这两种服务都允许您与客户沟通，但它们的用途不同。 Amazon Connect 专注于客户支持和服务，而 Amazon Pinpoint 专注于营销和参与。

答案：D

说明：
选项 D 在第二个区域中配置一个新的 Amazon Connect 实例，其中包含所有现有用户和联系流。它还为 Amazon Connect 实例的 URL 设置了 Amazon Route 53 运行状况检查，为失败的运行状况检查设置了 Amazon CloudWatch 警报，并设置了 AWS Lambda 函数来部署用于配置已认领电话号码的 AWS CloudFormation 模板。此选项可实现最快的恢复时间，因为所有必要的组件都已配置并准备在第二个区域使用。如果发生灾难，失败的运行状况检查将触发 AWS Lambda 函数来部署 CloudFormation 模板来配置已认领的电话号码，这是唯一缺少的组件。