practise for AWS SAA

AWS Certified Solutions Architect - Associate

1. AWS 为确保数据安全而执行的操作流程是什么？

A. AES-256 encryption of data stored on any shared storage device
.AES-256 加密存储在任何共享存储设备上的数据

B. Decommissioning of storage devices using industry-standard practices
.使用行业标准做法停用存储设备

C. Background virus scans of EBS volumes and EBS snapshots
.EBS 卷和 EBS 快照的后台病毒扫描

D. Replication of data across multiple AWS Regions

E. Secure wiping of EBS data when an EBS volume is un-mounted
.卸载 EBS 卷时安全擦除 EBS 数据

答案 ：B

• A:加密存储在任何共享存储设备上的数据是用户的责任。
• C:AWS不会对用户实例执行病毒扫描
• D:AWS不会跨区域复制数据，除非是由用户完成的。

客户有一个 Web 应用程序，该应用程序使用基于 Cookie 的会话来跟踪登录用户。它使用 Elastic Load Balancing 和 Auto Scaling 部署在 AWS 上。当负载增加时，Auto Scaling 会启动新实例，但其他实例上的负载不会减少;这会导致所有现有用户的体验速度较慢。用户体验不佳的原因可能是什么？

A. ELB DNS record’s TTL is set too high.
.ELB DNS 记录的 TTL 设置过高。

B. The new instances are not being added to the ELB during the Auto Scaling cooldown period.
.在 Auto Scaling 冷却期间，不会将新实例添加到 ELB。

C. The website uses the dynamic content feature of Amazon CloudFront which is keeping connections alive to the ELB.
.该网站使用 Amazon CloudFront 的动态内容功能，该功能使与 ELB 的连接保持活动状态。

D. ELB is continuing to send requests with previously established sessions to the same backend instances rather than spreading them out to the new instances.
.ELB 将继续将具有先前建立的会话的请求发送到相同的后端实例，而不是将它们分散到新实例。

答案：正确答案是 D，因为 ELB 是有状态的，并且使用基于 cookie 的会话。因此，它可能会继续向以前建立的会话发送请求，因此现有用户的体验很差.选项 A 是错误的，因为 Elastic Load Balancing 在 DNS 记录上使用 60 秒的 TTL 设置，并且没有提到配置是什么，选项 B 是错误的，因为仍会添加实例以减少负载，并且只有在这些实例之后的新实例才会取决于冷却时间。选项 C 是错误的，因为 CloudFront 会根据 TTL 将流量路由回源服务器

3.用户创建了一个照片编辑软件并将其托管在 EC2 上。该软件接受用户关于照片格式和分辨率的请求，并向 S3 发送消息以相应地增强图片。在这种情况下，下面提到的哪些 AWS 服务将有助于使用 AWS 基础设施构建可扩展的软件？

A. AWS Glacier

B. AWS Elastic Transcoder

C. AWS Simple Notification Service
.AWS 简单通知服务

D. AWS Simple Queue Service

正确答案是D，因为SQS可用于构建可扩展和解耦的软件。SQS 可用于存储消息，文件位于 S3 中并相应地进行处理和扩展，选项 A 是错误的，因为 Glacier 是一种存档存储解决方案，选项 B 是错误的，因为 Elastic Transcoder 是一种用于转码不同格式视频的托管服务，选项 C 是错误的，因为 SNS 是发布/订阅消息收发服务。

4.在 EC2 实例上运行的应用程序处理存储在 Amazon S3 上的敏感信息。该信息可通过 Internet 访问。安全团队担心与 Amazon S3 的 Internet 连接存在安全风险。哪种解决方案可以解决安全问题？

A. Access the data through an Internet Gateway.

B. Access the data through a VPN connection.

C. Access the data through a NAT Gateway.

D. Access the data through a VPC endpoint for Amazon S3.
.通过 Amazon S3 的 VPC 终端节点访问数据。

正确答案是 D，因为 VPC 终端节点允许 EC2 实例在不通过 Internet 的情况下访问 S3，请参阅 AWS 文档 - VPC 终端节点，VPC 终端节点使您能够将 VPC 私下连接到受支持的 AWS 服务和由 PrivateLink 提供支持的 VPC 终端节点服务，而无需互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可与服务中的资源进行通信。您的 VPC 和其他服务之间的流量不会离开 Amazon 网络，终端节点是虚拟设备。它们是水平扩展、冗余且高度可用的 VPC 组件，允许 VPC 中的实例与服务之间进行通信，而不会对网络流量施加可用性风险或带宽限制，选项 A 和 C 是错误的，因为 NAT 网关和 Internet 网关通过 Internet 将流量路由到 Amazon S3 的公有终端节点，选项 B 是错误的，因为无法通过 VPN 连接到 Amazon S3。

5.您的 Auto Scaling 组配置为在 5 分钟间隔内总 CPU 负载超过 65% 时启动一个新的 Amazon EC2 实例。有时，Auto Scaling 组会在第一个 Amazon EC2 实例运行之前启动第二个实例。第二个实例不是必需的，并且会带来不必要的计算成本。如何阻止 Auto Scaling 组启动第二个实例？

A. Configure a lifecycle hook for your Auto Scaling group
.为您的 Auto Scaling 组配置生命周期挂钩

B. Add a scaling-specific cooldown period to the scaling policy
.在扩展策略中添加特定于扩展的冷却期

C. Adjust the CPU threshold that triggers a scaling action
.调整触发扩展操作的 CPU 阈值

D. Attach a new launch configuration to the Auto Scaling group
.将新的启动配置附加到 Auto Scaling 组

正确答案是 B，因为您需要调整新添加实例的冷却时间以启动和处理流量，请参阅 AWS 文档 - Auto Scaling 冷却时间，Auto Scaling 冷却时间是 Auto Scaling 组的可配置设置，有助于确保 Auto Scaling 不会在之前的扩展活动生效之前启动或终止其他实例。在 Auto Scaling 组使用简单的扩展策略动态扩展后，Auto Scaling 会等待冷却期完成，然后再恢复扩展活动。当您手动扩展 Auto Scaling 组时，默认设置不等待冷却时间，但您可以覆盖默认值并遵守冷却时间。如果实例运行状况不佳，Auto Scaling 不会等待冷却时间结束，然后再替换运行状况不佳的实例。

6.一家公司正在 AWS 上构建需要访问各种 AWS 服务的软件。应使用哪种配置来确保 AWS 凭证（即访问密钥 ID/秘密访问密钥组合）不会泄露？

A. Enable Multi-Factor Authentication for your AWS root account.
.为您的 AWS 根账户启用 Multi-Factor Authentication。

B. Assign an IAM role to the Amazon EC2 instance
.将 IAM 角色分配给 Amazon EC2 实例

C. Store the AWS Access Key ID/Secret Access Key combination in software comments.
.将 AWS 访问密钥 ID/秘密访问密钥组合存储在软件注释中。

D. Assign an IAM user to the Amazon EC2 Instance.
.将 IAM 用户分配给 Amazon EC2 实例。

正确答案是 B，因为 EC2 实例可以使用 IAM 角色访问其他 AWS 服务，这有助于生成临时的短期凭证，请参阅 AWS 文档 - IAM 角色，IAM 角色类似于用户，因为它是具有权限策略的 AWS 身份，用于确定身份在 AWS 中可以做什么和不能做什么。但是，角色不是与一个人唯一关联，而是任何需要它的人都可以承担。此外，角色没有任何与之关联的凭据（密码或访问密钥）。相反，如果将用户分配给角色，则会动态创建访问密钥并提供给用户，选项 A 是错误的，因为 MFA 是启用双因素身份验证，选项 C 是错误的，因为不建议存储凭证，选项 D 是错误的，因为无法将 IAM 用户分配给 EC2 实例

7.Web 应用程序允许客户将订单上传到 S3 存储桶。生成的 Amazon S3 事件会触发一个 Lambda 函数，该函数将消息插入 SQS 队列。单个 EC2 实例从队列中读取消息，处理消息，并将其存储在按唯一订单 ID 分区的 DynamoDB 表中。下个月，流量预计将增加 10 倍，解决方案架构师正在审查架构中是否存在可能的扩展问题。哪个组件最有可能需要重新架构才能扩展以适应新流量？

A. Lambda function

B. SQS queue

C. EC2 instance

D. DynamoDB table

正确答案是 C 作为单个 EC2 实例不可扩展，需要使用 Auto Scaling 改进架构以随着需求的变化而扩展或缩减，选项 B 和 D 是 AWS 托管服务，并根据配置和需求进行扩展，选项 A 是错误的，因为 Lambda 函数会根据传入的需求进行扩展。

8.客户希望跟踪对其 Amazon Simple Storage Service （S3） 存储桶的访问，并将此信息用于其内部安全和访问审计。以下哪项符合客户要求？

A. Enable AWS CloudTrail to audit all Amazon S3 bucket access.
.启用 AWS CloudTrail 以审核所有 Amazon S3 存储桶访问。

B. Enable server access logging for all required Amazon S3 buckets
.为所有必需的 Amazon S3 存储桶启用服务器访问日志记录

C. Enable the Requester Pays option to track access via AWS Billing
.启用 Requester Pays （申请者付款） 选项以跟踪通过 AWS Billing 的访问

D. Enable Amazon S3 event notifications for Put and Post.
.为 Put 和 Post 启用 Amazon S3 事件通知。

正确答案是 B，为了跟踪对存储桶的访问请求，您可以启用访问日志记录。每个访问日志记录都提供有关单个访问请求的详细信息，例如请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码（如果有）。访问日志信息在安全和访问审计中很有用，请参阅 AWS 文档了解 S3 服务器日志，选项 A 是错误的，因为 CloudTrail 只会提供对 S3 的 API 调用信息，而不是单个访问信息，选项 C 是错误的，因为它仅在您希望用户为对象访问付费时帮助处理计费，选项 D 是错误的，因为事件通知未涵盖所有信息

9.您在三个可用区中有 EC2 实例，并在所有三个可用区上配置了负载均衡器。您观察到一个可用区接收的流量比其他可用区多，您如何有效地解决这个问题

A. Disable sticky sessions
.禁用粘性会话

B. Reduce the frequency of the health checks
.降低运行状况检查的频率

C. Enable cross zone load balancer
.启用跨区域负载均衡器

D. Amazon recommends to use two availability zone behind ELB
.Amazon 建议在 ELB 后面使用两个可用区

正确答案是 A，因为粘性会话可能会导致用户被路由到相同的实例，选项 B 是错误的，因为降低运行状况检查的频率只会帮助确定实例是否健康。对于跨可用区的所有实例都是一样的，选项 C 是错误的，因为启用跨区域负载均衡器只会帮助在实例之间平均路由流量，而不是在可用区之间路由流量，这里似乎不是这种情况，选项 D 是错误的，因为 AWS 建议将实例分散到所有可用可用区以使应用程序高可用

0.如何保护 EBS 卷上的静态数据？

A. Encrypt the volume using the S3 server-side encryption service
.使用 S3 服务器端加密服务加密卷

B. Attach the volume to an instance using EC2’s SSL interface.
.使用 EC2 的 SSL 接口将卷附加到实例。

C. Create an IAM policy that restricts read and write access to the volume.
.创建一个 IAM 策略，以限制对卷的读取和写入访问。

D. Use EBS encryption

E. Use an encrypted file system on top of the EBS volume
.在 EBS 卷上使用加密文件系统

正确答案是D，因为EBS加密可用于加密EBS卷，EBS加密是AWS在一段时间内推出的。在 EBS 加密之前，选项 E 是正确的答案，因为您需要在 EBS 卷上使用加密文件系统，直到今天，您还需要第三方安全工具来加密 EBS 卷的数据。借助 Amazon EBS 加密，您现在可以创建加密的 EBS 卷并将其附加到支持的实例类型。然后，卷上的数据、磁盘 I/O 和从卷创建的快照都将被加密。加密发生在托管 EC2 实例的服务器上，在数据在 EC2 实例和 EBS 存储之间移动时提供数据加密。EBS 加密基于行业标准的 AES-256 加密算法，选项 A 是错误的，因为 S3 - SSE 不适用于 EBS，选项 B 是错误的，因为 SSL 用于传输中的数据，选项 C 是错误的，因为 IAM 策略无法限制对 EC2 的读写访问。

11.客户端应用程序需要关系数据库服务器上的操作系统特权。什么是高可用性数据库体系结构的适当配置？

A. A standalone Amazon EC2 instance

B. Amazon RDS in a Multi-AZ configuration

C. Amazon EC2 instances in a replication configuration utilizing a single Availability Zone
.使用单个可用区的复制配置中的 Amazon EC2 实例

D. Amazon EC2 instances in a replication configuration utilizing two different Availability Zones
.使用两个不同可用区的复制配置中的 Amazon EC2 实例

这里的关键点是设计一个具有操作系统权限的 HA 解决方案数据库解决方案，正确答案是 D，因为 RDS 是 AWS 的托管服务，它不提供操作系统权限，并且对于 HA，至少需要在 2 个可用区中存在实例，选项 A 是错误的，因为单个实例不提供 HA，选项 B 是错误的，因为 RDS 不提供操作系统权限，选项 C 是错误的，因为单个可用区不提供 HA

12.您有一个在 Amazon Elastic Compute Cloud 实例上运行的应用程序，该应用程序将 5GB 的视频对象上传到 Amazon Simple Storage Service （S3）。视频上传时间比预期的要长，导致应用程序性能不佳。哪种方法有助于提高应用程序的性能？

A. Enable enhanced networking
.启用增强网络

B. Use Amazon S3 multipart upload

C. Leveraging Amazon CloudFront, use the HTTP POST method to reduce latency.
.利用 Amazon CloudFront，使用 HTTP POST 方法减少延迟。

D. Use Amazon Elastic Block Store Provisioned IOPS and use an Amazon EBS-optimized instance
.使用 Amazon Elastic Block Store 预置 IOPS 并使用 Amazon EBS 优化实例

正确答案是 B，因为分段上传允许您将单个对象作为一组分段并行上传。每个部分都是对象数据的连续部分。您可以按任意顺序独立上传这些对象部分。如果任何部件的传输失败，您可以重新传输该部件，而不会影响其他部件。上传对象的所有部分后，Amazon S3 将组装这些部分并创建对象。一般来说，当您的对象大小达到 100 MB 时，您应该考虑使用分段上传，而不是在单个操作中上传对象，请参阅 AWS 文档了解 S3 分段上传，选项 A 和 D 是错误的，因为增强联网、IOPS、EBS 优化有助于提高 EC2 实例在 AWS 网络内的性能，选项 C 是错误的，因为 CloudFront 允许从全局位置上传对象更顺畅一些，但不会改善S3 上传时间

13.您被要求为用户的主目录构建一个生命系统。解决方案必须可供组织中的个人同时访问。用户和组必须具有在文件或目录级别定义的权限。哪些 AWS 服务可以满足所有这些要求？

A. Amazon EBS

B. Amazon S3

C. Amazon EFS

D. Amazon DynamoDB

正确答案是 C，因为 EFS 是创建用户主目录的理想解决方案，并且可以跨组织的个人访问，并能够对其进行配置，请参阅 AWS EFS 常见问题和创建可写的每用户目录，问。Amazon EFS 适用于哪些使用案例？，Amazon EFS 旨在为各种工作负载和应用程序提供性能，包括大数据和分析、媒体处理工作流、内容管理、Web 服务和主目录。

14.您的公司将在即将到来的周末进行在线销售，您将需要额外的计算资源来承担额外的负载。如果必须在销售期间保证这些额外实例的可用性，那么对于此任务，最具成本效益的 EC2 定价选项是什么？

A. On-Demand Instances

B. Spot Instances + On-Demand Instances

C. Reserved Instances (3 year contract)
.预留实例（3 年合同）

D. Dedicated Instances

正确答案是 A，因为与 Spot 实例相比，按需实例将有助于预置额外的容量，并保证这些额外实例的可用性，请参阅 AWS 文档 - EC2 购买选项，选项 B 是错误的，因为 Spot 实例可能具有成本效益，但不能保证可用性，选项 C 是错误的，因为使用预留实例不具有成本效益，选项 D 是错误的，因为专用实例仅提供与其他客户端隔离的硬件，并且成本最高。

15.一家公司正准备向开发人员提供 AWS 管理控制台访问权限。公司策略强制要求进行联合身份验证和基于角色的访问控制。角色当前是使用公司 Active Directory 中的组分配的。以下哪些组合将允许开发人员访问 AWS 控制台？选择 2 个答案

A. AWS Directory Service AD Connector
.AWS Directory Service AD 连接器

B. AWS Directory Service Simple AD
.AWS Directory Service 简单 AD

C. AWS Identity and Access Management groups
.AWS Identity and Access Management 组

D. AWS Identity and Access Management roles
.AWS Identity and Access Management 角色

E. AWS Identity and Access Management users
.AWS Identity and Access Management 用户

正确答案是 A 和 D，因为 AD 连接器需要连接到本地 Active Directory，IAM 角色可用于身份提供商和联合身份验证，请参阅 AWS 博客 - 如何使用 AD 连接器连接本地 Active Directory，AD Connector 是一个目录网关，您可以使用它将目录请求重定向到本地 Microsoft Active Directory，而无需在云中缓存任何信息，您的最终用户和 IT 管理员可以使用其现有的企业凭证登录 Amazon WorkSpaces、Amazon WorkDocs 或 Amazon WorkMail 等 AWS 应用程序，您可以通过对 AWS 管理控制台的基于 IAM 角色的访问来管理 Amazon EC2 实例或 Amazon S3 存储桶等 AWS 资源，选项 B 是错误的，因为 Simple AD 是独立的 AD 设置，不允许连接到本地 AD。选项C和E是错误的，因为用户和组不起作用。

16.ABCD 公司最近在 AWS 上推出了一个自行车在线商务网站。他们有一个“产品”DynamoDB 表，用于存储每辆自行车的详细信息，例如制造商、颜色、价格、数量和尺寸，以便在在线商店中显示。由于客户需求，他们希望为每辆自行车提供图像以及现有详细信息。以下哪种方法对“产品”表上的预配吞吐量影响最小？

A. Serialize the image and store it in multiple DynamoDB tables
.序列化映像并将其存储在多个 DynamoDB 表中

B. Create an “Images” DynamoDB table to store the Image with a foreign key constraint to the “Product” table.
.创建一个 “Images” DynamoDB 表，以存储具有外键约束的 Image，以约束 “Product” 表。

C. Add an image data type to the “Product” table to store the images in binary format
.将图像数据类型添加到“Product”表中，以二进制格式存储图像

D. Store the images in Amazon S3 and add an S3 URL pointer to the “Product” table item for each image
.将图像存储在 Amazon S3 中，并为每个图像添加指向“Product”表项的 S3 URL 指针

因为 DynamoDB 不适合图像存储，图像应该存储在 S3 中，图像指针在 DynamoDB 中，请参阅 AWS 存储选项白皮书，选项 A 和 B 是错误的，因为 DynamoDB 不适合图像存储，选项 C 是错误的，因为没有图像数据类型

17.一家公司正在使用区域顶点 （mycompany.com） 启动静态网站。该公司希望将 Amazon Route 53 用于 DNS。公司应执行哪些步骤来实施可扩展且具有成本效益的解决方案？（选择二）

A. Host the website on an Amazon EC2 instance with ELB and Auto scaling and map a Route 53 alias record to the ELB endpoint.
.在具有 ELB 和 Auto Scaling 的 Amazon EC2 实例上托管网站，并将 Route 53 别名记录映射到 ELB 终端节点。

B. Host the website using AWS Elastic Beanstalk and map a Route 53 alias record to the Beanstalk stack.
.使用 AWS Elastic Beanstalk 托管网站，并将 Route 53 别名记录映射到 Beanstalk 堆栈。

C. Host the website on an Amazon EC2 instance and map a Route 53 alias record to the public IP address of the Amazon EC2 instance.
.在 Amazon EC2 实例上托管网站，并将 Route 53 别名记录映射到 Amazon EC2 实例的公有 IP 地址。

D. Serve the website from an Amazon S3 bucket and map a Route 53 alias record to the website endpoint.
.从 Amazon S3 存储桶提供网站，并将 Route 53 别名记录映射到网站终端节点。

E. Create a Route 53 hosted zone and set the NS records of the domain to use Route 53 name servers.
.创建 Route 53 托管区域并将域的 NS 记录设置为使用 Route 53 名称服务器。

正确答案是 D 和 E，因为静态网站可以托管在 S3 上，提供规模和具有成本效益的解决方案。可以在 Route 53 中创建具有托管区域的别名记录以将域指向 S3，请参阅 AWS 文档 - Route 53 路由到 S3 存储桶，Amazon Simple Storage Service （Amazon S3） 提供安全、持久、高度可扩展的云存储。您可以将 S3 存储桶配置为托管可包含网页和客户端脚本的静态网站。（S3 不支持服务器端脚本），要将域流量路由到 S3 存储桶，请使用 Amazon Route 53 创建指向存储桶的别名记录。别名记录是 Route 53 对 DNS 的扩展。它类似于 CNAME 记录，不同之处在于您可以为根域（如 example.com）和子域（如 www.example.com）创建别名记录。您只能为子域创建CNAME记录。

18.您正在构建一个由关系数据库支持的 Web 应用程序。应用程序将是读取量很大的，数据库查询将是计算密集型的。如何提高用户的整体应用程序响应？

A. Use ElastiCache to store critical pieces of data in memory for low-latency access.
.使用 ElastiCache 将关键数据片段存储在内存中，以实现低延迟访问。

B. Use Amazon SQS to distribute messages among workers that are less busy
.使用 Amazon SQS 在不太繁忙的工作线程之间分发消息

C. Use an Auto Scaling group and ELB Classic Load Balancer for the application tier.
.将 Auto Scaling 组和 ELB Classic Load Balancer 用于应用层。

D. Use Data Pipeline to replicate your relational data across all of your web tier nodes
.使用 Data Pipeline 跨所有 Web 层节点复制关系数据

正确答案是 A，因为 ElastiCache 可以通过缓存结果来帮助提高性能，因为操作主要是读取密集型的，并且数据库查询将是计算密集型的，请参阅 AWS 存储选项白皮书，ElastiCache 通过在内存中存储关键数据片段来实现低延迟访问来提高应用程序性能。它经常用作读取密集型应用程序中的数据库前端，通过缓存 I/O 密集型查询的结果来提高性能并减少数据库的负载。它还经常用于管理 Web 会话数据、缓存动态生成的网页以及缓存计算密集型计算的结果，例如推荐引擎的输出。对于需要比字符串更复杂的数据结构的应用程序，例如列表、集合、哈希和排序集，Redis 引擎通常用作内存中 NoSQL 数据库。

19.您正在设计一个将静态资产存储在 Amazon Simple Storage Service （S3） 存储桶中的 Web 应用程序。您希望此存储桶每秒立即接收超过 150 个 PUT 请求。您应该怎么做才能确保最佳性能？

A. Use multi-part upload.

B. Add a random prefix to the key names

C. Amazon S3 will automatically manage performance at this scale.
.Amazon S3 将自动管理此规模的性能。

D. Use a predictable naming scheme, such as sequential numbers or date time sequences, in the key names
.在键名称中使用可预测的命名方案，例如序列号或日期时间序列

正确答案是 B，注意 - 大约 2018 年 7 月，根据最近的 AWS 公告，S3 性能发生了巨大变化，文档已更新，请参阅 AWS 文档 - S3 性能，为键名引入随机性的一种方法是添加哈希字符串作为键名的前缀。例如，您可以计算您计划分配为键名称的字符序列的 MD5 哈希值，选项 A 是错误的，因为分段上传仅有助于缩短对象上传时间，选项 C 是错误的，因为 Amazon S3 可以扩展以支持非常高的请求速率。但是，如果 Amazon S3 存储桶中的工作负载通常超过每秒 100 个 PUT/LIST/DELETE 请求或每秒超过 300 个 GET 请求，则建议实施最佳实践，选项 D 是错误的，因为使用可预测的命名方案会降低性能

20.您正在运行一个包含以下内容的 2 层应用程序：一个 ELB、EC2 上的三个 Web 应用程序服务器和 1 个 MySQL RDS 数据库。随着负载的增加，数据库查询需要的时间越来越长，并减慢了用户请求的整体响应时间。哪些选项可以提高性能？（选择3）

A. Create an RDS read-replica and redirect half of the database read request to it
.创建一个 RDS 只读副本，并将一半的数据库读取请求重定向到该副本

B. Cache database queries in amazon ElastiCache

C. Setup RDS in multi-availability zone mode.
.在多可用区模式下设置 RDS。

D. Shard the database and distribute loads between shards.
.对数据库进行分片，并在分片之间分配负载。

E. Use amazon CloudFront to cache database queries.
.使用 Amazon CloudFront 缓存数据库查询。

正确答案是 A、B 和 D，因为主要问题是数据库性能下降，只读副本，ElastiCache 可以帮助提高读取性能，而分片可以帮助提高写入性能，选项 C 是错误的 RDS 多可用区更像是一种高可用性解决方案，选项 E 是错误的，因为 CloudFront 无法缓存数据库查询。

21.您在特定区域中有一个 EC2 实例。此 EC2 实例上运行着预配置的软件。系统已要求您创建灾难恢复解决方案，以防该区域中的实例发生故障。以下哪项是最佳解决方案？

A. Create a duplicate EC2 Instance in another AZ. Keep it in the shutdown state. When required, bring it back up.
.在另一个可用区中创建重复的 EC2 实例。 使其保持关闭状态。需要时，将其恢复。

B. Backup the EBS data volume. If the instance fails, bring up a new EC2 instance and attach the volume.
.备份 EBS 数据卷。如果实例失败，请启动新的 EC2 实例并附加卷。

C. Store the EC2 data on S3. If the instance fails, bring up a new EC2 instance and restore the data from S3.
.将 EC2 数据存储在 S3 上。如果实例失败，请启动新的 EC2 实例并从 S3 还原数据。

D. Create an AMI of the EC2 Instance and copy it to another region.
.创建 EC2 实例的 AMI 并将其复制到另一个区域。

正确答案是 D，因为 AMI 可以在安装软件的情况下创建，并且由于 AMI 是区域范围的，因此可以将它们复制到另一个区域以启动实例，请参阅 AWS 文档 - AMI 跨区域复制，跨地理位置不同的区域复制 AMI 具有以下好处：，选项 A 是错误的，因为它是 AZ 在区域发生故障时不提供 HA，，选项 B 是错误的，因为预配置的软件可能在根卷上有设置，并且需要跨区域复制快照才能重新创建卷，选项 C 是错误的，因为这是恢复故障实例的漫长且低效的方法。

22.以下哪项最能描述什么是“堡垒主机”？

A. Bastion hosts are instances that sit within your private subnet and are typically accessed using SSH or RDP. Once remote connectivity has been established with the bastion host, it then acts as a ‘jump’ server, allowing you to use SSH or RDP to log into other instances (within public subnets) deeper within your network.
.堡垒主机是位于私有子网中的实例，通常使用 SSH 或 RDP 进行访问。与堡垒主机建立远程连接后，它将充当“跳转”服务器，允许您使用 SSH 或 RDP 登录网络更深处的其他实例（在公有子网内）。

B. Bastion hosts are instances that sit within your private subnet and are typically accessed using SSH or RDP. Once remote connectivity has been established with the bastion host, it then acts as a ‘jump’ server, allowing you to use HTTPS to log into other instances (within public subnets) deeper within your network.
.堡垒主机是位于私有子网中的实例，通常使用 SSH 或 RDP 进行访问。与堡垒主机建立远程连接后，它将充当“跳转”服务器，允许您使用 HTTPS 登录到网络更深处的其他实例（在公共子网内）。

C. Bastion hosts are instances that sit within your public subnet and are typically accessed using SSH or RDP. Once remote connectivity has been established with the bastion host, it then acts as a ‘jump’ server, allowing you to use HTTPS to log into other instances (within private subnets) deeper within your network.
.堡垒主机是位于公有子网中的实例，通常使用 SSH 或 RDP 进行访问。与堡垒主机建立远程连接后，它将充当“跳转”服务器，允许您使用 HTTPS 登录网络更深处的其他实例（在私有子网内）。

D. Bastion hosts are instances that sit within your public subnet and are typically accessed using SSH or RDP. Once remote connectivity has been established with a bastion host, it then acts as a ‘jump’ server, allowing you to use SSH or RDP to log into other instances (within private subnets) deeper within your network.
.堡垒主机是位于公有子网中的实例，通常使用 SSH 或 RDP 进行访问。与堡垒主机建立远程连接后，它将充当“跳转”服务器，允许您使用 SSH 或 RDP 登录网络更深处的其他实例（在私有子网内）。****

正确答案是 D，因为 Bastion 主机充当公共子网中的跳转服务器，以允许 SSH/RDP 访问私有子网中的实例，选项 A 和 B 是错误的，因为 Bastion 应该在公共子网中并且可以访问 Internet，选项 C 是错误的，因为 Bastion 只允许 SSH/RDP 而不是 HTTPS 连接。

23.公司要求在遍历私有子网时记录所有 IP 数据包的源、目标和协议。实现这一目标的最安全可靠的方法是什么？

A. Create VPC flow logs on the subnet
.在子网上创建 VPC 流日志

B. Enable source destination check on private Amazon EC2 instances.
.在私有 Amazon EC2 实例上启用源目标检查。

C. Enable AWS CloudTrail logging and specify an Amazon S3 bucket for storing log files.
.启用 AWS CloudTrail 日志记录并指定用于存储日志文件的 Amazon S3 存储桶。

D. Create an Amazon CloudWatch logs to capture packet information.
.创建 Amazon CloudWatch 日志以捕获数据包信息。

正确答案是 A，因为只有 VPC 流允许您跟踪和捕获进出 VPC 内网络接口的所有信息，请参阅 AWS 文档 - VPC 流日志，VPC 流日志是一项功能，可让您捕获有关进出 VPC 中网络接口的 IP 流量的信息。流日志数据可以发布到 Amazon CloudWatch Logs 和 Amazon S3。创建流日志后，您可以在所选目标中检索和查看其数据，流日志可以帮助您完成许多任务;例如，排查特定流量未到达实例的原因，这反过来又可以帮助您诊断限制性过强的安全组规则。您还可以使用流日志作为安全工具来监控到达实例的流量，选项 B 是错误的，因为源/目标检查不跟踪数据包信息。默认情况下，每个 EC2 实例都会执行源/目标检查。这意味着实例必须是它发送或接收的任何流量的源或目标，选项 C 是错误的，因为 CloudTrail 是一项支持对您的 AWS 账户进行监管、合规性、操作审计和风险审计的服务。借助 CloudTrail，您可以记录、持续监控和保留与 AWS 基础设施中的操作相关的账户活动，选项 D 是错误的，因为 CloudWatch 不能用于跟踪数据包信息，而是一项监控和管理服务。

24.一家公司正在将访问密钥（访问密钥 ID 和秘密访问密钥）存储在自定义 AMI 上的文本文件中。该公司使用访问密钥从从 AMI 创建的实例访问 DynamoDB 表。安全团队已强制要求使用更安全的解决方案。哪种解决方案可以满足安全团队的任务？

A. Put the access key in an S3 bucket and retrieve the access key on boot from the instance.
.将访问密钥放入 S3 存储桶中，并在启动时从实例中检索访问密钥。

B. Pass the access key to the instances through instance user data.
.通过实例用户数据将访问密钥传递给实例。

C. Obtain the access key from a key server launched in a private subnet.
.从私有子网中启动的密钥服务器获取访问密钥。

D. Create an IAM role with permissions to access the table and launch all instances with the new role.
.创建一个有权访问表的 IAM 角色，并使用新角色启动所有实例。

正确答案是 D，因为 EC2 实例的 IAM 角色允许在实例上运行的应用程序访问 AWS 资源，而无需创建和存储任何访问密钥，请参阅 AWS 文档 - IAM 最佳实践，在 Amazon EC2 实例上运行的应用程序需要凭证才能访问其他 AWS 服务。要以安全的方式向应用程序提供凭证，请使用 IAM 角色。角色是具有自己的权限集的实体，但不是用户或组。角色也没有像 IAM 用户那样拥有自己的永久凭证集。对于 Amazon EC2，IAM 会动态地向 EC2 实例提供临时凭证，这些凭证会自动为您轮换，当您启动 EC2 实例时，您可以为该实例指定一个角色作为启动参数。在 EC2 实例上运行的应用程序在访问 AWS 资源时可以使用角色的凭证。角色的权限决定了允许应用程序执行的操作。

25.一个组织为电视节目运行在线投票系统。在广播期间，数十万张选票会在几分钟内提交，并发送到自动扩展的 Amazon EC2 实例的前端队列。EC2 实例将投票推送到 RDBMS 数据库。数据库无法跟上前端连接请求。确保选票得到及时处理的最有效和最具成本效益的方法是什么？

A. Each front-end node should send votes to an Amazon SQS queue. Provision worker instances to read the SQS queue and process message information into the RDBMS database.
.每个前端节点都应向 Amazon SQS 队列发送投票。预置工作线程实例以读取 SQS 队列并将消息信息处理到 RDBMS 数据库中。

B. As the load on the database increases, horizontally-scale the RDBMS database with additional memory-optimized instances. When voting has ended, scale down the additional instances.
.随着数据库负载的增加，使用其他内存优化实例水平扩展 RDBMS 数据库。投票结束后，缩减其他实例。

C. Re-provision the RDBMS database with larger, memory-optimized instances. When voting end, re-provision the back-end database with smaller instances.
.使用更大的内存优化实例重新预置 RDBMS 数据库。投票结束时，使用较小的实例重新预配后端数据库。

D. Send votes from each front-end node to Amazon DynamoDB. Provision worker instances to process the votes in DynamoDB into the RDBMS database.
.将投票从每个前端节点发送到 Amazon DynamoDB。预置工作线程实例以将 DynamoDB 中的投票处理到 RDBMS 数据库中。

正确答案是 A，因为 SQS 可以帮助提供松耦合并充当数据库的缓冲区。此外，由于峰值是暂时的，因此无需扩展 RDBMS，选项 B 是错误的，因为 Auto Scaling 不适用于 RDBMS，选项 C 是错误的，因为 RDBMS 无法重新预置回较小的实例，选项 D 是错误的，因为 DynamoDB 将提供单独的重复持久性数据存储，这将更昂贵地输入、处理和删除数据。

26.应用程序当前将大量记录写入一个区域中的 DynamoDB 表。辅助应用程序需要每 2 小时检索一次写入 DynamoDB 表的新记录，并相应地处理更新。以下哪项是确保辅助应用程序从 DynamoDB 表中获取相关更改的理想方法？

A. Insert a timestamp for each record and then scan the entire table for the timestamp as per the last 2 hours.
.为每条记录插入时间戳，然后扫描整个表中过去 2 小时的时间戳。

B. Create another DynamoDB table with the records modified in the last 2 hours.
.使用过去 2 小时内修改的记录创建另一个 DynamoDB 表。

C. Use DynamoDB Streams to monitor the changes in the DynamoDB table.
.使用 DynamoDB 流 监控 DynamoDB 表中的更改。

D. Transfer records to S3 which were modified in the last 2 hours.
.将在过去 2 小时内修改的记录传输到 S3。

正确答案是 C，因为 DynamoDB 流有助于监控 DynamoDB 表中的更改。第二个应用程序可以检查流中的更改，请参阅 AWS 文档 - DynamoDB Streams，DynamoDB Streams 支持诸如此类的解决方案以及许多其他解决方案。DynamoDB 流 在任何 DynamoDB 表中捕获按时间排序的项目级修改序列，并将此信息存储在日志中长达 24 小时。应用程序可以近乎实时地访问此日志并查看数据项目在修改之前和之后出现的情况，DynamoDB 流是有关 Amazon DynamoDB 表中项目更改的有序信息流。当您在表上启用流时，DynamoDB 会捕获有关对表中数据项的每次修改的信息，每当应用程序创建、更新或删除表中的项目时，DynamoDB 流都会写入一条流记录，其中包含已修改项目的主键属性。流记录包含有关对 DynamoDB 表中单个项目的数据修改的信息。您可以配置流，以便流记录捕获其他信息，例如已修改项目的“之前”和“之后”图像。

27.客户希望将 Amazon Simple Storage Service （S3） 和 Amazon Glacier 用作其备份和存档基础设施的一部分。客户计划使用第三方软件来支持此集成。哪种方法会将第三方软件的访问限制为仅对名为“company-backup”的 Amazon S3 存储桶的访问？

A. A custom bucket policy limited to the Amazon S3 API in the Amazon Glacier archive “company-backup”
.仅限于 Amazon Glacier 存档“company-backup”中的 Amazon S3 API 的自定义存储桶策略

B. A custom bucket policy limited to the Amazon S3 API in “company-backup”
.仅限于“company-backup”中的 Amazon S3 API 的自定义存储桶策略

C. A custom IAM user policy limited to the Amazon S3 API for the Amazon Glacier archive “company-backup”.
.仅限于 Amazon Glacier 存档“company-backup”的 Amazon S3 API 的自定义 IAM 用户策略。

D. A custom IAM user policy limited to the Amazon S3 API in “company-backup”.
.仅限于“company-backup”中的 Amazon S3 API 的自定义 IAM 用户策略。

正确答案是 D，因为 IAM 策略可以授予 S3 并且配置了适当的生命周期规则以将数据存档到 Glacier，请参阅 S3 IAM 策略，选项 A 和 C 是错误的，因为它们的目标是 Glacier，选项 B 是错误的，因为存储桶策略需要（现有）委托人，用户策略需要（现有）用户/组/角色

28.您的公司有一组 EC2 实例，用于访问存储在 S3 存储桶中的数据对象。您的 IT 安全部门关注此架构的安全性，并希望您实现以下措施： 1） 确保 EC2 实例安全地访问存储在 S3 存储桶中的数据对象 2） 防止意外删除对象 以下哪项有助于以经济高效的方式满足 IT 安全部门的要求？选择 2 个答案

A. Create an IAM user and ensure the EC2 Instances use the IAM user credentials to access the data in the bucket.
.创建 IAM 用户并确保 EC2 实例使用 IAM 用户凭证访问存储桶中的数据。

B. Create an IAM Role and ensure the EC2 Instances use the IAM Role to access the data in the bucket.
.创建 IAM 角色并确保 EC2 实例使用 IAM 角色访问存储桶中的数据。

C. Use S3 Cross-Region Replication to replicate the objects so that the integrity of data is maintained.
.使用 S3 跨区域复制复制对象，以保持数据的完整性。

D. Use a S3 bucket policy that prevents accidental deletions
.使用防止意外删除的 S3 存储桶策略

E. Configure S3 to use versioning and enable Multi-Factor Authentication (MFA) protected access
.将 S3 配置为使用版本控制并启用多重身份验证 （MFA） 保护访问

正确答案是 B & E，请参阅 AWS 文档 - IAM 最佳实践和 S3 版本控制，S3 对象版本控制可防止您意外覆盖或删除对象，并为您提供检索对象先前版本的机会，在 Amazon EC2 实例上运行的应用程序需要凭证才能访问其他 AWS 服务。要以安全的方式向应用程序提供凭证，请使用 IAM 角色。角色是具有自己的权限集的实体，但不是用户或组。角色也没有像 IAM 用户那样拥有自己的永久凭证集。对于 Amazon EC2，IAM 会动态地向 EC2 实例提供临时凭证，这些凭证会自动为您轮换，选项 A 是错误的，因为使用 IAM 用户不安全且不是最佳实践，选项 C 是错误的，因为跨区域复制会创建重复对象，从而增加成本，并且它们不会阻止从两个区域删除。选项 D 是错误的，因为存储桶策略无法防止意外删除和恢复

一家公司正计划使用 Docker 容器和必要的容器编排工具来满足其长期批处理需求。需要对关键和非关键数据进行批处理。以下哪项是此要求的最佳实施步骤，以确保有效管理成本？

A. Use Kubernetes for container orchestration and Reserved instances for all underlying instances.
.将 Kubernetes 用于容器编排，将预留实例用于所有底层实例。

B. Use ECS orchestration and Reserved Instances for all underlying instances.
.将 ECS 编排和预留实例用于所有底层实例。

C. Use Docker for container orchestration and a combination of Spot and Reserved Instances for the underlying instances.
.将 Docker 用于容器编排，并将 Spot 实例和预留实例组合用于底层实例。

D. Use ECS for container orchestration and a combination of Spot and Reserved Instances for the underlying instances.
.将 ECS 用于容器编排，并将 Spot 实例和预留实例组合用于底层实例。

正确答案是 D，因为将预留实例用于长期关键批处理，将 Spot 实例用于非关键批处理要求具有成本效益。ECS 可用于容器编排和支持 Spot 实例，请参阅 AWS 文档 - ECS Spot 实例，选项 A 和 B 是错误的，因为它们仅使用预留实例不具有成本效益，选项 C 是错误的，因为 Docker 无法执行容器编排。

30.公司销售人员每天上传他们的销售数据。解决方案架构师需要为这些文档提供持久的存储解决方案，以防止用户意外删除重要文档。哪些操作可以防止用户意外操作？

A. Store data in an EBS volume and create snapshots once a week.
.将数据存储在 EBS 卷中，并每周创建一次快照。

B. Store data in an S3 bucket and enable versioning.
.将数据存储在 S3 存储桶中并启用版本控制。

C. Store data in two S3 buckets in different AWS regions.
.将数据存储在不同 AWS 区域的两个 S3 存储桶中。

D. Store data on EC2 instance storage.

正确答案是 B，因为对象版本控制有助于在意外删除或覆盖的情况下恢复对象，请参阅 AWS 文档 - S3 版本控制，启用版本控制的存储桶使您能够从意外删除或覆盖中恢复对象。例如：

31.一家公司正计划在 AWS 的 EC2 实例上托管其开发、测试和生产应用程序。他们担心如何为上述每个环境的相关 IT 管理员提供访问控制权。作为架构师，您对管理相关访问有什么建议？

A. Add tags to the instances marking each environment and then segregate access using IAM Policies.
.向标记每个环境的实例添加标签，然后使用 IAM 策略隔离访问。

B. Add Userdata to the underlying instances to mark each environment.
.将用户数据添加到基础实例以标记每个环境。

C. Add Metadata to the underlying instances to mark each environment.
.将元数据添加到基础实例以标记每个环境。

D. Add each environment to a separate Auto Scaling Group.
.将每个环境添加到单独的 Auto Scaling 组。

正确答案是A，因为使用IAM策略对资源的标签可以帮助对属于不同环境的资源进行访问控制，请参阅AWS文档-标签，标签是您分配给AWS资源的标签。每个标签都由一个键和一个可选值组成，这两个值都是您定义的，标签使您能够以不同的方式对 AWS 资源进行分类，例如，按用途、所有者或环境。当您拥有许多相同类型的资源时，这很有用 - 您可以根据分配给特定资源的标签快速识别该资源。例如，您可以为账户的 Amazon EC2 实例定义一组标签，以帮助您跟踪每个实例的所有者和堆栈级别，我们建议您设计一组满足每种资源类型需求的标签键。使用一组一致的标签键可以让您更轻松地管理资源。您可以根据添加的标签搜索和筛选资源。

32.一家数据分析初创公司要求解决方案架构师为索引数据推荐 AWS 数据存储选项。数据处理引擎每天将生成超过 64 TB 的处理数据，项目大小可达 300KB。这家初创公司在数据存储模型方面很灵活，并且对数据库更感兴趣，该数据库需要最少的工作量即可随着数据集大小的增长而扩展。架构师应该推荐哪种 AWS 数据存储服务？

A. Amazon RDS

B. Amazon Redshift

C. Amazon DynamoDB

D. Amazon S3

正确答案是 C，因为 DynamoDB 将帮助存储索引数据，同时自动扩展。每个项目的属性累积大小必须符合最大 DynamoDB 项目大小 （400KB）。桌子的大小没有实际限制。表在项目数或字节数方面不受限制，选项 A 是错误的，因为 RDS 不会以每天 64TB 的数据进行扩展。此外，所有数据库实例的总存储限制为 100TiB，选项 B 是错误的，因为 Redshift 更像是一种数据分析解决方案，它不会自动扩展。它需要随着需求的变化而调整大小，选项 D 是错误的，因为 S3 不适用于索引数据

33.您正在构建一个自动转录服务，Amazon EC2 工作线程实例在其中处理上传的音频文件并生成文本文件。在检索到文本文件之前，必须将这两个文件存储在同一个持久存储中。您不知道存储容量要求是什么。哪种存储选项既经济高效又可扩展？

A. Multiple Amazon EBS volume with snapshots

B. A single Amazon Glacier vault

C. A single Amazon S3 bucket

D. Multiple instance stores
.多个实例存储

这里的关键点是存储需要持久、经济高效和可扩展，正确答案是 C，因为 S3 提供了持久、经济高效和可扩展的存储，选项 A 是错误的，因为 EBS 卷是持久的，但价格昂贵，选项 B 是错误的，因为 Glacier 虽然持久、经济高效且可扩展，但更像是一种存档解决方案，具有不经常访问的数据需求，选项 D 是错误的，因为实例存储不是持久的，因为它们链接到实例的生命周期。如果 EC2 实例终止，数据将丢失。

34.解决方案架构师正在为生产关系数据库设计存储层。数据库将在 Amazon EC2 上运行。数据库由执行密集读取和写入的应用程序访问，因此数据库需要最低的随机 I/O 延迟。哪种数据存储方式满足上述要求？

A. Store data in a file system backed by Amazon Elastic File System (EFS)
.将数据存储在 Amazon Elastic File System （EFS） 支持的文件系统中

B. Store data in Amazon S3 and use a third-party solution to expose Amazon S3 as a file system to the database server.
.将数据存储在 Amazon S3 中，并使用第三方解决方案将 Amazon S3 作为文件系统公开给数据库服务器。

C. Store data in Amazon DynamoDB and emulate relational database semantics.
.将数据存储在 Amazon DynamoDB 中并模拟关系数据库语义。

D. Stripe data across multiple Amazon EBS volumes using RAID 0
.使用 RAID 0 跨多个 Amazon EBS 卷条带化数据

正确答案是 D，因为具有 RAID 0 的 EBS 卷将有助于扩展并提供最低的随机 I/O，请参阅 AWS 文档 - EC2 Raid Config，借助 Amazon EBS，您可以使用可用于传统裸机服务器的任何标准 RAID 配置，只要您的实例的操作系统支持该特定 RAID 配置。这是因为所有 RAID 都是在软件级别完成的。为了获得比单个卷更高的 I/O 性能，RAID 0 可以将多个卷条带化在一起;对于实例冗余，RAID 1 可以将两个卷镜像在一起，选项 A 是错误的，因为 EFS 不适合数据库文件系统，选项 B 是错误的，因为 S3 不能用作数据库服务器的文件系统，选项 C 是错误的，因为 DynamoDB 不能用作关系数据库。

35.解决方案架构师需要在 Amazon EC2 实例上部署 HTTP/HTTPS 服务，并支持使用负载均衡器的 WebSocket。建筑师如何满足这些要求？

A. Configure a Network Load balancer.
.配置 Network Load Balancer。

B. Configure an Application Load Balancer.
.配置 Application Load Balancer。

C. Configure a Classic Load Balancer.
.配置 Classic Load Balancer。

D. Configure a Layer-4 Load Balancer.
.配置四层负载均衡器。

正确答案是 B，因为 Application Load Balancer 与 Classic 和 Network Load Balancer 不同，它支持 WebSockets，请参阅 AWS 文档 - ELB Application Load Balancer，Application Load Balancer 支持基于内容的路由，并支持在容器中运行的应用程序。它们支持一对行业标准协议（WebSocket 和 HTTP/2），还提供对目标实例和容器运行状况的额外可见性。在容器或EC2实例上运行的网站和移动应用程序将受益于Application Load Balancer的使用，选项A，C和D是错误的，因为它们不支持WebSockets。

36.Amazon EC2 实例上的应用程序通常会停止响应请求，并且需要重新启动才能恢复。应用程序日志已导出到 Amazon CloudWatch 中，并且您注意到问题始终遵循日志中特定消息的外观。应用程序团队正在努力解决该错误，但尚未提供修复日期。在部署修复程序之前，您可以实施哪些解决方法来自动恢复实例？

A. Create an Amazon CloudWatch alarm on an Amazon CloudWatch Logs filter for that message; based on that alarm, trigger an Amazon CloudWatch action to reboot the instance
.在 Amazon CloudWatch Logs 筛选条件上为该消息创建 Amazon CloudWatch 警报;根据该警报，触发 Amazon CloudWatch 操作以重启实例

B. Create an AWS CloudTrail alarm on low CPU; based on that alarm, trigger an Amazon SNS message to the Operations team
.在 CPU 使用率较低时创建 AWS CloudTrail 警报;根据该警报，触发向运营团队发送 Amazon SNS 消息

C. Create an Amazon CloudWatch alarm on instance memory usage; based on that alarm, trigger an Amazon CloudWatch action to reboot the instance
.创建有关实例内存使用情况的 Amazon CloudWatch 警报;根据该警报，触发 Amazon CloudWatch 操作以重启实例

D. Create an AWS CloudTrail alarm to detect the deadlock, based on the alarm, trigger an Amazon SNS message to the Operations team
.创建 AWS CloudTrail 警报以检测死锁，根据警报触发向运营团队发送 Amazon SNS 消息

正确答案是 A，因为您可以在 CloudWatch 日志上确认 CloudWatch 警报以查找消息并重启实例，请参阅 AWS 文档 - CloudWatch 日志监控，选项 C 是错误的，因为没有内存条件，它无助于处理重启，选项 B 和 D 是错误的，因为 CloudTrail 提供您的 AWS 账户活动的事件历史记录， 包括通过 AWS 管理控制台、AWS 开发工具包、命令行工具和其他 AWS 服务执行的操作。它不提供警报。

37.您正在设计一个具有堡垒主机的系统。此组件需要在没有人为干预的情况下保持高可用性。您会选择以下哪种方法？

A. Run the bastion on two instances one in each AZ
.在两个实例上运行堡垒，每个可用区一个

B. Run the bastion on an active Instance in one AZ and have an AMI ready to boot up in the event of failure
.在一个可用区中的活动实例上运行堡垒，并准备好在发生故障时启动 AMI

C. Configure the bastion instance in an Auto Scaling group Specify the Auto Scaling group to include multiple AZs but have a min-size of 1 and max-size of 1
.在 Auto Scaling 组中配置堡垒实例 指定 Auto Scaling 组以包含多个可用区，但最小大小为 1，最大大小为 1

D. Configure an ELB in front of the bastion instance
.在堡垒实例前配置ELB

正确答案是 C，因为堡垒主机允许来自外部网络的用户能够登录私有子网中的实例。堡垒主机可以通过在多个可用区中启用自动扩展（最小值和最大值为 1）来实现高可用性，这样，如果一个实例出现故障，另一个实例无需人工干预即可使用，选项 A 是错误的，因为它仍然无法处理可用区故障，选项 B 是错误的，因为它仍然需要手动干预。选项 D 是错误的，因为 ELB 不仅仅是 Web 访问。

38.当您设计支持 24 小时限时抢购时，以下哪种方法最能描述在保持异常繁忙流量的同时降低延迟的策略？

A. Launch enhanced networking instances in a placement group to support the heavy traffic
.在置放群组中启动增强型联网实例，以支持繁重的流量

B. Apply Service Oriented Architecture (SOA) principles instead of a 3-tier architecture
.应用面向服务的架构 （SOA） 原则，而不是 3 层架构

C. Use Elastic Beanstalk to enable blue-green deployment
.使用 Elastic Beanstalk 启用蓝绿部署

D. Use ElastiCache as in-memory storage on top of DynamoDB to store user sessions
.将 ElastiCache 用作 DynamoDB 上的内存中存储来存储用户会话

正确答案是 D，因为带有 DynamoDB 的 ElastiCache 将有助于提供可扩展、更快的读/写和内存存储以减少延迟，选项 A 是错误的，因为只会提高 EC2 实例中的内部吞吐量，选项 B 是错误的，因为它只是简化了架构但不能减少延迟，选项 C 是错误的，因为它改进了部署，最大限度地减少了应用程序的停机时间并易于回滚

39.Web 应用程序在从单个客户 Amazon 系统映像 （AMI） 启动的 10 个 EC2 实例上运行。EC2 实例位于 Internet Application Load Balancer 后面。Amazon Route 53 为应用程序提供 DNS。如果 Web 服务器实例停止回复请求，解决方案架构师应如何自动恢复？

A. Launch the instances in an Auto Scaling group with an Elastic Load Balancing health check.
.使用 Elastic Load Balancing 运行状况检查启动 Auto Scaling 组中的实例。

B. Launch instances in multiple Availability Zones and set the load balancer to Multi-AZ
.在多个可用区中启动实例，并将负载均衡器设置为多可用区

C. Add CloudWatch alarm actions for each instance to restart if the Status Check (Any) fails
.为每个实例添加 CloudWatch 警报操作，以便在状态检查 （Any） 失败时重新启动

D. Add Route 53 records for each instance with an instance health check
.使用实例运行状况检查为每个实例添加 Route 53 记录

正确答案是 A，因为启用了 Auto Scaling 和运行状况检查的 ELB 将有助于处理恢复。Auto Scaling 有助于将实例替换为 Auto Scaling 配置中指定的 AMI。ELB 将帮助处理仅将流量路由到正常运行的实例。Route 53 DNS 只需指向 ELB，Auto Scaling 实例的运行状况为正常或不正常。Auto Scaling 组中的所有实例都以正常状态启动。除非 Amazon EC2 Auto Scaling 收到运行状况不佳的通知，否则假定实例运行状况良好。此通知可以来自以下一个或多个来源：Amazon EC2、Elastic Load Balancing 或自定义运行状况检查，在 Amazon EC2 Auto Scaling 将实例标记为运行状况不佳后，将计划对其进行替换。如果您不希望替换实例，可以暂停任何单个 Auto Scaling 组的运行状况检查过程，要发现 EC2 实例的可用性，负载均衡器会定期发送 ping、尝试连接或发送请求来测试 EC2 实例。这些测试称为运行状况检查。运行状况检查时运行状况良好的实例的状态为 InService。运行状况检查时运行状况不佳的任何实例的状态为 OutOfService。负载均衡器对所有已注册的实例执行运行状况检查，无论实例处于健康状态还是不健康状态，负载均衡器仅将请求路由到健康实例当负载均衡器确定某个实例运行状况不佳时，它会停止将请求路由到该实例。负载均衡器在实例恢复到正常状态后继续将请求路由到实例。，负载均衡器使用 Elastic Load Balancing 提供的默认运行状况检查配置或您配置的运行状况检查配置来检查已注册实例的运行状况，如果您已将 Auto Scaling 组与 Classic 负载均衡器关联，则可以使用负载均衡器运行状况检查来确定 Auto Scaling 组中实例的运行状况。默认情况下，Auto Scaling 组会定期确定每个实例的运行状况，选项 B 是错误的，因为多个可用区中的 ELB 和 Auto Scaling 提供 HA，但如果未配置运行状况检查，则无助于恢复，选项 C 是错误的，因为每个实例不需要 CloudWatch 警报，因为使用 Auto Scaling 组，实例会不断变化。选项 D 是错误的，因为 Route 53 需要指向 Application Load Balancer。它不提供实例的负载均衡。

40.我们开发了一个移动应用程序，每周下载数百次。我们应该为移动客户端启用哪种身份验证方法来访问存储在 AWS S3 存储桶中的图像，从而为我们提供最高的灵活性并轮换凭证？选择正确答案：

A. Identity Federation based on AWS STS using an AWS IAM policy for the respective S3 bucket
.基于 AWS STS 的联合身份验证，使用相应 S3 存储桶的 AWS IAM 策略

B. Use ACLs to restrict the access to the selects AWS accounts
.使用 ACL 限制对所选 AWS 账户的访问

C. Set up S3 bucket policies with a conditional statement restricting IP address
.使用限制 IP 地址的条件语句设置 S3 存储桶策略

D. IAM user per every registered client with an IAM policy that grants S3 access to the respective bucket
.每个注册客户端的 IAM 用户，其 IAM 策略授予对相应存储桶的 S3 访问权限

正确答案是 A，因为它是一个移动应用程序，用户可以使用 STS 的联合身份验证进行身份验证，并仅授予对相应 S3 存储桶的访问权限，请参阅 AWS 文档 - IAM Web 联合身份验证

41.一家公司正在构建一个费用跟踪系统，使用户能够上传图像。现有的 Web 服务器即将加载，作为架构师，您不希望使用现有的 Web 服务器来上传图像，因为它会产生额外的负载。如何以具有成本效益的方式处理这个问题？

A. Create a secondary S3 bucket. Then, use an AWS Lambda to sync the contents to the primary bucket.
.创建辅助 S3 存储桶。然后，使用 AWS Lambda 将内容同步到主存储桶。

B. Use Auto Scaling and increase the capacity as demand increased
.使用 Auto Scaling 并随着需求的增加增加容量

C. Use Pre-Signed URLs instead to upload the images.
.请改用预签名 URL 上传图像。

D. Use ECS Containers to upload the images.
.使用 ECS 容器上传镜像。

正确答案是C，因为该解决方案正在寻找减少Web服务器上负载的选项，可以为上传生成预签名URL，这将允许用户直接上传到S3，而不必通过Web服务器路由请求。选项 D 是错误的，因为 ECS 容器需要额外的硬件，从而增加成本和时间。

42.您目前正在为您的公司构建一个将使用 API 网关的解决方案。您希望确保在设计 API 网关时能够减少对 API 网关的请求的延迟。您可以确保执行以下哪些操作来满足此要求。

A. Use AWS API Gateway with CloudFront
.将 AWS API Gateway 与 CloudFront 结合使用

B. Enable API Gateway Caching

C. Enable API Stages
.启用 API 阶段

D. Enable CORS configuration for the API Gateway
.为 API Gateway 启用 CORS 配置

正确答案是 B，因为 API Gateway 缓存有助于缓存终端节点的响应并提高性能，请参阅 AWS 文档 - API Gateway 缓存，您可以在 Amazon API Gateway 中启用 API 缓存来缓存终端节点的响应。通过缓存，您可以减少对终端节点的调用次数，还可以改善对 API 的请求的延迟。当您为阶段启用缓存时，API Gateway 会在指定的生存时间 （TTL） 周期内（以秒为单位）缓存来自终端节点的响应。然后，API Gateway 通过从缓存中查找终端节点响应来响应请求，而不是向终端节点发出请求。API 缓存的默认 TTL 值为 300 秒。最大 TTL 值为 3600 秒。TTL=0 表示缓存被禁用，选项 A 是错误的，因为 CloudFront 已经与 API 网关一起使用，选项 C 是错误的，因为 API 阶段用于部署不同版本的 API，选项 D 是错误的，因为 CORS 启用了 API 的跨域访问

43.用户创建了一个照片编辑软件并将其托管在 EC2 上。该软件接受用户关于照片格式和分辨率的请求，并向 S3 发送消息以相应地增强图片。在这种情况下，下面提到的哪些 AWS 服务将有助于使用 AWS 基础设施构建可扩展的软件？

A. AWS Glacier

B. AWS Elastic Transcoder

C. AWS Simple Notification Service
.AWS 简单通知服务

D. AWS Simple Queue Service

正确答案是D，因为SQS可用于构建可扩展和解耦的软件。SQS 可用于在 S3 中存储消息和文件，并相应地进行处理和扩展。

44.解决方案架构师正在设计一种解决方案，该解决方案在网络接口之间保留流量信息。信息安全团队将使用 Amazon CloudWatch 监控此流量信息是否存在异常。架构师应该采取什么方法？

A. Maintain traffic history on each Amazon EC2 instance.
.维护每个 Amazon EC2 实例上的流量历史记录。

B. Enable Amazon VPC Flow Logs.

C. Enable CloudTrail for VPC
.为 VPC 启用 CloudTrail

D. Enable Amazon VPC Network Logs

正确答案是 B，因为只有 VPC 流日志可以帮助跟踪 VPC 中网络接口之间的流量，请参阅 AWS 文档 - VPC 流日志，VPC 流日志是一项功能，可让您捕获有关进出 VPC 中网络接口的 IP 流量的信息。流日志数据可以发布到 Amazon CloudWatch Logs 和 Amazon S3。创建流日志后，您可以在所选目标中检索和查看其数据，流日志可以帮助您完成许多任务;例如，排查特定流量未到达实例的原因，这反过来又可以帮助您诊断限制性过强的安全组规则。您还可以使用流日志作为安全工具来监控到达实例的流量，选项 A 是错误的，因为需要捕获传入流量才能在每个 EC2 实例中进行维护。此外，它们需要在单个外部源进行整合，选项 C 是错误的，因为 CloudTrail 无法帮助跟踪 VPC 之间的网络流量。CloudTrail 提供您的 AWS 账户活动的事件历史记录，包括通过 AWS 管理控制台、AWS 开发工具包、命令行工具和其他 AWS 服务执行的操作，选项 D 是错误的，因为有 VPC 网络日志配置。

45.一家公司正在使用 AWS Key Management Service （KMS） 进行安全密钥管理。已建议该公司记录其 AWS KMS 密钥的所有使用情况。什么是最简单的解决方案？

A. Associate AWS KMS metrics with Amazon CloudWatch

B. Use AWS CloudTrail to log AWS KMS key usage.

C. Deploy a monitoring agent to the RDS instances.
.将监控Agent部署到RDS实例。

D. Poll AWS KMS periodically with a scheduled job.
.使用计划作业定期轮询 AWS KMS。

正确答案是 B，因为 CloudTrail 与 AWS KMS 集成并帮助跟踪 KMS 发生的所有事件，请参阅 AWS 文档 - 使用 CloudTrail 进行 AWS KMS 日志记录，AWS KMS 与 AWS CloudTrail 集成，后者是一项服务，可在 AWS KMS 中提供用户、角色或 AWS 服务执行的操作的记录。CloudTrail 将对 AWS KMS 的所有 API 调用作为事件捕获，包括来自 AWS KMS 控制台的调用和对 AWS KMS API 的代码调用。如果您创建跟踪，则可以使 CloudTrail 事件持续传送到 Amazon S3 存储桶，包括 AWS KMS 的事件。如果您未配置跟踪，您仍然可以在 CloudTrail 控制台的 Event history （事件历史记录） 中查看最新事件。通过使用 CloudTrail 收集的信息，您可以确定向 AWS KMS 发出了什么请求、发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。

46.一位解决方案架构师正在设计一种解决方案，用于在 Amazon S3 中存储大量事件数据。架构师预计工作负载将始终超过每秒 100 个请求。架构师应该在 Amazon S3 中执行哪些操作来优化性能？

A. Randomize the key name prefix

B. Store the event data in separate buckets
.将事件数据存储在单独的存储桶中

C. Randomize the key name suffix

D. Use Amazon S3 Transfer Acceleration

正确答案是 A，因为随机性有助于将对象分布在多个分区中，从而提高性能，注意 - AWS S3 的最新增强功能现在提供了更高的性能，支持每秒至少 3,500 个请求来添加数据和每秒 5,500 个请求来检索数据，S3 性能已更新，但这是之前来自 AWS 的建议。Amazon S3 在每个 AWS 区域中维护对象键名称的索引。对象键以 UTF-8 二进制顺序存储在索引中的多个分区中。密钥名称决定了密钥存储在哪个分区中。使用顺序前缀（如时间戳或字母顺序）会增加 Amazon S3 将大量密钥作为特定分区目标的可能性，从而使分区的 I/O 容量不堪重负。如果在键名前缀中引入一些随机性，则键名以及 I/O 负载将分布在多个分区中，示例 1：在键名中添加十六进制哈希前缀，为键名引入随机性的一种方法是添加哈希字符串作为键名的前缀。例如，您可以计算计划分配为键名的字符序列的 MD5 哈希值。从哈希中，选取特定数量的字符，并将它们作为前缀添加到键名称中。以下示例显示了具有四个字符哈希的键名称。

47.Games-R-Us正在为移动设备推出一款新的游戏应用程序。用户将使用其现有的 Facebook 帐户登录游戏，游戏会将玩家数据和得分信息直接记录到 DynamoDB 表中。对 DynamoDB API 的请求进行签名的最安全方法是什么？

A. Create an IAM user with access credentials that are distributed with the mobile app to sign the requests
.使用随移动应用程序分发的访问凭证创建一个 IAM 用户，以便对请求进行签名

B. Distribute the AWS root account access credentials with the mobile app to sign the requests
.将 AWS 根账户访问凭证与移动应用程序一起分发，以便对请求进行签名

C. Request temporary security credentials using web identity federation to sign the requests
.使用 Web 联合身份验证请求临时安全凭证以对请求进行签名

D. Establish cross account access between the mobile app and the DynamoDB table to sign the requests
.在移动应用程序和 DynamoDB 表之间建立跨账户访问，以便对请求进行签名

正确答案是 C，因为使用 IAM 角色 Web 联合身份验证将有助于身份验证和生成临时凭证，请参阅 AWS 文档 - IAM Web 联合身份验证，示例流程 - Cognito 是简化 Web 联合身份验证的服务。

48.您正在为读取密集型的小型数据库创建新的联机事务处理 （OLTP） 应用程序。数据库中的单个表全天持续更新，并且数据库性能的交付应保持一致。哪种 Amazon EBS 存储选项将实现最一致的性能，以帮助保持性能？

A. Provisioned IOP SSD
.预置 IOP SSD

B. General purpose SSD

C. Cold HDD .冷硬盘

D. Throughtput Optimized HDD.
.吞吐量优化的 HDD。

正确答案是 A，因为建议将预置 IOPS SSD 用于具有持续高吞吐量的 OLTP 要求，请参阅 AWS 文档 - EBS 卷类型，预配置 IOPS SSD （io1） 卷旨在满足对存储性能和一致性敏感的 I/O 密集型工作负载的需求，尤其是数据库工作负载。

49.您有一个 Web 样式的应用程序，该应用程序具有无状态但 CPU 和内存密集型 Web 层，在 VPC 内的 cc2.8xlarge EC2 实例上运行。负载不足的实例在业务定义的 SLA 内返回请求时出现问题。应用程序在 DynamoDB 表中保持其状态，但数据层已正确预置，并且响应速度始终很快。如何最好地解决应用程序响应不符合 SLA 的问题？

A. Add another cc2.8xlarge application instance, and put both behind an Elastic Load Balancer
.添加另一个 cc2.8xlarge 应用程序实例，并将这两个实例放在 Elastic Load Balancer 后面

B. Move the cc2.8xlarge to the same Availability Zone as the DynamoDB table
.将 cc2.8xlarge 移动到与 DynamoDB 表相同的可用区

C. Cache the database responses in ElastiCache for more rapid access
.在 ElastiCache 中缓存数据库响应，以便更快速地访问

D. Move the database from DynamoDB to RDS MySQL in scale-out read-replica configuration
.在横向扩展只读副本配置中将数据库从 DynamoDB 移动到 RDS MySQL

这里的关键点是数据层已正确配置，响应速度始终很快，只是应用程序响应需要改进，正确答案是 A，因为性能在负载期间受到影响，解决方案可以在负载均衡器平衡负载的情况下横向扩展，选项 B 是错误的，因为它没有提高处理能力，因此没有提高响应时间和性能，选项 C 和 D 是错误的，因为数据层响应速度很快

50.解决方案架构师需要使用 AWS 为本地数据中心托管的三层 Web 应用程序实施试点轻型灾难恢复。哪种解决方案可以快速提供可操作的、完全扩展的生产环境？

A. Continuously replicate the production database server to Amazon RDS. Use AWS CloudFormation to deploy the application and any additional servers if necessary.
.将生产数据库服务器持续复制到 Amazon RDS。如有必要，请使用 AWS CloudFormation 部署应用程序和任何其他服务器。

B. Continuously replicate the production database server to Amazon RDS. Create one application load balancer and register on-premises servers. Configure ELB Application Load Balancer to automatically deploy Amazon EC2 instances for application and additional servers, if the on-premises application is down.
.将生产数据库服务器持续复制到 Amazon RDS。创建一个 Application Load Balancer 并注册本地服务器。将 ELB Application Load Balancer 配置为在本地应用程序关闭时自动为应用程序和其他服务器部署 Amazon EC2 实例。

C. Use a scheduled Lambda function to replicate the production database to AWS. Use Amazon Route 53 health checks to deploy the application automatically to Amazon S3, if production is unhealthy.
.使用计划的 Lambda 函数将生产数据库复制到 AWS。如果生产运行状况不佳，请使用 Amazon Route 53 运行状况检查将应用程序自动部署到 Amazon S3。

D. Use a scheduled Lambda function to replicate the production database to AWS. Register on-premises servers to an Auto Scaling group and deploy the application to additional servers, if production is unavailable.
.使用计划的 Lambda 函数将生产数据库复制到 AWS。如果生产不可用，请将本地服务器注册到 Auto Scaling 组，并将应用程序部署到其他服务器。

请注意，对于基于 MAC 地址的软件许可，您可以使用弹性网络接口 （ENI），其 MAC 地址也可以预先分配以预配许可证。您可以将这些实例与实例关联，就像与弹性 IP 地址关联一样。 使用 Elastic Load Balancing （ELB） 将流量分配到多个实例。然后，您将更新 DNS 记录，以指向您的 Amazon EC2 实例或使用 CNAME 指向您的负载均衡器。对于不太重要的系统，我们建议将此选项用于传统的基于 Web 的应用程序，您可以确保在 AWS 中提供任何安装包和配置信息，例如，以 Amazon EBS 快照的形式。这将加快应用程序服务器的设置速度，因为您可以在多个可用区中快速创建多个卷以附加到 Amazon EC2 实例。然后，您可以进行相应的安装和配置，例如，使用备份和恢复方法，选项B是错误的，因为指示灯中不需要ALB。只有RDS需要复制，选项C是错误的，因为Lambda函数复制数据库更改不可靠，Route 53运行状况检查无法部署，S3不适合应用程序部署。 请注意，对于基于 MAC 地址的软件许可，您可以使用弹性网络接口 （ENI），其 MAC 地址也可以预先分配以预配许可证。您可以将这些实例与实例关联，就像与弹性 IP 地址关联一样。 使用 Elastic Load Balancing （ELB） 将流量分配到多个实例。然后，您将更新 DNS 记录，以指向您的 Amazon EC2 实例或使用 CNAME 指向您的负载均衡器。对于不太重要的系统，我们建议将此选项用于传统的基于 Web 的应用程序，您可以确保在 AWS 中提供任何安装包和配置信息，例如，以 Amazon EBS 快照的形式。这将加快应用程序服务器的设置速度，因为您可以在多个可用区中快速创建多个卷以附加到 Amazon EC2 实例。然后，您可以进行相应的安装和配置，例如，使用备份和恢复方法，选项B是错误的，因为指示灯中不需要ALB。只有RDS需要复制，选项C是错误的，因为Lambda函数复制数据库更改不可靠，Route 53运行状况检查无法部署，S3不适合应用程序部署。，选项 D 是错误的，因为 Lambda 函数在复制数据库更改方面不可靠，并且 Auto Scaling 无法跨本地服务器

51.用户创建了一个应用程序，该应用程序将托管在 EC2 上。应用程序调用 DynamoDB 以获取某些数据。应用程序正在使用 DynamoDB 开发工具包从 EC2 实例进行连接。对于此方案中的安全性最佳实践，下面提到的哪项陈述是正确的？

A. The user should attach an IAM role with DynamoDB access to the EC2 instance
.用户应将具有 DynamoDB 访问权限的 IAM 角色附加到 EC2 实例

B. The user should create an IAM user with DynamoDB access and use its credentials within the application to connect with DynamoDB
.用户应创建具有 DynamoDB 访问权限的 IAM 用户，并在应用程序中使用其凭证与 DynamoDB 连接

C. The user should create an IAM role, which has EC2 access so that it will allow deploying the application
.用户应创建一个具有 EC2 访问权限的 IAM 角色，以便允许部署应用程序

D. The user should create an IAM user with DynamoDB and EC2 access. Attach the user with the application so that it does not use the root account credentials
.用户应创建具有 DynamoDB 和 EC2 访问权限的 IAM 用户。将用户与应用程序附加，以便它不使用 root 帐户凭据

正确答案是 A，因为创建 IAM 角色并将其附加到实例是最佳实践。然后，应用程序可以使用临时凭证进行 DynamoDB 调用，选项 B 和 D 是错误的，因为不建议使用 IAM 用户，因为您需要对凭证进行硬编码以公开它们，并且很难轮换，选项 C 是错误的，因为您需要创建一个具有 DynamoDB 访问权限的角色并将其分配给 EC2。应用程序不需要具有 EC2 访问权限。

52.客户将其公司网站托管在面向公众的负载均衡器后面的 Web 服务器群集上。客户还使用 Amazon Route 53 来管理其公有 DNS。客户应如何配置 DNS 区域顶点记录以指向负载均衡器？

A. Create an A record pointing to the IP address of the load balancer
.创建指向负载均衡器的 IP 地址的 A 记录

B. Create a CNAME record pointing to the load balancer DNS name.
.创建指向负载均衡器 DNS 名称的 CNAME 记录。

C. Create a CNAME record aliased to the load balancer DNS name.

D. Create an A record aliased to the load balancer DNS name
.创建别名为负载均衡器 DNS 名称的 A 记录

正确答案是 D，因为 Route 53 支持在 A 记录上为顶级域名记录设置别名记录，Q。我可以将我的顶级域名（example.com 与 www.example.com）指向我的 Elastic Load Balancer 吗？Amazon Route 53 提供了一种称为“别名”记录的特殊类型的记录，可让您将顶级域名 （example.com） DNS 名称映射到 ELB DNS 名称（即 elb1234.elb.amazonaws.com）。与 Amazon Elastic Load Balancer 关联的 IP 地址可能因扩展、缩减或软件更新而随时更改。Route 53 使用负载均衡器的一个或多个 IP 地址响应别名记录的每个请求。对映射到 ELB 负载均衡器的别名记录的查询是免费的。这些查询在 Amazon Route 53 使用情况报告中列为“AWS-DNS-Intra-Queries”。

53.关于加密的 Amazon Elastic Block Store （EBS） 卷，以下哪项是正确的？选择 2 个答案

A. Supported on all Amazon EBS volume types
.支持所有 Amazon EBS 卷类型

B. Snapshots are automatically encrypted
.快照自动加密

C. Available to all instance types
.适用于所有实例类型

D. Existing volumes can be encrypted
.可以对现有卷进行加密

E. Shared volumes can be encrypted
.可以对共享卷进行加密

这里的关键点是检查加密的 EBS 卷是否为 true，请参阅 AWS 文档 - EBS 加密，正确答案是 A 和 B，所有 EBS 卷类型（通用型 SSD [gp2]、预置 IOPS SSD [io1]、吞吐量优化型 HDD [st1]、Cold HDD [sc1] 和磁性 [标准]）都支持此功能，从加密卷中获取的快照会自动加密，选项 C 是错误的，因为 Amazon EBS 加密仅适用于某些实例类型。选中支持的实例类型，选项 D 错误，因为现有卷无法加密，您需要创建加密快照以重新创建加密卷，选项 E 错误，因为卷不共享，但快照共享。此外，AWS最近允许共享加密快照，但不能公开，您可以与特定的AWS账户共享加密快照，但不能将其公开

54.应用程序在私有子网中的 Amazon EC2 实例上运行。应用程序需要在 Amazon Kinesis Data Streams 上读取和写入数据，并且公司策略要求此流量不应流向 Internet。如何满足这些要求？

A. Configure a NAT gateway in a public subnet and route all traffic to Amazon Kinesis through the Nat gateway.
.在公有子网中配置 NAT 网关，并通过 NAT 网关将所有流量路由到 Amazon Kinesis。

B. Configure a Gateway VPC endpoint gateway for Kinesis and route all traffic to Kinesis through the Gateway VPC endpoint.
.为 Kinesis 配置网关 VPC 终端节点网关，并通过网关 VPC 终端节点将所有流量路由到 Kinesis。

C. Configure an Interface VPC endpoint interface for Kinesis and route all traffic to Kinesis through the Interface VPC endpoint.
.为 Kinesis 配置接口 VPC 终端节点接口，并通过接口 VPC 终端节点将所有流量路由到 Kinesis。

D. Configure an AWS Direct Connect private virtual interface for Kinesis and route all traffic to Kinesis through the virtual interface.
.为 Kinesis 配置 AWS Direct Connect 私有虚拟接口，并通过该虚拟接口将所有流量路由到 Kinesis。

正确答案是 C，因为接口 VPC 终端节点允许从私有子网中的实例访问 kinesis 数据流，而无需通过 Internet 路由流量，请参阅 AWS 文档 - 具有接口 VPC 终端节点的 AWS Kinesis，您可以使用接口 VPC 终端节点来防止 Amazon VPC 和 Kinesis Data Streams 之间的流量离开 Amazon 网络。接口 VPC 终端节点不需要 Internet 网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。接口 VPC 终端节点由 AWS PrivateLink 提供支持，这是一种 AWS 技术，可在 AWS 服务之间使用弹性网络接口和 Amazon VPC 中的私有 IP 进行私有通信。

55.您的公司已将旧版应用程序从本地数据中心迁移到云中。旧版应用程序需要将静态 IP 地址硬编码到后端，这会阻止您使用 ELB 部署具有高可用性和容错能力的应用程序。您将采取哪些步骤来将高可用性和容错能力应用于此应用程序？选择 2 个正确答案

A. Do not migrate the application to the cloud until it can be converted to work with the ELB and Auto Scaling
.在将应用程序转换为使用 ELB 和 Auto Scaling 之前，请勿将其迁移到云中

B. Ensure that the instance it’s using has an elastic IP address assigned to it
.确保为其使用的实例分配了弹性 IP 地址

C. Write a custom script that pings the health of the instance, and, if the instance stops responding, switches the elastic IP address to a standby instance
.编写一个自定义脚本来 ping 实例的运行状况，如果实例停止响应，则将弹性 IP 地址切换到备用实例

D. Create an AMI of the instance and launch it using Auto Scaling which will deploy the instance again if it becomes unhealthy
.创建实例的 AMI 并使用 Auto Scaling 启动它，如果实例运行状况不佳，它将再次部署实例

56.解决方案架构师正在构建一个将数据存储到 Amazon RDS 中的应用程序。特别是一个表的读取量很大，最小延迟至关重要。以下哪项将提供最高级别的性能？

A. Use Amazon DynamoDB Accelerator

B. Use Amazon RDS read replicas

C. Use Amazon CloudFront
.使用 Amazon CloudFront

D. Use Amazon ElastiCache

正确答案是 D，因为 ElastiCache 有助于缓存结果并提供低延迟访问，请参阅 AWS 文档 - ElastiCache 常见问题，问：是否可以将 Amazon ElastiCache for Memcached 与 Amazon RDS 或 Amazon DynamoDB 等 AWS 持久性数据存储一起使用？是的，Amazon ElastiCache 是 Amazon RDS 或 Amazon DynamoDB 等数据存储的理想前端， 为具有极高请求速率和/或低延迟要求的应用程序提供高性能中间层，选项 A 是错误的，因为 DynamoDB Accelerator 仅适用于 DynamoDB，选项 B 是错误的，因为 RDS 只读副本有助于减少主数据库的负载。但是，它不提供低延迟，选项C是错误的，因为CloudFront没有帮助与RDS连接。

57.您正在运行一个 Web 应用程序，该应用程序在两个可用区中具有四个 Amazon EC2 实例。这些实例位于 ELB Classic Load Balancer 后面的 Auto Scaling 组中。扩展事件将一个实例添加到组中。事件发生后，您会注意到，尽管所有实例都在提供流量，但某些实例提供的流量比其他实例多。以下哪项可能是问题所在？

A. Cross-zone load balancing is not configured on the ELB Classic Load Balancer
.ELB Classic Load Balancer 上未配置跨可用区负载均衡

B. Access logs are not enabled on the ELB Classic Load Balancer
.ELB Classic Load Balancer 上未启用访问日志

C. A SSL/TLS certificate has not been deployed on the ELB Classic Load Balancer
.ELB Classic Load Balancer 上尚未部署 SSL/TLS 证书

D. Sticky bits is not enabled on the ELB Classic Load Balancer
.ELB Classic Load Balancer 上未启用粘滞位

正确答案是 A，因为可能未启用跨区域负载均衡，因此流量会在可用区之间平均分配，而不管该可用区的实例如何。启用跨区域负载均衡后，无论实例位于哪个可用区，流量都会在实例之间平均分配，请参阅 AWS 文档 - ELB 跨区域，如果 Classic Load Balancer 的负载均衡器节点可以分发请求，而不管可用区如何，这称为跨区域负载均衡。启用跨区域负载均衡后，负载均衡器节点会在为负载均衡器启用的可用区之间均匀分配传入请求。否则，每个负载均衡器节点仅将请求分发到其可用区中的实例。例如，如果您在可用区 us-west-2a 中有 10 个实例，在 us-west-2b 中有 2 个实例，则如果启用了跨区域负载均衡，则请求将均匀分布在所有 12 个实例中。否则，us-west-2b 中的 2 个实例处理的请求数与 us-west-2a 中的 10 个实例相同。

58.您正在 VPC 内部管理一个旧应用程序，其配置中具有硬编码的 IP 地址。哪两种机制允许应用程序在无需重新配置的情况下故障转移到新实例？

A. Create an ELB to reroute traffic to a failover instance
.创建 ELB 以将流量重新路由到故障转移实例

B. Create a secondary ENI that can be moved to a failover instance
.创建可移动到故障转移实例的辅助 ENI

C. Use Route53 health checks to fail traffic over to a failover instance
.使用 Route53 运行状况检查将流量故障转移到故障转移实例

D. Assign a secondary private IP address to the primary ENI that can be moved to a failover instance
.为可移动到故障转移实例的主 ENI 分配辅助私有 IP 地址

正确答案是 B & D，因为应用程序是遗留的，需要硬编码的 IP 地址，您可以使用辅助 ENI 或辅助 IP 地址，请参阅 AWS 文档 - 使用 ENI 的 EC2，为确保故障转移功能，请考虑对网络接口上的传入流量使用辅助私有 IPv4。如果实例发生故障，您可以将接口和/或辅助私有 IPv4 地址移动到备用实例，选项 A 和 C 是错误的，因为它们不允许维护固定的硬编码 IP 地址。

59.一家公司正在使用 Spot 实例来处理其工作负载。他们希望 Spot 实例停止而不是终止，以防 Spot 实例中断。如何配置？选择 2

A. Spot instance should have a one-time request type
.竞价型实例应具有一次性请求类型

B. Spot instance should have a persistent request type
.Spot 实例应具有持久性请求类型

C. Use EBS volume with the Spot instances
.将 EBS 卷与 Spot 实例结合使用

D. Use Instance store volume with the Spot instances
.将实例存储卷与 Spot 实例结合使用

E. Specify it in the launch configuration
.在启动配置中指定它

正确答案是 B 和 C，因为 Spot 实例定义了持久性请求类型，而 EBS 支持的实例允许它们停止和启动，请参阅 AWS 文档 - 启动停止 Spot 实例，Amazon EC2 Spot 现在允许在中断时停止 Amazon EBS 支持的实例，而不是在容量不再以您首选的价格可用时终止。然后，当容量在您的价格和时间要求范围内可用时，Spot 可以通过从停止状态重新启动实例来满足您的请求。要使用此新功能，请在提交持久性 Spot 请求时选择“停止”而不是“终止”作为中断行为。当您选择“停止”时，Spot 将在中断时关闭您的实例。将保存 EBS 根设备和附加的 EBS 卷，并保留其数据。当容量在您的价格和时间要求范围内再次可用时，Spot 将重新启动您的实例。重新启动后，EBS 根设备将从其先前的状态恢复，之前附加的数据卷将重新附加，并且实例将保留其实例 ID。

60.您有一个在 us-west-2 中运行的应用程序，该应用程序需要始终运行 6 个 Amazon Elastic Compute Cloud （EC2） 实例。该区域有三个可用区（us-west-2a、us-west-2b 和 us-west-2c），如果 us-west-2 中的任何单个可用区不可用，以下哪个部署可提供 100% 的容错能力？选择 2 个答案

A. Us-west-2a with two EC2 instances, us-west-2b with two EC2 instances, and us-west-2c with two EC2 instances
.us-west-2a 具有两个 EC2 实例，us-west-2b 具有两个 EC2 实例，us-west-2c 具有两个 EC2 实例

B. Us-west-2a with three EC2 instances, us-west-2b with three EC2 instances, and us-west-2c with no EC2 instances
.us-west-2a 具有三个 EC2 实例，us-west-2b 具有三个 EC2 实例，us-west-2c 具有三个 EC2 实例

C. Us-west-2a with four EC2 instances, us-west-2b with two EC2 instances, and us-west-2c with two EC2 instances
.us-west-2a 具有 4 个 EC2 实例，us-west-2b 具有 2 个 EC2 实例，us-west-2c 具有 2 个 EC2 实例

D. Us-west-2a with six EC2 instances, us-west-2b with six EC2 instances, and us-west-2c with no EC2 instances
.us-west-2a 具有 6 个 EC2 实例，us-west-2b 具有 6 个 EC2 实例，us-west-2c 没有 EC2 实例

E. Us-west-2a with three EC2 instances, us-west-2b with three EC2 instances, and us-west-2c with three EC2 instances
.us-west-2a 具有三个 EC2 实例，us-west-2b 具有三个 EC2 实例，us-west-2c 具有三个 EC2 实例

正确答案是 D 和 E，因为即使 AZ 宕机，也会有 6 个实例始终运行提供容错能力，选项 A 是错误的，如果 AZ 宕机，只有 4 个实例可用，选项 B 是错误的，因为如果 AZ 宕机，只有 3 个实例可用，选项 C 是错误的，因为如果 Us-west-2a AZ 宕机，只有 4 个实例可用

61.解决方案架构师计划将 NAT 实例迁移到 NAT 网关。架构师具有带有脚本的 NAT 实例来管理高可用性。使用 NAT 网关实现类似高可用性的最有效方法是什么？

A. Remove source/destination check on NAT instances.
.删除 NAT 实例上的源/目标检查。

B. Launch a NAT Gateway in each Availability Zone
.在每个可用区中启动 NAT 网关

C. Use a mix of NAT instances and NAT gateway
.混合使用 NAT 实例和 NAT 网关

D. Add an ELB Application Load Balancer in front of NAT gateway
.在NAT网关前添加ELB Application Load Balancer

正确答案是 B，因为 NAT 网关是按可用区启动的，并且应该在每个可用区中启动以确保高可用性，请参阅 AWS 文档 - NAT 网关，如果您在多个可用区中有资源，并且它们共享一个 NAT 网关，则在 NAT 网关的可用区关闭时，其他可用区中的资源将失去 Internet 访问权限。要创建独立于可用区的架构，请在每个可用区中创建一个 NAT 网关并配置路由以确保资源使用同一可用区中的 NAT 网关，选项 A 是错误的，因为删除源/目标不会将流量路由回原始实例，选项 C 是错误的，因为 NAT 实例和 NAT 网关的混合不提供高可用性。选项 D 是错误的，因为 ELB 用于负载均衡，而不是高可用性。

62.在公有子网中启动要用作 NAT（网络地址转换）设备的实例后，您可以修改路由表，使 NAT 设备成为私有子网的 Internet 绑定流量的目标。当您尝试从私有子网中的实例到 Internet 建立出站连接时，您不会成功。以下哪项步骤可以解决问题？

A. Attaching a second Elastic Network interface (ENI) to the NAT instance, and placing it in the private subnet
.将第二个弹性网络接口 （ENI） 附加到 NAT 实例，并将其放置在私有子网中

B. Attaching an Elastic IP address to the instance in the private subnet
.将弹性 IP 地址附加到私有子网中的实例

C. Attaching a second Elastic Network Interface (ENI) to the instance in the private subnet, and placing it in the public subnet
.将第二个弹性网络接口 （ENI） 附加到私有子网中的实例，并将其放置在公有子网中

D. Disabling the Source/Destination Check attribute on the NAT instance
.禁用 NAT 实例上的 Source/Destination Check 属性

正确答案是 D，因为 NAT 上的源/目标检查属性必须禁用。EIP 和 ENI 与通过 NAT 路由流量无关，请参阅 AWS 文档 - VPC NAT，默认情况下每个 EC2 实例执行源/目标检查。这意味着实例必须是它发送或接收的任何流量的源或目标。但是，当源或目标不是其本身时，NAT 实例必须能够发送和接收流量。因此，您必须在 NAT 实例上禁用源/目标检查。

63.管理员在 AWS 中运行高度可用的应用程序。需要一个文件存储层，可以在实例之间共享并更轻松地扩展平台。存储也应符合 POSIX 标准。哪个 AWS 服务可以执行此操作？

A. Amazon EBS

B. Amazon S3

C. Amazon EFS

D. Amazon EC2 Instance store

正确答案是 C，因为 EFS 提供了创建符合 POSIX 的共享存储的能力，请参阅 AWS 文档 - EFS，Amazon EFS 提供符合 POSIX 的弹性共享文件存储。您创建的文件系统支持来自多个 Amazon EC2 实例的并发读写访问，并且可以从创建它的 AWS 区域中的所有可用区访问，选项 A 和 D 是错误的，因为实例和 EBS 卷无法共享，选项 B 是错误的，因为 S3 不符合 POSIX 标准

64.一位解决方案架构师正在设计一种解决方案，以每分钟监控天气变化。前端应用程序托管在 Amazon EC2 实例上。后端必须可扩展到无限大小，并且数据检索必须以最小的延迟进行。架构师应使用哪种 AWS 服务来存储数据并满足这些要求？

A. Amazon S3

B. Amazon DynamoDB

C. Amazon RDS

D. Amazon EBS

正确答案是 B，因为 DynamoDB 提供了扩展到无限大小的能力，同时以最小的延迟提供对数据的访问，请参阅 AWS 文档 - DynamoDB，Amazon DynamoDB 是一种完全托管的 NoSQL 数据库服务，可提供快速且可预测的性能以及无缝的可扩展性。借助 DynamoDB，您可以减轻操作和扩展分布式数据库的管理负担，这样您就不必担心硬件预置、设置和配置、复制、软件修补或集群扩展，选项 A 是错误的，因为与 DynamoDB 相比，S3 延迟会更长，选项 C 是错误的，因为 RDS 不会扩展到无限大小，并且与 DynamoDB 相比延迟会更多，选项 D 是错误的，因为与 DynamoDB 相比，EBS 无法扩展到无限大小，并且延迟会更多

您正在运行一个旧版应用程序，该应用程序在应用程序中具有硬编码的 IP 地址。如何将高可用性应用于运行该应用程序的实例？

A. Assign a public IP address to the EC2 instance, have a backup instance running. In the event of failure, move the Public IP from the primary instance to the backup instance.
.为 EC2 实例分配公有 IP 地址，运行备份实例。如果发生故障，请将公网 IP 从主实例移动到备份实例。

B. Assign an elastic IP address to the EC2 instance, have a backup instance running. In the event of failure, move the Elastic IP from the primary instance to the backup instance.
.为 EC2 实例分配弹性 IP 地址，运行备份实例。如果发生故障，请将弹性 IP 从主实例移动到备份实例。

C. Use ELB for load balancing and assign the IP address and use auto scaling to manage load
.使用 ELB 进行负载均衡并分配 IP 地址并使用弹性伸缩来管理负载

D. EC2 instance cannot be configured with hardcoded IP address
.无法使用硬编码的 IP 地址配置 EC2 实例

正确答案是 B，因为您可以拥有固定的静态弹性 IP 地址并分配给 EC2 实例。如果 EC2 实例发生故障，则生成一个新实例并将弹性 IP 地址分配给新实例，请参阅 AWS 文档 - Fault Tolerance 和 HA 架构，弹性 IP 地址是公有 IP 地址，可以在区域内的实例之间以编程方式映射。它们与 AWS 账户关联，而不是与特定实例或实例的生命周期关联。弹性 IP 地址可用于解决主机或可用区故障，方法是将地址快速重新映射到另一个正在运行的实例或刚刚启动的替换实例。预留实例可以帮助保证此类容量在另一个区域中可用，选项 A 是错误的，因为公有 IP 地址不是静态的，如果实例重新启动或停止并启动，选项 C 是错误的，因为无法为 ELB 分配固定 IP 地址，选项 D 是错误的，因为可以为 EC2 实例分配弹性 IP 地址。

67.一位解决方案架构师正在 Amazon VPC 中规划一个新的 Web 应用程序。客户已指定新 Web 应用程序的体系结构必须包括在高度可用的 Web 服务器组之间共享会话状态的功能。为了满足这一要求，解决方案架构师应该

A. Deliver session state as messages in the Amazon SQS queue.
.将会话状态作为消息传送到 Amazon SQS 队列中。

B. Enable session state on Amazon CloudFront.
.在 Amazon CloudFront 上启用会话状态。

C. Store session state in Amazon ElastiCache

D. Provide session state through Elastic Load Balancing sticky sessions
.通过 Elastic Load Balancing 粘性会话提供会话状态

正确答案是 C，因为 ElasticCache 可以帮助存储会话信息，这些信息可以在多个实例之间共享。这有助于在不内部维护状态的情况下设计应用程序，请参阅 AWS 文档 - ElastiCache 常见问题，问：使用 Amazon ElastiCache for Memcached 可以缓存哪些内容？，您可以使用该服务缓存各种对象，从持久性数据存储（例如 Amazon RDS、DynamoDB 或 EC2 上托管的自我管理数据库）中的内容到动态生成的网页（例如使用 Nginx）， 或可能不需要持久性后备存储的瞬态会话数据。您还可以使用它来实现高频计数器，以在大容量 Web 应用程序中部署准入控制，选项 A 和 B 是错误的，因为 CloudFront 和 SQS 不适合状态存储，选项 D 是错误的，因为 Elastic Load Balancing 粘性会话限制了高可用性 Web 服务器的使用，因为状态与单个实例相关联，而不是外部维护。

68.解决方案架构师在 Amazon VPC 中运行了一个多层应用程序。该应用程序具有一个 ELB Classic Load Balancer 作为公有子网中的前端，以及一个基于 Amazon EC2 的预留代理，该代理执行到私有子网中托管的两个后端 Amazon EC2 实例的基于内容的路由。架构师看到了巨大的流量增长，并担心备用代理和当前的后端设置将不足。架构师应该采取哪些措施来实现经济高效的解决方案，确保应用程序自动扩展以满足流量需求？（选择两个）

A. Replace the Amazon EC2 reserve proxy with an ELB internal Classic Load Balancer
.将 Amazon EC2 预留代理替换为 ELB 内部 Classic Load Balancer

B. Add Auto Scaling to the Amazon EC2 backend fleet.
.将 Auto Scaling 添加到 Amazon EC2 后端队列。

C. Add Auto Scaling to the Amazon EC2 reserve proxy layer.
.将 Auto Scaling 添加到 Amazon EC2 预留代理层。

D. Use t2 burstable instance types for the backend fleet.
.将 t2 可突增实例类型用于后端队列。

E. Replace both the frontend and reserve proxy layers with an ELB Application Load Balancer.
.将前端和预留代理层替换为 ELB Application Load Balancer。

正确答案是 B & E，因为 AWS ALB 可以执行基于内容的路由，并可用于替换反向代理层。ALB 还由 AWS 托管，具有高度可用性和可扩展性。后端队列可以与 Auto Scaling 相关联以根据需求进行扩展，选项 A 是错误的，因为经典 ELB 不提供基于内容的路由功能，选项 C 是错误的，因为与 ALB 相比，Auto Scaling 不是一个经济高效的解决方案，选项 D 是错误的，因为 t2 可突增不提供可扩展性，但能够在有限的时间内突增到基线以上。

69.解决方案架构师需要为在 Amazon EC2 实例上运行的一组 Web 应用程序设计一个集中式日志记录解决方案。由于预算限制，该解决方案需要最少的开发工作。架构师应该推荐以下哪一项？

A. Create a crontab job script in each instance to push the logs regularly to Amazon S3
.在每个实例中创建一个 crontab 任务脚本，以定期将日志推送到 Amazon S3

B. Install and configure Amazon CloudWatch Logs agent in the Amazon EC2
.在 Amazon EC2 中安装和配置 Amazon CloudWatch Logs 代理

C. Enable Amazon CloudWatch Events in the AWS Management Console.
.在 AWS 管理控制台中启用 Amazon CloudWatch Events。

D. Enable AWS CloudTrail to map all API calls invoked by the application
.启用 AWS CloudTrail 以映射应用程序调用的所有 API 调用

正确答案是 B，因为 CloudWatch Logs 代理可以自动将日志发送到 CloudWatch，请参阅 AWS 文档 - CloudWatch Logs 代理，CloudWatch Logs 代理提供了一种将日志数据从 Amazon EC2 实例发送到 CloudWatch Logs 的自动化方法。代理由以下组件组成：，您可以在现有 EC2 实例上使用 CloudWatch Logs 代理安装程序来安装和配置 CloudWatch Logs 代理。安装完成后，日志会自动从实例流向您在安装代理时创建的日志流。代理确认它已启动并保持运行状态，直到您禁用它，除了使用代理之外，您还可以使用 AWS CLI、CloudWatch Logs 开发工具包或 CloudWatch Logs API 发布日志数据。AWS CLI 最适合在命令行或通过脚本发布数据。CloudWatch Logs 开发工具包最适合直接从应用程序发布日志数据或构建您自己的日志发布应用程序，选项 A 是错误的，因为这需要开发工作，选项 C 是错误的，因为 Events 提供近乎实时的系统事件流，这些事件描述了 Amazon Web Services （AWS） 资源中的更改。它无助于捕获应用程序日志，选项 D 是错误的，因为 CloudTrail 仅适用于审计日志。它不处理应用程序日志。

70.您有一个在 Amazon EC2 上运行的视频转码应用程序。每个实例轮询一个队列，以找出应转码的视频，然后运行转码过程。如果此过程中断，视频将由另一个基于排队系统的实例进行转码。您有大量积压的视频需要转码，并希望通过添加更多实例来减少此积压。只有在积压工作减少之前，才需要这些实例。您应该使用哪种类型的 Amazon EC2 实例以最经济高效的方式减少积压？

A. Reserved instances .预留实例

B. Spot instances .竞价型实例

C. Dedicated instances .独享实例

D. On-demand instances .按需实例

这里的关键点是以最具成本效益的方式实现解决方案，如果这个过程被中断，视频将被另一个基于排队系统的实例转码，正确答案是B，因为Spot实例可以以最具成本效益的方式处理负载，并且Spot实例可以突然终止的情况已经处理好了。

71.您被要求为用户的主目录构建一个生命系统。解决方案必须可供组织中的个人同时访问。用户和组必须具有在文件或目录级别定义的权限。哪些 AWS 服务可以满足所有这些要求？

A. Amazon EBS

B. Amazon S3

C. Amazon EFS

D. Amazon DynamoDB

71.您被要求为用户的主目录构建一个生命系统。解决方案必须可供组织中的个人同时访问。用户和组必须具有在文件或目录级别定义的权限。哪些 AWS 服务可以满足所有这些要求？

A. Amazon EBS

B. Amazon S3

C. Amazon EFS

D. Amazon DynamoDB

正确答案是 C，因为 EFS 是创建用户主目录的理想解决方案，并且可以跨组织的个人访问，并能够对其进行配置，请参阅 AWS EFS 常见问题和创建可写的每用户目录，问。Amazon EFS 适用于哪些使用案例？，Amazon EFS 旨在为各种工作负载和应用程序提供性能，包括大数据和分析、媒体处理工作流、内容管理、Web 服务和主目录。

72.一家公司在其 200 GB 数据仓库上有两种不同类型的换盆需求;– 数据科学家运行少量并发临时 SQL 查询，每个查询可能需要几分钟才能运行。– 整个公司的显示屏运行许多快速 SQL 查询来填充仪表板，哪种设计能以最低的成本满足这些要求？

A. Replicate relevant data between Amazon Redshift and Amazon DynamoDB. Data scientists use Redshift. Dashboards use DynamoDB
.在 Amazon Redshift 和 Amazon DynamoDB 之间复制相关数据。数据科学家使用 Redshift。控制面板使用 DynamoDB

B. Configure auto-replication between Amazon Redshift and Amazon RDS. Data scientists use Redshift and Dashboards use RDS
.配置 Amazon Redshift 和 Amazon RDS 之间的自动复制。数据科学家使用 Redshift，控制面板使用 RDS

C. Use Amazon Redshift for both requirements, with separate query queues configured in workload management.
.使用 Amazon Redshift 满足这两个要求，并在工作负载管理中配置单独的查询队列。

D. Use Amazon Redshift for Data Scientists; Run automated dashboard queries against Redshift and store the results in Amazon ElastiCache, Dashboards query ElastiCache.
.将 Amazon Redshift 用于数据科学家;对 Redshift 运行自动控制面板查询并将结果存储在 Amazon ElastiCache 中，控制面板查询 ElastiCache。

正确答案是 C，因为 Redshift 提供工作负载管理，可以帮助确定交互式和长时间运行的作业的优先级。将数据存储在单个存储服务中也有助于将成本降至最低，请参阅 AWS 文档 - Redshift 的混合工作负载，混合工作负载同时运行批处理和交互式工作负载（短期运行和长时间运行的查询或报告）以支持业务需求或需求。通常，管理和配置混合工作负载需要对访问模式、系统资源的使用方式和性能要求有透彻的了解，混合工作负载通常具有某些进程比其他进程需要更高的优先级。有时，这意味着必须在给定的 SLA 内完成某项工作。其他时候，这意味着您只想防止非关键报告工作负载在任何时候消耗过多的集群资源，如果没有工作负载管理 （WLM），每个查询的优先级都相同，这可能会导致个人、团队或工作负载消耗过多的集群资源，而这些资源不如其他更关键的业务关键型作业有价值。您可以使用 WLM 来定义业务关注点的分离，并确定系统中不同类型的并发运行查询的优先级：选项 A 和 B 是错误的，因为它会导致数据重复，并且 2 个服务的成本不会很小，选项 D 是错误的，因为 ElastiCache 不会提供最新数据。

73.使用以下 AWS 服务时，哪些服务应在多个可用区中实施以实现高可用性解决方案？选择 2 个答案

A. Amazon DynamoDB

B. Amazon Elastic Compute Cloud (EC2)

C. Amazon Elastic Load Balancing

D. Amazon Simple Notification Service (SNS)

E. Amazon Simple Storage Service (S3)

正确答案是 B 和 C，因为 ELB 可用于通过跨多个可用区跨多个 EC2 实例路由流量来提供高可用性，Elastic Load Balancing 会自动在多可用区的多个 Amazon EC2 实例之间分配传入的应用程序流量。它使您能够在应用程序中实现容错能力，无缝地提供路由应用程序流量所需的负载均衡容量，选项 A、D 和 E 是错误的，因为它们都是 AWS 托管服务，并且本身具有可扩展性和 HA。

74.一家公司正计划在 AWS 中部署应用程序。此应用程序需要 EC2 实例才能持续执行日志处理活动，这些活动需要大约 500MiB/s 的数据吞吐量。以下哪项是满足此要求的最佳存储选项？

A. EBS Provisioned IOPS SSD
.EBS 预配置 IOPS SSD

B. EBS Throughput Optimized HDD

C. EBS General Purpose SSD

D. EBS Cold HDD
.EBS 冷硬盘

正确答案是 B，因为吞吐量优化型 HDD 最适合通常涉及大数据、ETL 作业和日志处理的大型顺序 I/O 工作负载，请参阅 AWS 文档 - EBS 卷类型，吞吐量优化型 HDD （st1） 卷提供低成本的磁性存储，根据吞吐量而不是 IOPS 来定义性能。此卷类型非常适合大型顺序工作负载，例如 Amazon EMR、ETL、数据仓库和日志处理。不支持可启动的 st1 卷，吞吐量优化的 HDD （st1） 卷虽然类似于 Cold HDD （sc1） 卷，但旨在支持频繁访问的数据，此卷类型针对涉及大型顺序 I/O 的工作负载进行了优化，我们建议工作负载执行小型随机 I/O 的客户使用 gp2，较大的卷会线性扩展这些限制， 吞吐量上限为 500 MiB/s。

75.您正在为客户设置 VPN，以将其远程网络连接到其 Amazon VPC 环境。有许多方法可以实现此目的，并帮助您确定您已获得客户指定网络需要能够执行的操作的列表。它们如下： - 可预测的网络性能 - 支持 BGP 对等互连和路由策略 - 安全的 IPsec VPN 连接，但不能通过 Internet 以下哪个 VPN 选项最能满足客户的要求？从以下选项中选择正确答案

A. Software appliance-based VPN connection with IPsec
.基于 IPsec 的基于软件设备的 VPN 连接

B. AWS Direct Connect and IPsec Hardware VPN connection over private lines
.通过专线的 AWS Direct Connect 和 IPsec 硬件 VPN 连接

C. AWS Direct Correct with AWS VPN CloudHub
.AWS Direct 使用 AWS VPN CloudHub 进行校正

D. AWS VPN CloudHub
.AWS VPN 云中心

正确答案是B，因为使用Direct Connect将提供可预测的网络性能并支持BGP对等互连和路由策略，而VPN将提供安全的IPsec VPN连接，但不能通过Internet，请参阅AWS文档 - VPC VPN连接，选项A是错误的，因为流量仍然通过Internet路由，选项C和D是错误的，因为CloudHub有助于多个远程站点之间的通信

76.照片共享服务将图片存储在 Amazon Simple Storage Service （S3） 中，并允许使用与 OpenID Connect 兼容的身份提供商登录应用程序。对于 Amazon S3 操作，您应该使用哪种 AWS Security Token Service 临时访问方法？

A. SAML-based Identity Federation

B. Cross-Account Access

C. AWS IAM users

D. Web Identity Federation

正确答案是 D，请参阅 AWS 文档 - IAM Web 联合身份验证，使用 Web 联合身份验证，您无需创建自定义登录代码或管理自己的用户身份。相反，您的应用程序的用户可以使用知名身份提供商 （IdP）（例如 Login with Amazon、Facebook、Google 或任何其他与 OpenID Connect （OIDC） 兼容的 IdP）登录，接收身份验证令牌，然后将该令牌交换为 AWS 中的临时安全凭证，这些凭证映射到有权使用您 AWS 账户中的资源的 IAM 角色。使用 IdP 可帮助您确保 AWS 账户的安全，因为您不必在应用程序中嵌入和分发长期安全凭证，选项 A 是错误的，因为 SAML 主要用于符合 SAML 标准的身份提供商，选项 B 是错误的，因为跨账户访问是提供对其他 AWS 账户的访问权限，选项 C 是错误的，因为 IAM 用户是向实际用户授予访问权限

77.您的任务是在 AWS 中构建应用程序。该架构将由 EC2、Classic Load Balancer、Auto Scaling 和 Route 53 组成。有一个指令可以确保在此体系结构中可以进行蓝绿部署。在 Route 53 中，您最好使用哪种路由策略来实现蓝绿部署？

A. Simple

B. Multi-answer

C. Latency

D. Weighted .加权

正确答案是 D，因为加权路由策略有助于在不同环境中以受控方式分配流量。测试后即可进行切换，请参阅AWS蓝绿部署白皮书和路由策略

78.工作负载包括从 Amazon S3 存储桶下载映像、处理映像并将其移动到另一个 Amazon S3 存储桶。Amazon EC2 实例每小时运行一次计划任务来执行该操作。解决方案架构师应如何重新设计流程，使其具有高可用性？

A. Change the Amazon EC2 instance to compute optimized.
.将 Amazon EC2 实例更改为计算优化型。

B. Launch a second Amazon EC2 instance to monitor the health of the first
.启动第二个 Amazon EC2 实例以监控第一个实例的运行状况

C. Trigger a Lambda function when a new object is uploaded.
.在上传新对象时触发 Lambda 函数。

D. Initially copy the images to an attached Amazon EBS volume.
.最初将映像复制到附加的 Amazon EBS 卷。

正确答案是 C，因为 Lambda 为流程提供了高可用性，并且消除了对任何计算基础设施的需求，请参阅 AWS 文档 - Lambda，AWS Lambda 是一种无服务器计算服务，它运行您的代码以响应事件并自动为您管理底层计算资源。您可以使用 AWS Lambda 通过自定义逻辑扩展其他 AWS 服务，或创建自己的后端服务，这些服务以 AWS 规模、性能和安全性运行。AWS Lambda 可以自动运行代码以响应多个事件，例如通过 Amazon API Gateway 的 HTTP 请求、对 Amazon S3 存储桶中的对象的修改、Amazon DynamoDB 中的表更新以及 AWS Step Functions 中的状态转换。 容量配置和自动扩展、代码和安全补丁部署，以及代码监控和日志记录。您需要做的就是提供代码，选项 A、B 和 D 是错误的，因为它们不会在实例出现故障时提供高可用性。

79.一家公司希望将负载均衡器用于其应用程序。但是，该公司希望在不修改任何标头的情况下转发请求。公司应该使用什么服务？

A. Classic Load Balancer

B. Network Load Balancer

C. Application Load Balancer

D. Use Route 53 instead
.请改用 Route 53

正确答案是 B，因为 Network Load Balancer 在第 4 层 TCP 上工作，它将请求转发到后端实例而不修改标头，请参阅 AWS 文档 - ELB 侦听器，选项 A 和 C 是错误的，因为经典 ELB 和 ALB 可以在第 7 层上工作，它们可以修改标头，选项 D 是错误的，因为 Route 53 不执行负载均衡器的工作。

80.一家公司有一个使用 S3 存储桶作为其数据层的应用程序。根据对 S3 存储桶的监控，可以看出 GET 请求的数量为每秒 400 个请求。IT 运营团队接收有关用户在访问应用程序时收到 HTTP 500 或 503 错误的服务请求。可以做些什么来解决这些错误？选择 2 个答案

A. Add a CloudFront distribution in front of the bucket.
.在存储桶前面添加 CloudFront 分配。

B. Add an ELB in front of the S3 bucket.
.在 S3 存储桶前面添加一个 ELB。

C. Add randomness to the key names.
.为键名称添加随机性。

D. Enable Versioning for the S3 bucket.
.为 S3 存储桶启用版本控制。

正确答案是 A 和 C，因为以 S3 为源的 CloudFront 有助于缓存请求并减少对 S3 的直接调用，随机性有助于 S3 中跨分区的数据分发，请参阅 AWS 文档 - S3 性能，Amazon S3 在每个 AWS 区域中维护对象键名称的索引。对象键以 UTF-8 二进制顺序存储在索引中的多个分区中。密钥名称决定了密钥存储在哪个分区中。使用顺序前缀（如时间戳或字母顺序）会增加 Amazon S3 将大量密钥作为特定分区目标的可能性，从而使分区的 I/O 容量不堪重负。如果您在键名前缀中引入了一些随机性，则键名以及 I/O 负载将分布在多个分区中，如果您的工作负载主要发送 GET 请求，除了上述准则外，您还应考虑使用 Amazon CloudFront 进行性能优化，将 Amazon CloudFront 与 Amazon S3 集成， 您可以以低延迟和高数据传输速率将内容分发给用户。你也会向 Amazon S3 发送更少的直接请求，这将降低你的成本，例如假设你有几个非常受欢迎的对象Amazon CloudFront 从 Amazon S3 获取这些对象并对其进行缓存。然后，Amazon CloudFront 可以从其缓存中处理对象的未来请求，从而减少它发送到 Amazon S3 的 GET 请求的数量，选项 B 是错误的，因为 ELB 用于将流量分配到 EC2 实例，不适用于 S3，选项 D 是错误的，因为版本控制有助于维护多个副本，并有助于从意外删除或覆盖中恢复。

81.您的 Auto Scaling 组配置为在 5 分钟间隔内总 CPU 负载超过 65% 时启动一个新的 Amazon EC2 实例。有时，Auto Scaling 组会在第一个 Amazon EC2 实例运行之前启动第二个实例。第二个实例不是必需的，并且会带来不必要的计算成本。如何阻止 Auto Scaling 组启动第二个实例？

A. Configure a lifecycle hook for your Auto Scaling group
.为您的 Auto Scaling 组配置生命周期挂钩

B. Add a scaling-specific cooldown period to the scaling policy
.在扩展策略中添加特定于扩展的冷却期

C. Adjust the CPU threshold that triggers a scaling action
.调整触发扩展操作的 CPU 阈值

D. Attach a new launch configuration to the Auto Scaling group
.将新的启动配置附加到 Auto Scaling 组

正确答案是 B，因为您需要调整新添加实例的冷却时间以启动和处理流量，请参阅 AWS 文档 - Auto Scaling 冷却时间，Auto Scaling 冷却时间是 Auto Scaling 组的可配置设置，有助于确保 Auto Scaling 不会在之前的扩展活动生效之前启动或终止其他实例。在 Auto Scaling 组使用简单的扩展策略动态扩展后，Auto Scaling 会等待冷却期完成，然后再恢复扩展活动。当您手动扩展 Auto Scaling 组时，默认设置不等待冷却时间，但您可以覆盖默认值并遵守冷却时间。如果实例运行状况不佳，Auto Scaling 不会等待冷却时间结束，然后再替换运行状况不佳的实例。

82.一家初创公司正在开发一个应用程序来跟踪一款流行视频游戏的高分。他们的解决方案架构师的任务是设计一个解决方案，以便实时处理来自全球数百万玩家的乐谱。架构师应该使用哪种 AWS 服务来提供从视频游戏到数据存储的可靠数据摄取？

A. AWS Data Pipeline

B. Amazon Kinesis Firehose

C. Amazon DynamoDB Streams

D. Amazon Elasticsearch Service

正确答案是 B，因为 Kinesis Firehose 可以帮助以最少的管理实现可靠的数据摄取，请参阅 AWS 文档 - Kinesis Firehose，Amazon Kinesis Data Firehose 是一项完全托管的服务，用于将实时流数据传输到 Amazon Simple Storage Service （Amazon S3）、Amazon Redshift、Amazon Elasticsearch Service （Amazon ES） 和 Splunk 等目标。Kinesis Data Firehose 与 Kinesis Data Streams、Kinesis Video Streams 和 Amazon Kinesis Data Analytics 一起是 Kinesis 流数据平台的一部分。使用 Kinesis Data Firehose，您无需编写应用程序或管理资源。您可以将数据创建器配置为将数据发送到 Kinesis Data Firehose，它会自动将数据传输到您指定的目标。您还可以将 Kinesis Data Firehose 配置为在传输数据之前对其进行转换。

83.您在一家非常大的制药公司工作，该公司拥有多个应用程序，这些应用程序非常不同，并且基于不同的编程语言构建。如何尽快部署应用程序？选择正确答案：

A. Create a Lambda function deployment package consisting of code and any dependencies
.创建包含代码和任何依赖项的 Lambda 函数部署程序包

B. Develop each app in a separate Docker container and deploy using CloudFormation
.在单独的 Docker 容器中开发每个应用程序，并使用 CloudFormation 进行部署

C. Develop each app in one Docker container and deploy using Elastic Beanstalk
.在一个 Docker 容器中开发每个应用程序，并使用 Elastic Beanstalk 进行部署

D. Develop each app in a separate Docker container and deploy using Elastic Beanstalk
.在单独的 Docker 容器中开发每个应用程序，并使用 Elastic Beanstalk 进行部署

正确答案是D，因为有了Elastic Beanstalk，每个应用程序都可以部署为一个单独的Docker容器，参考AWS文档-Elastic Beanstalk Create Deploy Docker，Elastic Beanstalk支持从Docker容器部署Web应用程序。使用 Docker 容器，您可以定义自己的运行时环境。您可以选择自己的平台、编程语言和其他平台不支持的任何应用程序依赖项（例如包管理器或工具）。Docker 容器是独立的，包括 Web 应用程序运行所需的所有配置信息和软件，通过将 Docker 与 Elastic Beanstalk 结合使用，您拥有了一个自动处理容量预置、负载均衡、扩展和应用程序运行状况监控详细信息的基础设施。您可以在支持与 Elastic Beanstalk 集成的各种服务（包括但不限于 VPC、RDS 和 IAM）的环境中管理 Web 应用程序。

84.组织存储客户文件，并且必须经常增加其本地存储系统的大小，以实现快速访问和存档。该组织希望迁移到 AWS，并且需要 AWS 解决方案。如何以最低的成本满足这一要求？

A. Use Amazon Glacier for regular storage and Amazon S3 for archiving data.
.使用 Amazon Glacier 进行常规存储，使用 Amazon S3 存档数据。

B. Use Amazon EBS for regular storage and Amazon S3 for archiving data.
.使用 Amazon EBS 进行常规存储，使用 Amazon S3 存档数据。

C. Use Amazon S3 for regular storage and Amazon Glacier for archiving data.
.使用 Amazon S3 进行常规存储，使用 Amazon Glacier 存档数据。

D. Use Amazon EBS for archiving data and Amazon Glacier for regular storage.
.使用 Amazon EBS 存档数据，使用 Amazon Glacier 进行常规存储。

正确答案是 C，因为 S3 将为具有快速访问功能的存储和用于存档的 Glacier 提供理想的解决方案。可以定义对象转换规则以将对象从 S3 移动到 Glacier。此外，该解决方案具有成本效益，选项A是错误的，因为Glacier无法提供对数据的快速访问，选项B和D是错误的，因为EBS不是一个具有成本效益的解决方案。

85.作为应用程序架构要求的一部分，您工作的公司已请求能够针对 Elastic Load Balancer 中的所有组合日志文件运行分析。在 AWS 环境中，哪些服务用于收集日志和处理日志文件分析？

A. Amazon S3 for storing the ELB log files and EC2 for processing the log files in analysis
.Amazon S3 用于存储 ELB 日志文件，EC2 用于处理分析中的日志文件

B. Amazon EC2 for storing and processing the log files
.用于存储和处理日志文件的 Amazon EC2

C. Amazon DynamoDB to store the logs and EC2 for running custom log analysis scripts
.Amazon DynamoDB 用于存储日志，EC2 用于运行自定义日志分析脚本

D. Amazon S3 for storing ELB log files and Amazon EMR for processing the log files in analysis
.Amazon S3 用于存储 ELB 日志文件，Amazon EMR 用于在分析中处理日志文件

正确答案是D，因为S3可用于存储ELB日志文件，并让EMR执行相同的分析，选项A是错误的，因为您需要在EC2实例上部署应用程序，并且它处理EMR开箱即用的分布式并行处理，选项B和C是错误的，因为DynamoDB和EC2不适合存储日志。

86.一家公司正在使用托管 VPN 连接来连接其本地数据中心。他们想监控 vpn 何时出现故障。他们如何实施监控？

A. Using TunnelState CloudWatch metrics

B. Using custom CloudWatch metrics

C. Use Lambda function to consume the VPN logs
.使用 Lambda 函数使用 VPN 日志

D. Create and deploy an external service to ping the VPN endpoint
.创建并部署外部服务以 ping VPN 终结点

正确答案是 A，因为现在可以使用 CloudWatch 监控 VPN 连接，请参阅 AWS 文档 - CloudWatch VPN Monitoring，TunnelState，隧道的状态0 表示 DOWN，1 表示 UP，单位：布尔值

87.公司在本地托管网站。该网站混合了静态和动态内容，但用户在加载静态文件时会遇到延迟。哪种 AWS 服务可以帮助减少延迟？

A. Amazon CloudFront with on-premises servers as the origin.
.以本地服务器为源的 Amazon CloudFront。

B. ELB Application Load Balancer.

C. Amazon Route 53 latency-based routing.
.Amazon Route 53 基于延迟的路由。

D. Amazon EFS to store and serve static files.
.Amazon EFS，用于存储和提供静态文件。

正确答案是 A，因为 CloudFront 可用于缓存静态资源并在本地托管时提供低延迟访问，请参阅 AWS 文档 - CloudFront Origins，CloudFront 支持使用多个 AWS 资源作为源。例如，您可以指定 Amazon S3 存储桶或 MediaStore 容器、MediaPackage 通道或自定义源，例如 Amazon EC2 实例或您自己的 HTTP Web 服务器，选项 B、C 和 D 是错误的，因为它们无助于减少延迟。

88.解决方案架构师必须满足哪些要求才能指定 Amazon EC2 实例应停止而不是终止其 Spot 实例中断？（选择两个。

A. The Spot Instance request type must be one-time.
.Spot 实例请求类型必须为一次性。

B. The Spot Instance request type must be persistent.
.Spot 实例请求类型必须是持久的。

C. The root volume must be an Amazon EBS volume
.根卷必须是 Amazon EBS 卷

D. The root volume must be an instance store volume.
.根卷必须是实例存储卷。

E. The launch configuration is changed.
.启动配置已更改。

确答案是 B 和 C，因为 Spot 实例定义了持久性请求类型，而 EBS 支持的实例允许它们停止和启动，请参阅 AWS 文档 - 启动停止 Spot 实例，Amazon EC2 Spot 现在允许在中断时停止 Amazon EBS 支持的实例，而不是在容量不再以您首选的价格可用时终止。然后，当容量在您的价格和时间要求范围内可用时，Spot 可以通过从停止状态重新启动实例来满足您的请求。要使用此新功能，请在提交持久性 Spot 请求时选择“停止”而不是“终止”作为中断行为。当您选择“停止”时，Spot 将在中断时关闭您的实例。将保存 EBS 根设备和附加的 EBS 卷，并保留其数据。当容量在您的价格和时间要求范围内再次可用时，Spot 将重新启动您的实例。重新启动后，EBS 根设备将从其先前的状态恢复，以前附加的数据卷将重新附加，并且实例将保留其实例 ID，选项 A、D 和 E 是错误的，因为它们无效。

89.您被任命为解决方案架构师，协助企业客户将电子商务平台迁移到 Amazon Virtual Private Cloud （VPC） 之前的架构师已经部署了 3 层 VPC。配置如下： VPC vpc-2f8tLC447 IGW ig-2d8bc445 NACL acl-2080c448 子网和路由表： Web 服务器的子网-258bc44d 应用程序服务器的子网-248DC44c 数据库服务器的子网-9189c6f9 路由表：rtb-2i8bc449 rtb-238bc44b 关联： 子网-258bc44d： rtb-2i8bc449 子网-248DC44c： rtb-238bc44b 子网-9189c6f9： rtb-238bc44b 您现在可以开始将 EC2 实例部署到 VPC 中了。Web 服务器必须能够直接访问 Internet 应用程序，而数据库服务器不能直接访问 Internet。以下哪种配置将使您能够远程管理应用程序和数据库服务器，并允许这些服务器从 Internet 检索更新？

A. Create a bastion and NAT Instance in subnet-258bc44d and add a route from rtb-238bc44b to subnet-258bc44d.
.在 subnet-258bc44d 中创建堡垒和 NAT 实例，并添加从 rtb-238bc44b 到 subnet-258bc44d 的路由。

B. Add a route from rtb-238bc44b to igw-2d8bc445 and add a bastion and NAT instance within Subnet-248DC44c.
.添加从 rtb-238bc44b 到 igw-2d8bc445 的路由，并在 Subnet-248DC44c 中添加堡垒和 NAT 实例。

C. Create a Bastion and NAT Instance in subnet-258bc44d. Add a route from rtb-238bc44b to igw-2d8bc445. And a new NACL that allows access between subnet-258bc44d and subnet-248bc44c.
.在 subnet-258bc44d 中创建堡垒和 NAT 实例。添加从 rtb-238bc44b 到 igw-2d8bc445 的路由。以及允许在 subnet-258bc44d 和 subnet-248bc44c 之间进行访问的新 NACL。

D. Create a Bastion and NAT instance in subnet-258bc44d and add a route from rtb-238bc44b to the NAT instance.
.在 subnet-258bc44d 中创建堡垒和 NAT 实例，并将 rtb-238bc44b 路由添加到 NAT 实例。

正确答案是 D，因为堡垒和 NAT 应该在公有子网中。由于 Web Server 可以直接访问 Internet，因此子网 subnet-258bc44d 应该是公共的，路由 rtb-2i8bc449 指向 IGW。专用子网的路由 rtb-238bc44b 应指向 NAT 进行传出 Internet 访问，选项 A 是错误的，因为路由应指向 NAT，选项 B 是错误的，因为将 IGW 添加到路由 rtb-238bc44b 会将应用程序和数据库服务器暴露给 Internet。堡垒和 NAT 应该在公共子网中，选项 C 是错误的，因为路由应该指向 NAT 而不是 Internet 网关，否则它将可以访问 Internet。

90.一家公司在 Amazon EC2 实例上运行具有单层架构的旧版。磁盘 I/0 较低，在工作时间偶尔会出现小峰值。该公司要求实例在每天晚上 8 点到早上 8 点停止。哪些存储选项最适合此工作负载？

A. Amazon EC2 instance storage

B. Amazon EBS General Purpose SSD (gp2) storage

C. Amazon S3

D. Amazon EBS Provision IOPS SSD (io1) storage

正确答案是 B，因为使用率很低，偶尔会出现峰值，EBS 通用型 SSD （gp2） 存储将是存储的理想选择。gp2 还提供突增功能来处理偶尔出现的峰值，请参阅 AWS 文档 - EBS gp2 卷，通用型 SSD （gp2） 卷提供经济高效的存储，是各种工作负载的理想选择。这些卷提供个位数毫秒的延迟，并能够在较长时间内突增至 3,000 IOPS。在最低 100 IOPS（33.33 GiB 及以下）和最大 10,000 IOPS（3,334 GiB 及以上）之间，基准性能以每 GiB 卷大小 3 IOPS 的速度线性扩展。AWS 设计 gp2volumes 可在 99% 的时间内提供预置性能。gp2 卷的大小范围从 1 GiB 到 16 TiB，选项 A 是错误的，因为 EC2 实例存储不保持持久性，选项 C 是错误的，因为 S3 是对象存储，无法附加到 EC2 实例，选项 D 是错误的，因为使用率很低，偶尔会出现峰值 gp2 比 io1 更合适。

91.一位解决方案架构师正在设计一个在线购物应用程序，该应用程序在 ELB Application Load Balancer 后面的 EC2 实例上的 VPC 中运行。这些实例在跨多个可用区的 Auto Scaling 组中运行。应用层必须向客户管理的数据库群集读取和写入数据。不应从 Internet 访问数据库，但群集必须能够从 Internet 获取软件修补程序。哪种 VPC 设计满足这些要求？

A. Public subnets for both the application tier and the database cluster
.应用层和数据库群集的公有子网Public subnets for both the application tier and the database cluster

B. Public subnets for the application tier, and private subnets for the database cluster
.应用层的公有子网和数据库集群的私有子网

C. Public subnets for the application tier and NAT Gateway, and private subnets for the database cluster
.应用层和 NAT 网关的公有子网，以及数据库集群的私有子网

D. Public subnets for the application tier, and private subnets for the database cluster and NAT Gateway
.应用层的公有子网，以及数据库集群和 NAT 网关的私有子网

正确答案是 C，因为应用层需要位于公共子网中才能从 Internet 访问。数据库集群应托管在私有子网中，因为它们不应从 Internet 访问。但是，数据库集群需要访问互联网才能下载补丁，这可以通过托管在公有子网中的 NAT 网关来完成，请参阅 AWS 文档 - VPC 场景 2

92.解决方案架构师被要求将存储在 Amazon S3 上的视频内容从 Amazon CloudFront 交付给特定用户，同时限制未经授权的用户访问。架构师如何实施解决方案来满足这些要求？

A. Configure CloudFront to use signed-URLs to access Amazon S3
.将 CloudFront 配置为使用签名 URL 访问 Amazon S3

B. Store the videos as private objects in Amazon S3 and let CloudFront serve the objects by using only Origin Access Identity (OAI)
.将视频作为私有对象存储在 Amazon S3 中，并让 CloudFront 仅使用源访问身份 （OAI） 提供对象

C. Use Amazon S3 static website as the origin of CloudFront, and configure CloudFront to deliver the videos by generating a signed URL for users
.使用 Amazon S3 静态网站作为 CloudFront 的源，并将 CloudFront 配置为通过为用户生成签名 URL 来传输视频

D. Use OAI for CloudFront to access private S3 objects and select the Restrict Viewer Access option in CloudFront cache behavior to use signed URLs.
.使用 OAI for CloudFront 访问私有 S3 对象，并在 CloudFront 缓存行为中选择 Restrict Viewer Access （限制查看器访问） 选项以使用签名 URL。

正确答案是 D，因为 S3 存储桶必须是私有的，并且使用源访问身份通过 CloudFront 进行访问控制。需要启用限制访问选项才能使用签名 URL 来防止未经授权的访问，请参阅 AWS 文档 - 在 Amazon CloudFront 中访问私有内容，要在 Amazon CloudFront 中使用私有内容，您需要一个启用了私有内容的 Amazon CloudFront 分配，以及您信任的授权账户列表来访问您的私有内容。从 Amazon CloudFront 控制台的 Create Distribution Wizard （创建分配向导） 中，开始创建 Web 分配。在“Origin Settings”（源设置）部分中，选择您仅为私有内容创建的 Amazon S3 存储桶，并确保选择以下选项：，这将在您的 Amazon S3 存储桶上设置权限，以保护您的内容不被公开访问，但仍允许 CloudFront 访问您的内容。 在“默认缓存行为设置”部分的底部，确保启用“限制查看器访问”选项，并选择“self”作为受信任的签名者。这些签名者被称为受信任的签名者，因为您信任由他们签名的 URL，并允许他们访问您的私有内容。在我们的示例中，我们使用 self 作为唯一的可信签名者，这意味着只有您的账户才能对 URL 进行签名以访问您的 CloudFront 私有内容，选项 A 是错误的，因为解决方案不完整，选项 B 是错误的，因为分配需要启用限制查看器才能仅通过签名 URL 强制访问，选项 C 对于限制 S3 存储桶需要定义的私有访问是错误的。

93.餐厅预订应用程序需要能够维护等候名单。当客户尝试预订餐桌，但没有空位时，必须将该顾客列入等候名单，并且应用程序必须在餐桌空闲时通知客户。解决方案架构师应该推荐什么服务来确保系统遵循客户请求进入等候名单的顺序？

A. Amazon SNS

B. AWS Lambda with sequential dispatch
.具有顺序调度功能的 AWS Lambda

C. A FIFO queue in Amazon SQS

D. A standard queue in Amazon SQS

正确答案是 C，因为 FIFO SQS 队列可以帮助保持序列的插入顺序，并以相同的顺序进行处理，请参阅 AWS 文档 - SQS FIFO 队列，FIFO（先进先出）队列旨在增强应用程序之间的消息传递，当操作和事件的顺序至关重要时，或者不能容忍重复，选项 A 是错误的，因为 SNS 仅帮助通知，它会将事件发布给所有订阅者，选项 B 是错误的，因为 Lambda 无法保证顺序调度，选项 D 是错误的，因为 SQS 标准队列不保证顺序。

94.您的公司拥有单独的 AWS 账户用于开发和生产。在开发账户中为每个开发人员分配一个 IAM 用户。开发人员有时需要访问生产帐户才能向该环境推出更改。您的公司不允许在生产账户中创建 IAM 用户？

A. Create an IAM role in the development account. Allow IAM Users in the development account to assume the role
.在开发账户中创建 IAM 角色。允许开发账户中的 IAM 用户代入角色

B. Create an IAM group in the production account. Grant IAM users in the development account membership in the group
.在生产账户中创建 IAM 组。向开发账户中的 IAM 用户授予组成员资格

C. Create an IAM role in the production account. Allow IAM users in the development account to assume the role
.在生产账户中创建 IAM 角色。允许开发账户中的 IAM 用户代入该角色

D. Create an IAM group in the development account Grant IAM users in the development account membership in the group
.在开发账户中创建 IAM 组 授予开发账户中的 IAM 用户组成员资格

正确答案是 C，因为您需要在生产账户中定义一个角色以授予对 S3 存储桶的访问权限，并允许开发账户代入该角色。然后，开发账户可以将对角色的访问权限委托给其 IAM 用户，请参阅 AWS 文档 - IAM 角色跨账户访问，将对一个账户中资源的访问权限授予另一个账户中的可信委托人。角色是授予跨账户访问权限的主要方式。但是，借助 AWS 提供的某些 Web 服务，您可以将策略直接附加到资源（而不是使用角色作为代理）。这些策略称为基于资源的策略，您可以使用它们向另一个 AWS 账户中的委托人授予对资源的访问权限。以下服务支持指定资源的基于资源的策略：Amazon Simple Storage Service （S3） 存储桶、Amazon Glacier 文件库、Amazon Simple Notification Service （SNS） 主题和 Amazon Simple Queue Service （SQS） 队列

95.哪些情况可能导致发生多可用区 Amazon RDS 故障转移？（选择二）

A. RDS instance is stopped manually.
.RDS实例已手动停止。

B. A replica of the RDS instance is created in a different region.
.RDS实例的副本是在不同的区域创建的。

C. An Availability Zone becomes unavailable.
.可用区变得不可用。

D. Another master user is created.
.将创建另一个主用户。

E. A failure of the primary database instance.
.主数据库实例失败。

正确答案是 C 和 E 作为主实例或 AZ 关闭将导致自动故障转移，请参阅 AWS 文档 - RDS Multi-AZ，Amazon RDS 会自动处理故障转移，以便您可以尽快恢复数据库操作，而无需管理干预。如果出现以下任一情况，主数据库实例将自动切换到备用副本：选项 A、B 和 D 是错误的，因为它们不会导致自动故障转移。

96.您的组织正在使用 ALB 处理服务请求。其中一个 API 请求面临一致的性能问题。检查流时，您会发现请求流经多个服务。如何以单个请求的粒度跟踪应用程序堆栈中的性能或计时问题？

A. Track the request using “X-Amzn-Trace-Id” HTTP header
.使用“X-Amzn-Trace-Id”HTTP 标头跟踪请求

B. Track the request using “X-Amzn-Track-Id” HTTP header
.使用“X-Amzn-Track-Id”HTTP 标头跟踪请求

C. Track the request using “X-Aws-Track-Id” HTTP header
.使用“X-Aws-Track-Id”HTTP 标头跟踪请求

D. Track the request using “X-Aws-Trace-Id” HTTP header
.使用“X-Aws-Trace-Id”HTTP 标头跟踪请求

正确答案是 A，因为 ALB 注入了一个标识符“X-Amzn-Trace-Id”，该标识符可用于跨各种服务跟踪请求，请参阅 AWS 文档 - ELB Application Load Balancer，请求跟踪Application Load Balancer 在进入负载均衡器的所有请求上注入新的自定义标识符“X-Amzn-Trace-Id” HTTP 标头。请求跟踪允许您在请求通过构成网站和分布式应用程序的各种服务时通过其唯一 ID 跟踪请求。您可以使用唯一跟踪标识符以单个请求的粒度发现应用程序堆栈中的任何性能或计时问题。

97.您正在 Amazon Elastic Cloud Compute （EC2） 上部署必须调用 AWS API 的应用程序。应使用哪种方法将凭据安全地传递到应用程序？

A. Pass API credentials to the instance using instance userdata.
.使用实例 userdata 将 API 凭证传递到实例。

B. Use AWS Identity and Access Management roles for EC2 instances.
.将 AWS Identity and Access Management 角色用于 EC2 实例。

C. Embed the API credentials into your JAR files.
.将 API 凭证嵌入到 JAR 文件中。

D. Store API credentials as an object in Amazon Simple Storage Service
.将 API 凭证作为对象存储在 Amazon Simple Storage Service 中

正确答案是 B，因为安全传递凭证可以使用 IAM 角色安全地传递，其中凭证由 AWS 维护并经常轮换，请参阅 AWS 文档 - EC2 实例的 IAM 角色，应用程序必须使用 AWS 凭证签署其 API 请求。因此，如果您是应用程序开发人员，则需要一种策略来管理在 EC2 实例上运行的应用程序的凭证。例如，您可以安全地将 AWS 凭证分发到实例，使这些实例上的应用程序能够使用您的凭证对请求进行签名，同时保护您的凭证免受其他用户的侵害。但是，将凭证安全地分发到每个实例具有挑战性，尤其是 AWS 代表您创建的实例，例如 Spot 实例或 Auto Scaling 组中的实例。在轮换 AWS 凭证时，您还必须能够更新每个实例上的凭证，我们设计了 IAM 角色，以便您的应用程序可以安全地从您的实例发出 API 请求，而无需您管理应用程序使用的安全凭证。您可以委派发出 API 请求的权限，而不是创建和分发 AWS 凭证

98.解决方案架构师必须为需要非常高的顺序 I/0 的大数据应用程序选择存储类型。如果实例停止，数据必须保留。以下哪种存储类型将以最低的成本为应用程序提供最佳匹配？

A. An Amazon EC2 instance store local SSD volume
.Amazon EC2 实例存储本地 SSD 卷

B. An Amazon EBS provisioned IOPS SSD volume
.Amazon EBS 预置 IOPS SSD 卷

C. An Amazon EBS Throughput Optimized HDD volume

D. An Amazon EBS general purpose SSD volume
.Amazon EBS 通用型 SSD 卷

正确答案是 C，因为吞吐量优化 HDD 为具有顺序 I/O 的大数据应用程序提供了理想的存储解决方案，请参阅 AWS 文档 - EBS 卷类型，吞吐量优化 HDD （st1） 卷提供低成本的磁性存储，它根据吞吐量而不是 IOPS 来定义性能。此卷类型非常适合大型顺序工作负载，例如 Amazon EMR、ETL、数据仓库和日志处理。不支持可启动的 st1 卷，吞吐量优化的 HDD （st1） 卷虽然类似于 Cold HDD （sc1） 卷，但旨在支持频繁访问的数据，此卷类型针对涉及大型顺序 I/O 的工作负载进行了优化，我们建议工作负载执行小型随机 I/O 的客户使用 gp2

99.一家银行正在编写新软件，该软件严重依赖数据库事务来实现写入一致性。该应用程序还偶尔会生成有关数据库中数据的报告，并执行跨多个表的联接。数据库必须随着数据量的增长而自动扩展。应使用哪种 AWS 服务来运行数据库？

A. Amazon S3

B. Amazon Aurora

C. Amazon DynamoDB

D. Amazon Redshift

正确答案是B，因为Aurora提供了一个高度可扩展的关系型数据库，参考AWS文档-Aurora常见问题，Amazon Aurora是一个关系型数据库引擎，它结合了高端商用数据库的速度和可靠性，以及开源数据库的简单性和成本效益。Amazon Aurora MySQL 的性能是 MySQL 的五倍，无需对大多数 MySQL 应用程序进行任何更改;同样，Amazon Aurora PostgreSQL 的性能是 PostgreSQL 的三倍。Amazon RDS 管理您的 Amazon Aurora 数据库，处理耗时的任务，例如预置、修补、备份、恢复、故障检测和修复。您需要为使用的每个 Amazon Aurora 数据库实例支付简单的月度费用。不需要前期成本或长期承诺，选项 A 是错误的，因为 S3 不是事务数据库，选项 C 是错误的，因为 DynamoDB 不适合需要跨多个表联接的要求，选项 D 是错误的，因为 Redshift 不是事务数据库解决方案。

100.应用程序服务器需要位于无法访问 Internet 的专用子网中。该解决方案必须检索文件并将其上传到 Amazon S3 存储桶。解决方案架构师应如何设计解决方案来满足这些要求？

A. Use Amazon S3 VPC endpoints
.使用 Amazon S3 VPC 终端节点

B. Use a NAT Gateway

C. Deploy a proxy server

D. Use a private Amazon S3 Bucket
.使用私有 Amazon S3 存储桶

正确答案是 A，因为 VPC 终端节点可以帮助应用程序通过 Amazon 网络私下访问 S3，而无需浏览互联网，请参阅 AWS 文档 - VPC 终端节点，VPC 终端节点使您能够将 VPC 私下连接到受支持的 AWS 服务和由 PrivateLink 提供支持的 VPC 终端节点服务，而无需互联网网关、NAT 设备、VPN 连接、 或 AWS Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可与服务中的资源进行通信。您的 VPC 和其他服务之间的流量不会离开 Amazon 网络，终端节点是虚拟设备。它们是水平扩展、冗余且高度可用的 VPC 组件，允许 VPC 中的实例与服务之间进行通信，而不会对网络流量施加可用性风险或带宽限制。支持以下 AWS 服务：选项 B 是错误的，因为 NAT 网关仍然通过 Internet 路由请求，选项 C 是错误的，因为代理服务器仍会通过 Internet 路由请求，选项 D 是错误的，因为私有 S3 存储桶仍然需要访问 Internet。

101.客户正在 AWS 上部署生产门户应用程序。数据库层具有结构化数据。该公司需要一种易于管理且高度可用的解决方案。如何满足这些要求？

A. Deploy the database on multiple Amazon EC2 instances backed by Amazon EBS across multiple Availability Zones.
.跨多个可用区将数据库部署在由 Amazon EBS 支持的多个 Amazon EC2 实例上。

B. Use Amazon RDS with a multiple Availability Zone option.
.将 Amazon RDS 与多可用区选项结合使用。

C. Use RDS with a single Availability Zone option and schedule periodic database snapshots.
.将 RDS 与单个可用区选项结合使用，并计划定期数据库快照。

D. Use Amazon DynamoDB

101.客户正在 AWS 上部署生产门户应用程序。数据库层具有结构化数据。该公司需要一种易于管理且高度可用的解决方案。如何满足这些要求？

A. Deploy the database on multiple Amazon EC2 instances backed by Amazon EBS across multiple Availability Zones.
.跨多个可用区将数据库部署在由 Amazon EBS 支持的多个 Amazon EC2 实例上。

B. Use Amazon RDS with a multiple Availability Zone option.
.将 Amazon RDS 与多可用区选项结合使用。

C. Use RDS with a single Availability Zone option and schedule periodic database snapshots.
.将 RDS 与单个可用区选项结合使用，并计划定期数据库快照。

D. Use Amazon DynamoDB

正确答案是 B，因为 RDS 是最适合结构化数据的选项。RDS提供了易于管理的可管理性，并且具有多可用区选项，可以提供高可用性，请参阅AWS白皮书-存储选项，Amazon RDS非常适合依赖MySQL，Oracle或SQL Server传统关系数据库引擎的现有应用程序。由于 Amazon RDS 提供对本机数据库引擎的完全兼容性和直接访问，因此为这些数据库设计的大多数代码、库和工具都应无需修改即可与 Amazon RDS 配合使用。Amazon RDS 也非常适合具有结构化数据的新应用程序，这些应用程序需要比 Amazon 的 NoSQL 数据库产品 Amazon DynamoDB 提供的更复杂的查询和联接功能，选项 A 是错误的，因为在 EC2 实例上托管数据库不容易管理，选项 C 是错误的，因为具有单个可用区的 RDS 无法提供高可用性。选项 D 是错误的，因为 DynamoDB 不适用于结构化数据。

102.一家公司正在设计混合 IT 架构，需要在本地数据中心与其 Virtual Private Cloud （VPC） 之间建立私有连接。以下哪项将使公司能够实现这一目标？选择 2 个答案

A. AWS DataPipeline

B. ClassicLink

C. AWS Direct Connect
.AWS 云专线

D. Amazon Route53

E. VPN connection

正确答案是 C 和 E，因为 VPN 和 Direct Connect 允许本地和 VPC 之间的私有连接，选项 A 是错误的，因为 Data Pipeline 是在存储服务（包括本地服务器）之间移动数据，但会使用 Internet，选项 B 是错误的，因为 ClassicLink 允许您将 EC2-Classic 实例链接到您账户中的 VPC， ，选项 D 是错误的，因为 Route 53 是将请求路由到 VPC 的 DNS 服务。

103.您的一个实例报告了运行状况不佳的系统状态检查，该检查无法自行修复。如何在 AWS 环境中自动修复系统状态检查失败的过程？

A. Write a script that queries the EC2 API for each instance status check
.编写一个脚本，用于查询每个实例状态检查的 EC2 API

B. Create CloudWatch metrics that stop and start the instance based off of status check alarms
.创建基于状态检查警报停止和启动实例的 CloudWatch 指标

C. Implement a third party monitoring tool such as Nagios
.实施第三方监控工具，例如 Nagios

D. Write a script that periodically shuts down and starts instances
.编写一个定期关闭和启动实例的脚本

正确答案是 B，因为系统检查无法修复，您需要停止并启动实例，这将在另一台机器上启动实例。CloudWatch 可用于基于系统检查自动执行该过程，请参阅 AWS 文档 - EC2 监控系统实例状态检查

104.公司的策略要求对存储在 Amazon S3 中的所有数据进行加密。该公司希望以最小的开销使用该选项，并且不想管理任何加密密钥。以下哪项选项符合公司的要求？

A. AWS CloudHSM

B. AWS Trusted Advisor

C. Server Side Encryption (SSE-S3)

D. Server Side Encryption (SSE-KMS)

正确答案是 C，因为 SSE-S3 提供 S3 的服务器端加密，S3 为您管理加密密钥，请参阅 AWS 文档 - S3 服务器端加密，将服务器端加密与 Amazon S3 托管密钥结合使用 （SSE-S3） – 每个对象都使用唯一密钥进行加密。作为额外的保护措施，它使用定期轮换的主密钥对密钥本身进行加密。Amazon S3 服务器端加密使用最强大的分组密码之一 256 位高级加密标准 （AES-256） 来加密您的数据，选项 A 是错误的，因为 Cloud HSM 不是无缝的，需要您处理密钥，选项 B 是错误的，因为 Trusted Advisor 不提供加密。AWS Trusted Advisor 是一种在线工具，可为您提供实时指导，帮助您按照 AWS 最佳实践预置资源，选项 D 是错误的，因为它需要您生成和管理密钥，类似于 SSE-S3，但具有一些额外的好处以及使用此服务的一些额外费用。使用信封密钥（即保护数据加密密钥的密钥）有单独的权限，该密钥可针对 S3 中的对象进行未经授权的访问提供额外的保护。SSE-KMS 还为您提供密钥使用时间和使用者的审计跟踪。此外，还可以选择自己创建和管理加密密钥，也可以使用对你、你正在使用的服务和你所在的区域唯一的默认密钥。

105.一家公司正在 Amazon Simple Storage Service （S3） 上存储数据。该公司的安全策略要求对静态数据进行加密。以下哪种方法可以实现此目的？选择 3 个答案

A. Use Amazon S3 server-side encryption with AWS Key Management Service managed keys.
.将 Amazon S3 服务器端加密与 AWS Key Management Service 托管密钥结合使用。

B. Use Amazon S3 server-side encryption with customer-provided keys

C. Use Amazon S3 server-side encryption with EC2 key pair.
.将 Amazon S3 服务器端加密与 EC2 密钥对结合使用。

D. Use Amazon S3 bucket policies to restrict access to the data at rest.
.使用 Amazon S3 存储桶策略限制对静态数据的访问。

E. Encrypt the data on the client-side before ingesting to Amazon S3 using their own master key
.在客户端加密数据，然后使用自己的主密钥提取到 Amazon S3

F. Use SSL to encrypt the data while in transit to Amazon S3.
.使用 SSL 在传输到 Amazon S3 时对数据进行加密。

正确答案是 A、B 和 E，请参阅 AWS S3 使用加密保护数据，使用 S3 的静态数据加密可以使用服务器端或客户端加密来实现。可以使用 KMS 提供的密钥 （SSE-KMS） 或客户提供的密钥 （SSE-C） 实现 SSE。CSE 可以通过在将数据上传到 S3 之前对数据进行加密，然后在客户端从 S3 下载数据后解密数据来实现，选项 C 是错误的，因为服务器端加密不适用于 EC2 密钥对，选项 D 是错误的，因为存储桶策略只是为了限制对 S3 的访问，选项 F 是错误的，因为它仅针对传输中的数据。

106.解决方案架构师需要部署基于 node.js 的 Web 应用程序，该应用程序具有高可用性和自动扩展功能。营销团队需要快速回滚应用程序版本，并且他们需要有一个操作仪表板。营销团队不希望管理操作系统补丁到 Linux 服务器的部署。使用哪种服务可以满足这些要求？

A. Amazon EC2

B. Amazon API Gateway

C. AWS Elastic Beanstalk

D. Amazon EC2 Container Service

正确答案是 C，因为 Elastic Beanstalk 提供了一个支持 node.js 的托管 Web 应用程序平台。它处理最新补丁和更新的部署，还提供部署版本控制，能够轻松回滚，请参阅 AWS 文档 - Elastic Beanstalk 和部署，AWS Elastic Beanstalk 是一项易于使用的服务，用于在熟悉的服务器（如 Apache）上部署和扩展使用 Java、.NET、PHP、Node.js、Python、Ruby、Go 和 Docker 开发的 Web 应用程序和服务， Nginx、Passenger 和 IIS，您只需上传代码，Elastic Beanstalk 就会自动处理部署，从容量预置、负载均衡、自动扩展到应用程序运行状况监控。同时，您保留对支持应用程序的 AWS 资源的完全控制权，并可以随时访问底层资源，Elastic Beanstalk 为您预置和运营基础设施并管理应用程序堆栈（平台），因此您不必花费时间或开发专业知识。它还将使运行应用程序的底层平台保持最新状态，并提供最新的补丁和更新。相反，您可以专注于编写代码，而不是花时间管理和配置服务器、数据库、负载平衡器、防火墙和网络，选项 A 和 C 是错误的，因为部署和回滚的处理仍然需要处理，选项 B 是错误的，因为 API 网关只提供 API 编排并且需要后端服务。

107.您已经开始了一项新工作，并且正在审查贵公司在 AWS 上的基础设施 您注意到一个 Web 应用程序，其中 Elastic Load Balancer （ELB） 位于 Auto Scaling 组中的 Web 实例前面。当您在 CloudWatch 中检查 ELB 的指标时，您会在可用区 （AZ） A 中看到 4 个正常运行的实例，在可用区 B 中看到 0 个运行状况不佳的实例。您需要修复哪些问题才能跨可用区平衡实例？

A. Set the ELB to only be attached to another AZ
.将 ELB 设置为仅附加到另一个可用区

B. Make sure Auto Scaling is configured to launch in both AZs
.确保将 Auto Scaling 配置为在两个可用区中启动

C. Make sure your AMI is available in both AZs
.确保您的 AMI 在两个可用区中都可用

D. Make sure the maximum size of the Auto Scaling Group is greater than 4
.确保 Auto Scaling 组的最大大小大于 4

正确答案是 B，因为 Auto Scaling 组可能未配置为同时使用两个可用区，因此在单个可用区中启动实例，选项 A 是错误的，因为 ELB 可以在单个可用区内启动，但仍然可以将流量路由到两个可用区，选项 C 是错误的，因为 AMI 是区域性的，可用于两个可用区，选项 D 是错误的，因为在扩展的情况下，大于 4 的最大大小只会导致在可用区之间均匀启动超过 4 个实例

108.需要在 EC2 实例上托管数据库。EBS 卷需要支持高 IOPS 速率，因为数据库上预计会有大量读取和写入请求。哪种 Amazon EBS 卷类型可以满足此数据库的性能要求？

A. EBS Provisioned IOPS SSD
.EBS 预配置 IOPS SSD

B. EBS Throughput Optimized HDD

C. EBS General Purpose SSD

D. EBS Cold HDD
.EBS 冷硬盘

正确答案是 A，因为预配置 IOPS SSD （io1） 卷旨在满足对存储性能和一致性敏感的 I/O 密集型工作负载（尤其是数据库工作负载）的需求。与使用存储桶和积分模型来计算性能的 gp2 不同，io1 卷允许您在创建卷时指定一致的 IOPS 速率，并且 Amazon EBS 在给定年份内 99.9% 的时间内提供预置 IOPS 性能的 10% 以内。

109.公司必须近乎实时地摄取和汇总广告数据。每秒有数千条记录到达。什么服务可以满足这一要求？

A. AWS Data Pipeline

B. Amazon Kinesis Data Streams

C. Amazon Redshift

D. Amazon S3

正确答案是 B，因为 Kinesis Data Streams 提供实时可扩展的数据摄取服务，请参阅 AWS 文档 - Kinesis Data Streams，Amazon Kinesis Data Streams （KDS） 是一种可大规模扩展且持久的实时数据流服务。KDS 每秒可以从数十万个来源（如网站点击流、数据库事件流、金融交易、社交媒体源、IT 日志和位置跟踪事件）连续捕获千兆字节的数据。收集的数据以毫秒为单位，可用于实时分析使用案例，例如实时控制面板、实时异常检测、动态定价等，选项 A 是错误的，AWS Data Pipeline 仅帮助传输数据，选项 C 是错误的，因为 Redshift 是一种数据仓库服务，不提供实时摄取，选项 D 是错误的，因为 S3 提供存储并且无法扩展以实时摄取数据作为数据聚合。

110.您的任务是选择数据存储来保留新应用程序的 GPS 坐标。在任何规模下，该服务都需要一致的个位数毫秒延迟。哪种 AWS 服务符合您的要求？

A. Amazon Redshift

B. Amazon DynamoDB

C. Amazon S3

D. Amazon RDS

正确答案是 B，因为 DynamoDB 是由 AWS 管理的 NoSQL 数据存储，可以提供毫秒级延迟，Amazon DynamoDB 是一种快速灵活的 NoSQL 数据库服务，适用于需要一致的个位数毫秒级延迟的所有应用程序。它是一个完全托管的云数据库，支持文档和键值存储模型。其灵活的数据模型、可靠的性能和吞吐能力的自动扩展，使其非常适合移动、Web、游戏、广告技术、物联网和许多其他应用程序，请参阅 AWS 文档 - DynamoDB

111.您的主管已指示您为其 AWS 账户中的资源设计灾难恢复模型。设计解决方案时的关键要求是确保成本最低。在这种情况下，您将采用以下哪种灾难恢复机制？

A. Pilot Light

B. Warm standby

C. Multi-Site

D. Backup and Restore
.备份和恢复

113.一家公司目前有一个包含 60TB 数据的 Redshift 集群。作为合规性的一部分，要求在发生灾难时在单独的区域中设置恢复站点。以下哪项解决方案有助于确保满足此要求？

A. Take a copy of the underlying EBS volumes to S3, and then do Cross-Region Replication.
.将底层 EBS 卷复制到 S3，然后执行跨区域复制。

B. Enable Cross-Region snapshots for the Redshift Cluster.
.为 Redshift 集群启用跨区域快照。

C. Create a CloudFormation template to restore the Cluster in another region.
.创建 CloudFormation 模板以还原其他区域中的集群。

D. Enable Cross Availability Zone snapshots for the Redshift Cluster.
.为 Redshift 集群启用跨可用区快照。

正确答案是 B，因为 Redshift 允许跨区域快照，这可以是在单独的区域中恢复集群，请参阅 AWS 文档 - Redshift 快照，跨区域复制快照会产生数据传输费用。将快照复制到目标区域后，它将变为活动状态并可用于还原目的，选项 A 是错误的，因为 Redshift 不会公开底层卷，选项 C 是错误的，因为 CloudFormation 有助于创建集群，但有助于处理数据，选项 D 是错误的，因为可用区快照不允许跨区域还原。

114.一家公司正在使用 API Gateway 和部署阶段来管理每个 API 的多个发布阶段，例如 alpha、beta 和生产。他们希望为 API 中的每个阶段指定不同的 AWS Lambda 函数名称。如何设计 API 网关？

A. Swagger extensions .Swagger 扩展

B. Stage Variables .阶段变量

C. API Gateway variables

D. Deployment variables .部署变量

正确答案是 B，因为阶段变量有助于定义环境变量，这些变量可以为不同的阶段提供不同的配置，请参阅 AWS 文档 - 阶段变量，阶段变量是名称-值对，您可以将其定义为与 API 部署阶段关联的配置属性。它们的作用类似于环境变量，可以在 API 设置和映射模板中使用，例如，您可以在阶段配置中定义阶段变量，然后将其值设置为 API 中方法的 HTTP 集成的 URL 字符串。稍后，您可以使用 API 设置中的关联阶段变量名称引用 URL 字符串。这样，您可以通过将阶段变量值重置为相应的 URL，在每个阶段使用具有不同端点的相同 API 设置。您还可以访问映射模板中的阶段变量，或者将配置参数传递到 AWS Lambda 或 HTTP 后端。

115.客户有一个网站，其中显示了市场上所有可用的交易。该站点通常会遇到 5 个大型 EC2 实例的负载。然而，在感恩节假期前一周，他们遇到了近 20 个大型实例。该期间的负载根据办公时间在一天中有所不同。下面提到的哪种解决方案具有成本效益，并有助于网站实现更好的性能？

A. Keep only 10 instances running and manually launch 10 instances every day during office hours.
.每天只运行 10 个实例，并在办公时间手动启动 10 个实例。

B. Setup to run 10 instances during the pre-vacation period and only scale up during the office time by launching 10 more instances using the Auto Scaling schedule.
.设置为在假期前期间运行 10 个实例，并且仅在办公时间内通过使用 Auto Scaling 计划再启动 10 个实例来扩展。

C. During the pre-vacation period setup a scenario where the organization has 15 instances running and 5 instances to scale up and down using Auto Scaling based on the network I/O policy.
.在假期前期间，设置一个场景，其中组织有 15 个实例正在运行，5 个实例可以使用基于网络 I/O 策略的 Auto Scaling 进行扩展和缩减。

D. During the pre-vacation period setup 20 instances to run continuously.
.在假期前期间，设置 20 个实例以连续运行。

正确答案是 B 在运行 10 个实例时具有成本效益，并且仅在办公时间启动 10 个实例，选项 A 是错误的，因为手动启动实例很麻烦且不具有成本效益，选项 C 是错误的，因为与 B 相比运行 15 个实例不具有成本效益，选项 D 是错误的，因为始终运行 20 个实例是开销，因为它并不总是需要并且不具有成本效益

116.一家媒体公司正在设计他们的媒体处理流程。他们希望文件系统能够挂载到各种 Linux EC2 实例上，并通过文件锁定功能操作大文件。以下哪项是满足此要求的理想存储服务？

A. Amazon EBS

B. Amazon EFS

C. Amazon S3

D. Amazon EC2 Instance store

正确答案是 C，因为 EFS 提供了一个能够操作大文件的共享文件系统，请参阅 AWS 文档 - EFS 和 EFS 性能，Amazon EFS 提供文件系统访问语义，例如强大的数据一致性和文件锁定，视频编辑、演播室制作、广播处理、声音设计和渲染等媒体工作流程通常依赖于共享存储来操作大文件。具有高吞吐量和共享文件访问的强大数据一致性模型可以缩短执行这些作业所需的时间，并将多个本地文件存储库整合到一个位置供所有用户使用。选项 A 和 D 是错误的，因为 EBS 和实例存储卷无法共享，选项 B 是错误的，因为 S3 可以共享， 但是，对于操作大文件并不理想。

117.您的公司构建了一个已经下载了数十万次的移动应用程序。哪种身份验证解决方案将使移动客户端能够访问存储在 Amazon Simple Storage Service （S3） 存储桶中的图片，并为您提供最高的灵活性来轮换凭证？

A. Identity federation based on AWS Security Token Service (STS) using an AWS Identity and Access Management (IAM) policy for the respective Amazon S3 bucket
.基于 AWS Security Token Service （STS） 的联合身份验证，使用相应 Amazon S3 存储桶的 AWS Identity and Access Management （IAM） 策略

B. IAM user per registered client with an IAM policy granting Amazon S3 access to the respective bucket
.每个注册客户端的 IAM 用户，其 IAM 策略授予对相应存储桶的 Amazon S3 访问权限

C. Amazon S3 bucket policies with a conditional statement restricting by IP address
.具有按 IP 地址限制的条件语句的 Amazon S3 存储桶策略

D. Access Control Lists (ACL) to restrict access to selected AWS accounts
.访问控制列表 （ACL），用于限制对选定 AWS 账户的访问

正确答案是 A，因为这里轮换凭证的最大灵活性的关键点是使用 AWS 使用 STS 维护和管理的临时凭证，请参阅 AWS 文档 - IAM Web 联合身份验证，选项 B、C 和 D 不灵活，需要为每个用户维护。

118.具有全球用户的网站在 ELB Application Load Balancer 后面的 EC2 实例上运行。这些实例在跨多个可用区的 Auto Scaling 组中运行，并传输存储在共享 Amazon EFS 文件系统上的多个大文件。该公司需要避免每次用户请求这些数字资产时从网站提供文件。公司如何改善网站的用户体验？

A. Move the digital assets to Amazon Glacier.
.将数字资产迁移到 Amazon Glacier。

B. Cache static content using CloudFront.
.使用 CloudFront 缓存静态内容。

C. Resize the files so that they are smaller.
.调整文件的大小，使其更小。

D. Use reserved EC2 Instances.

正确答案是 B，因为要求是提高下载性能并减少全局用户的系统负载，CloudFront 将帮助缓存内容并为用户提供低延迟访问，请参阅 AWS 文档 - CloudFront 缓存，Amazon CloudFront 是一种 Web 服务，可加快静态和动态 Web 内容的分发速度， 例如 .html、.css、.js 和图像文件。CloudFront 通过称为边缘站点的全球数据中心网络传输您的内容。当用户请求您使用 CloudFront 提供的内容时，用户将被路由到提供最低延迟（时间延迟）的边缘站点，以便以最佳性能交付内容。如果内容已经位于延迟最低的边缘站点中，则 CloudFront 会立即提供它，选项 A 是错误的，因为 Glacier 用于数据存档，选项 C 是错误的，因为它不能解决问题，选项 D 是错误的，因为预留的 EC2 实例有助于降低长期使用的成本，它无助于提高性能。

119.您使用 S3 运行一个广告支持的照片共享网站，以向网站的访问者提供照片。在某些时候，您发现其他网站一直在链接到您网站上的照片，从而给您的业务造成损失。缓解这种情况的有效方法是什么？

A. Remove public read access and use signed URLs with expiry dates
.删除公共读取访问权限并使用具有到期日期的签名 URL

B. Use CloudFront distributions for static content.
.将 CloudFront 分配用于静态内容。

C. Block the IPs of the offending websites in Security Groups.
.在安全组中屏蔽违规网站的IP。

D. Store photos on an EBS volume of the web server.
.将照片存储在 Web 服务器的 EBS 卷上。

正确答案是A，因为网站可以使用有限时间访问的预签名URL并不断刷新，这样其他网站就无法访问它们，请参考AWS文档-S3与预签名URL共享对象，默认情况下所有对象都是私有的。只有对象所有者才有权访问这些对象。但是，对象所有者可以选择通过创建预签名 URL 来与他人共享对象，使用他们自己的安全凭证授予下载对象的限时权限，选项 B 是错误的，因为仍然可以直接访问 CloudFront URL，选项 C 不可扩展，选项 D 不起作用，因为在 EBS 上存储图像仍需要公开。

120.您计划创建一个 EC2 实例，该实例将创建 S3 对象并修改 CloudWatch 警报。部署此实例的最佳方式是什么？选择正确答案

A. Assign an S3 policy to one IAM user and a CloudWatch policy to another IAM user. Have the instance execute tasks as the appropriate IAM user for the given task
.将 S3 策略分配给一个 IAM 用户，将 CloudWatch 策略分配给另一个 IAM 用户。让实例以给定任务的相应 IAM 用户身份执行任务

B. Assign an S3 policy and a CloudWatch policy to a single IAM user. Have the instance execute tasks as the IAM user
.将 S3 策略和 CloudWatch 策略分配给单个 IAM 用户。让实例以 IAM 用户身份执行任务

C. Assign an S3 policy and a CloudWatch policy to a single IAM role. Assign the IAM role to the instance at deployment time
.将 S3 策略和 CloudWatch 策略分配给单个 IAM 角色。在部署时将 IAM 角色分配给实例

D. Assign an S3 policy to one IAM role and a CloudWatch policy to another IAM role. Assign both IAM roles to the EC2 instance at deployment time
.将 S3 策略分配给一个 IAM 角色，将 CloudWatch 策略分配给另一个 IAM 角色。在部署时将两个 IAM 角色分配给 EC2 实例

正确答案是 C，因为方法是创建一个策略，将权限附加到单个 IAM 角色，并分配要启动的角色 EC2 实例，请参阅 AWS 文档 - IAM 最佳实践，选项 A 和 B 是错误的，因为不建议使用 IAM 用户，选项 D 是错误的，因为只能将单个角色附加到 EC2 实例

121.您的安全团队要求每个 Amazon ECS 任务都有一个 IAM 策略，该策略将任务的权限限制为仅使用其使用 AWS 服务所需的权限。你怎么能做到这一点？

A. Use IAM roles for Amazon ECS tasks to associate a specific IAM role with each ECS task definition
.将 IAM 角色用于 Amazon ECS 任务，将特定 IAM 角色与每个 ECS 任务定义相关联

B. Use IAM roles on the Amazon ECS container instances to associate IAM role with each ECS task on that instance
.使用 Amazon ECS 容器实例上的 IAM 角色将 IAM 角色与该实例上的每个 ECS 任务相关联

C. Connect to each running amazon ECS container instance and add discrete credentials
.连接到每个正在运行的 Amazon ECS 容器实例并添加离散凭证

D. Reboot each Amazon ECS task programmatically to generate new instance metadata for each task
.以编程方式重启每个 Amazon ECS 任务，以便为每个任务生成新的实例元数据

正确答案是A，因为IAM角色需要与ECS任务定义相关联，请参考AWS文档-ECS任务IAM角色，使用AMC任务的IAM角色可以指定任务中的容器可以使用的IAM角色。应用程序必须使用 AWS 凭证对其 AWS API 请求进行签名，此功能提供了一种用于管理应用程序要使用的凭证的策略，类似于 Amazon EC2 实例配置文件向 EC2 实例提供凭证的方式。您可以将 IAM 角色与 ECS 任务定义或 RunTask API 操作相关联，而不是创建 AWS 凭证并将其分发到容器或使用 EC2 实例的角色。然后，任务容器中的应用程序可以使用 AWS 开发工具包或 CLI 向授权的 AWS 服务发出 API 请求。

122.您正在为 VPC 环境设计数据泄漏防护解决方案。您希望您的 VPC 实例能够访问 Internet 上的软件库和发行版以获取产品更新。仓库和发行版可通过第三方 CDN 通过其 URL 访问。您希望明确拒绝从 VPC 实例到 Internet 上主机的任何其他出站连接。您会考虑以下哪一项选择？

A. Configure a web proxy server in your VPC and enforce URL-based rules for outbound access Remove default routes.
.在 VPC 中配置 Web 代理服务器，并强制执行基于 URL 的出站访问规则 删除默认路由。

B. Implement security groups and configure outbound rules to only permit traffic to software depots.
.实施安全组并配置出站规则，以仅允许流向软件库的流量。

C. Move all your instances into private VPC subnets remove default routes from all routing tables and add specific routes to the software depots and distributions only.
.将所有实例移动到私有 VPC 子网中，从所有路由表中删除默认路由，并仅将特定路由添加到软件库和分配中。

D. Implement network access control lists to all specific destinations, with an Implicit deny as a rule.
.对所有特定目标实施网络访问控制列表，并通常使用隐式拒绝。

正确答案是A，因为安全组和NACL的规则中不能有URL，路由也不能，只能使用IP地址或其他安全组，参考AWS回答，Web代理服务器是目前最常用的代理服务器类型。Web 代理控制 HTTP 和 HTTPS 流量，并具有来自 Web 客户端（如 Web 浏览器、Web 命令行工具、编程工具和 Web 应用程序服务器）的无处不在的支持。SOCKS 代理服务器虽然不如 Web 代理常见，但利用自定义 SOCKS 代理客户端来控制任何类型的 IP 网络流量。无论哪种情况，都必须配置每个 EC2 实例（通常通过初始实例引导或应用程序部署和配置）才能在操作系统或应用程序级别利用代理解决方案。

123.解决方案架构师需要设计一个 Amazon RDS for MySQL 解决方案，其中用户必须仅使用 SSL 连接进行身份验证。解决方案架构师应该如何设计解决方案？

A. Only allow SSL connections through a VPC security group.
.仅允许通过 VPC 安全组进行 SSL 连接。

B. Use GRANT and ALTER commands with the REQUIRE SSL option for the user.
.对用户使用带有 REQUIRE SSL 选项的 GRANT 和 ALTER 命令。

C. Connect with a MySQL client that references the public key.
.使用引用公钥的 MySQL 客户端进行连接。

D. Ensure that the SSL parameters are set in the parameter group at launch.
.确保在启动时在参数组中设置了 SSL 参数。

正确答案是C，至于SSL连接AWS将SSL证书附加到主实例，客户端需要使用公钥进行连接，请参阅AWS文档-RDS MySQL SSL连接，Amazon RDS支持与运行MySQL数据库引擎的数据库实例进行安全套接字层（SSL）连接，Amazon RDS会创建SSL证书，并在Amazon RDS预置实例时在数据库实例上安装该证书。这些证书由证书颁发机构签名。SSL 证书包括数据库实例终端节点作为 SSL 证书的公用名 （CN），以防止欺骗攻击。公有密钥存储在 Amazon RDS 创建的 SSL 证书是受信任的根实体 https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem.,An 在大多数情况下应该可以工作，但如果您的应用程序不接受证书链，则可能会失败。如果您的应用程序不接受证书链，您可能需要使用中间证书连接到您的区域，要使用默认的 mysql 客户端加密连接，请使用 –ssl-ca 参数启动 mysql 客户端以引用公钥，如以下示例所示，以下示例显示了如何使用 MySQL 5.7 及更高版本的 –ssl-ca 参数启动客户端。

124.您在三个可用区中有 EC2 实例，并在所有三个可用区上配置了负载均衡器。您观察到一个可用区接收的流量比其他可用区多，您如何有效地解决这个问题

A. Disable sticky sessions
.禁用粘性会话

B. Reduce the frequency of the health checks
.降低运行状况检查的频率

C. Enable cross zone load balancer
.启用跨区域负载均衡器

D. Amazon recommends using two availability zone behind ELB
.Amazon 建议在 ELB 后面使用两个可用区

正确答案是 A，因为粘性会话可能会导致用户被路由到相同的实例，选项 B 是错误的，因为降低运行状况检查的频率只会帮助确定实例是否正常。对于跨可用区的所有实例都是一样的，选项 C 是错误的，因为启用跨区域负载均衡器只会帮助在实例之间平均路由流量，而不是在可用区之间路由流量，这里似乎不是这种情况，选项 D 是错误的，因为 AWS 建议将实例分散到所有可用可用区以使应用程序高可用

125.一家新闻公司制作了很多视频。他们希望在 AWS 中设计存储解决方案。这些视频需要一天，之后应存档。如果需要，可以在提前通知的情况下请求视频，预计在 5 小时内提供。但是，如果有任何突发新闻，视频需要在几分钟内提供。作为解决方案架构师，您将如何以经济高效的方式设计解决方案？

A. Use AWS S3 Standard
.使用 AWS S3 标准

B. Use AWS S3 Infrequent Access
.使用 AWS S3 不频繁访问

C. Use AWS Glacier with Standard retrievals

D. Use AWS Glacier with pay for Expedited retrievals as needed.
.根据需要使用 AWS Glacier 付费加急检索。

正确答案是 D，因为 Glacier 提供了最具成本效益的存档解决方案。对于默认为标准检索的正常请求，可以在 3-5 小时内检索视频。对于快速检索，可以提出加急检索请求，但需要额外付费才能在 1-5 分钟内提供视频，请参阅 AWS 文档 - Glacier 常见问题 - 数据检索，问：如何使用标准检索？，要进行标准检索，请将 InitiateJob API 请求中的“Tier”参数设置为“Standard”。如果未指定层，则请求将默认为“标准”，问：什么是加急检索？，加急检索允许您在偶尔需要紧急请求存档子集时快速访问数据。对于除最大档案 （250MB+） 外的所有档案，使用加急检索访问的数据通常在 1 到 5 分钟内可用。有两种类型的加急检索：按需检索和预置检索。按需请求类似于 EC2 按需实例，在绝大多数情况下都可用。预置的请求保证在您需要时可用，选项 A 和 B 是错误的，因为 S3 不是一个具有成本效益的解决方案，选项 C 是错误的，因为标准检索无法在几分钟内获取视频。

126.您的公司正准备在 AWS 上发布社交媒体网站的重大公告。该网站在跨多个可用区部署的 EC2 实例上运行，这些实例具有多可用区 RDS MySQL 超大型数据库实例。该站点每秒执行大量小的读取和写入，并依赖于最终一致性模型。经过全面测试后，您发现 RDS MySQL 上存在读取争用。满足这些要求的最佳方法是什么？选择 2。

A. Deploy ElastiCache in-memory cache running in each availability zone
.部署在每个可用区中运行的 ElastiCache 内存中缓存

B. Implement sharding to distribute load to multiple RDS MySQL instances
.实施分片以将负载分配给多个 RDS MySQL 实例

C. Increase the RDS MySQL Instance size and Implement provisioned IOPS
.增加 RDS MySQL 实例大小并实现预置 IOPS

D. Add an RDS MySQL read replica in each availability zone
.在每个可用区中添加 RDS MySQL 只读副本

这里的关键点是存在读取争用，正确答案是 A 和 D，因为 RDS 需要使用只读副本或使用 ElastiCache 等缓存解决方案进行横向扩展，选项 B 是错误的，因为这只是一个读取争用，写入工作正常，分片将有助于改进写入，选项 C 是错误的，因为无法扩展到超出限制， 这只是一个读取争用，写入工作正常

127.一家公司正在开发一个文档共享应用程序，需要一个存储层。作为一项安全措施，存储应提供对版本控制的自动支持，以便用户可以轻松地回滚到以前的版本或恢复已删除的文档。哪种 AWS 服务将满足上述要求？

A. Amazon S3

B. Amazon EBS

C. Amazon EFS

D. Amazon Storage Gateway VTL

正确答案是 A，因为 S3 提供了持久、可扩展的对象存储。S3 还允许对文档进行版本控制，这可以帮助用户恢复到以前的版本，以便从覆盖或意外删除中恢复，请参阅 AWS 文档 - S3 版本控制，启用版本控制的存储桶使您能够从意外删除或覆盖中恢复对象。例如：选项 B 是错误的，因为 EBS 是附加到 EC2 实例的持久块存储卷，选项 C 是错误的，因为 EFS 是一种弹性且可扩展的文件存储，虽然它可以帮助共享文档，但它不提供版本控制功能，选项 D 是错误的，因为 AWS Storage Gateway VTL 有助于使用 AWS 存储扩展您的本地 IT 基础设施。

128.组织已在 EC2 实例上托管应用程序。将有多个用户连接到实例以设置和配置应用程序。该组织正计划实施某些安全最佳做法。以下提到的指针中哪一项不会帮助组织实现更好的安全安排？

A. Apply the latest patch of OS and always keep it updated.
.应用最新的操作系统补丁并始终保持更新。

B. Allow only IAM users to connect with the EC2 instances with their own secret access key.
.仅允许 IAM 用户使用自己的秘密访问密钥与 EC2 实例连接。

C. Disable the password-based login for all the users. All the users should use their own keys to connect with the instance securely.
.为所有用户禁用基于密码的登录。所有用户都应使用自己的密钥安全地与实例连接。

D. Create a procedure to revoke the access rights of the individual user when they are not required to connect to EC2 instance anymore for the purpose of application configuration.
.创建一个过程，当单个用户不再需要连接到 EC2 实例进行应用程序配置时，该用户将撤消其访问权限。

正确答案是 B，因为 IAM 用户无法使用其访问密钥连接到 EC2 实例。对 EC2 实例的访问由 ssh 密钥管理，请参阅 AWS 文章 - 保护 EC2 实例的提示，选项 A 是错误的，因为 EC2 实例应始终更新为最新补丁，选项 C 是错误的，因为应禁用基于密码的登录，并且对于每个用户，应将其密钥从他们添加到实例中以登录，选项 D 是错误的，因为在不需要时应删除访问权限。

129.解决方案架构师正在设计一个 Lambda 函数，该函数调用 API 来列出所有正在运行的 Amazon RDS 实例。请求应如何授权？

A. Create an IAM access and secret key, and store it in the Lambda function
.创建 IAM 访问密钥和私有密钥，并将其存储在 Lambda 函数中

B. Assign an IAM role to the Lambda function with permissions to list all Amazon RDS instances.
.向 Lambda 函数分配一个 IAM 角色，该角色有权列出所有 Amazon RDS 实例。

C. Assign an IAM role to Amazon RDS with permissions to list all Amazon RDS instances.
.向 Amazon RDS 分配一个 IAM 角色，该角色有权列出所有 Amazon RDS 实例。

D. Create an IAM access and secret key and store it in an encrypted RDS database.
.创建 IAM 访问密钥和私有密钥，并将其存储在加密的 RDS 数据库中。

正确答案是 B，因为 Lambda 函数需要分配一个具有列出 RDS 实例权限的角色，请参阅 AWS 文档 - Lambda 权限，每个 Lambda 函数都有一个与之关联的 IAM 角色（执行角色）。您可以在创建 Lambda 函数时指定 IAM 角色。您授予此角色的权限决定了 AWS Lambda 在代入该角色时可以执行的操作。您向 IAM 角色授予的权限有两种类型：选项 A 是错误的，因为不建议使用访问密钥，选项 C 是错误的，因为权限应该授予 Lambda 实例而不是 RDS，选项 D 是错误的，因为不建议使用访问密钥，并且 Lambda 也需要引用 RDS 实例的权限。

130.一家公用事业公司正在构建一个应用程序，用于存储来自 10,000 多个传感器的数据。该公司希望非常快速地查询过去一周来自特定传感器的信息，之后一周内不经常访问该数据。然后需要对数据进行存档。使用 Amazon DynamoDB 的可扩展性和快速性，您如何以最经济高效的方式实施它？

A. Create tables for each week. Move the data to S3 for archival and delete the old tables
.为每周创建表格。将数据移动到 S3 进行存档并删除旧表

B. Create tables for each week with the current week configured for higher throughput. Move the data to Glacier for archival and delete the old tables
.为每周创建表，并将当前周配置为更高的吞吐量。将数据移动到 Glacier 进行存档并删除旧表

C. Create a single table for higher throughput. Move the data to S3 for archival.
.创建单个表以提高吞吐量。将数据移动到 S3 进行存档。

D. Create a single table for higher throughput. Move the data to Glacier for archival.
.创建单个表以提高吞吐量。将数据移动到 Glacier 进行存档。

正确答案是 B，因为每周的数据提取模式都不同，因此最好为每周定义不同的 DynamoDB 表，并配置当前周更高的预置吞吐量。然后可以将数据移动到 Glacier 并删除旧的 DynamoDB 表，选项 A 是错误的，因为当前一周的表吞吐量需要配置得更高，而 S3 不是存档的理想解决方案，选项 C 和 D 是错误的，因为单个表不会执行并且旧数据不会被删除。

131.一家公司已启用 CloudTrail 记录其 AWS 账户以进行审计。此外，IT安全部门还提到，日志需要加密，并采取措施检查日志是否被修改。如何实现这一目标？选择 2 个答案

A. Enable SSL certificates for the CloudTrail logs.

B. CloudTrail, by default, encrypts the logs in S3
.默认情况下，CloudTrail 对 S3 中的日志进行加密

C. Enable Server-Side Encryption for the trail.
.为跟踪启用服务器端加密。

D. Enable CloudTrail Log File Integrity Validation.
.启用 CloudTrail 日志文件完整性验证。

E. Enable Server-Side Encryption for the destination S3 bucket.
.为目标 S3 存储桶启用服务器端加密。

F. Enable CloudTrail Log File Durability Validation.
.启用 CloudTrail 日志文件持久性验证。

正确答案是 B & D，因为存储在 S3 中的 CloudTrail 日志由 AWS 使用服务器端加密进行加密。CloudTrail 还提供日志文件完整性验证功能，以帮助确定日志是否被篡改，请参阅 AWS 文档 - CloudTrail 加密和日志文件完整性验证，默认情况下，CloudTrail 传输到存储桶的日志文件由 Amazon 服务器端加密和 Amazon S3 托管加密密钥 （SSE-S3） 进行加密，以确定日志文件是否被修改， 在 CloudTrail 交付后删除或保持不变，您可以使用 CloudTrail 日志文件完整性验证。此功能是使用行业标准算法构建的：用于哈希的 SHA-256 和用于数字签名的带有 RSA 的 SHA-256。这使得在不检测的情况下修改、删除或伪造 CloudTrail 日志文件在计算上是不可行的。您可以使用 AWS CLI 在 CloudTrail 传输文件的位置验证文件。

132.解决方案架构师正在构建一个工作负载，该工作负载需要一个高度可用且可扩展的共享块文件存储系统，该系统必须由多个 Linux 应用程序使用。哪些服务符合此要求？

A. Amazon EFS

B. Amazon S3

C. AWS Storage Gateway

D. Amazon EBS

正确答案是 A，因为 EFS 提供了一个 AWS 托管且可扩展且高度可用的共享文件系统，请参阅 AWS 文档 - EFS，Amazon Elastic File System （Amazon EFS） 提供简单、可扩展、弹性的文件存储，用于 AWS 云服务和本地资源。它易于使用，并提供了一个简单的界面，可让您快速轻松地创建和配置文件系统。Amazon EFS 旨在在不中断应用程序的情况下按需弹性扩展，并在您添加和删除文件时自动扩展和收缩，因此您的应用程序在需要时拥有所需的存储。它旨在提供对数千个 Amazon EC2 实例的大规模并行共享访问，使您的应用程序能够实现高水平的聚合吞吐量和 IOPS，并随着文件系统的增长而扩展，并具有一致的低延迟。作为一项区域性服务，Amazon EFS 旨在实现跨多个可用区冗余存储数据的高可用性和持久性，借助这些功能，Amazon EFS 非常适合支持广泛的使用案例，包括 Web 服务和内容管理、企业应用程序、媒体和娱乐处理工作流、主目录、数据库备份、开发人员工具、容器存储、 和大数据分析工作负载，选项 B 是错误的，因为 S3 是基于对象的存储，选项 C 是错误的，因为 AWS Storage Gateway 是一种混合存储服务，使您的本地应用程序能够无缝使用 AWS 云存储。您可以将该服务用于备份和归档、灾难恢复、云数据处理、存储分层和迁移，选项 D 是错误的，因为 EBS 卷不能在多个实例之间共享。

171.一家公司托管一个流行的 Web 应用程序。Web 应用程序连接到在私有 VPC 子网中运行的数据库。Web 服务器必须只能由通过 SSL 连接的客户访问。RDS MySQL 数据库服务器必须只能从 Web 服务器访问。解决方案架构师应如何在不影响正在运行的应用程序的情况下设计解决方案以满足要求。

A. Create a network ACL on the web server’s subnet and allow HTTPS inbound and MySQL outbound. Place both database and web servers on the same subnet.
.在 Web 服务器的子网上创建网络 ACL，并允许 HTTPS 入站和 MySQL 出站。将数据库服务器和 Web 服务器放在同一个子网上。

B. Open an HTTPS port on the security group for web servers and set the source to 0.0.0.0/0. Open the MySQL port on the database security group and attach it to the MySQL instance. Set the source to Web Server Security Group.
.在Web服务器的安全组上打开HTTPS端口，并将源设置为0.0.0.0/0。打开数据库安全组上的 MySQL 端口，并将其附加到 MySQL 实例。将源设置为“Web 服务器安全组”。

C. Create a network ACL on the web server’s subnet, allow HTTPS inbound, and specify the source as 0.0.0.0/0. Create a network ACL on a database subnet, allow MySQL port inbound for web servers, and deny all outbound traffic.
.在 Web 服务器的子网上创建网络 ACL，允许 HTTPS 入站，并将源指定为 0.0.0.0/0。在数据库子网上创建网络 ACL，允许 Web 服务器的 MySQL 端口入站，并拒绝所有出站流量。

D. Open the MySQL port on the security group for web server and set the source to 0.0.0.0/0. Open the HTTPS port on the database security group and attach it to the MySQL instance. Set the source to Web Server Security Group.
.在Web服务器的安全组上打开MySQL端口，并将源设置为0.0.0.0/0。打开数据库安全组上的 HTTPS 端口并将其附加到 MySQL 实例。将源设置为“Web 服务器安全组”。

正确答案是B，因为Web服务器需要在HTTPS上向Internet开放，而MySQL数据库需要打开才能仅接受来自Web服务器的连接，请参阅AWS文档-安全规则参考，Web安全规则，数据库安全规则，选项A是错误的，因为ACL是无状态的，需要同时启用入站和出站。选项C是错误的，因为ACL是无状态的，数据库子网需要允许出站流量，选项D是错误的，因为配置相反。MySQL端口需要在DB安全组上打开，HTTPS端口需要在Web服务器安全组上打开。

172.以下哪项需要自定义 CloudWatch 指标才能监控？

A. Memory Utilization of an EC2 instance

B. CPU Utilization of an EC2 instance

C. Disk usage activity of an EC2 instance
.EC2 实例的磁盘使用活动

D. Data transfer of an EC2 instance

正确答案是 A，因为内存利用率没有被捕获，并且需要为内存利用率实现相同的脚本，请参阅 AWS 文档 - 监控 EC2，CloudWatch 依赖于此管理程序提供的信息，它只能看到实例状态的最硬件端部分，包括 CPU 使用率（但不包括负载）、总内存大小（但不包括内存使用率）、 硬盘上的 I/O 操作数（但不是分区布局和空间使用情况）和网络流量（但不是生成它的进程）。

173.您正在 VPC 内部设计安全性。您正在考虑建立单独的安全区域和跨不同区域实施网络流量规则以限制实例可以通信的选项。您将如何实现这些要求？选择 2 个答案

A. Configure a security group for every zone. Configure a default allow all rule. Configure explicit deny rules for the zones that shouldn’t be able to communicate with one another
.为每个可用区配置一个安全组。配置默认的“全部允许”规则。为不应能够相互通信的区域配置显式拒绝规则

B. Configure your instances to use pre-set IP addresses with an IP address range every security zone. Configure NACL to explicitly allow or deny communication between the different IP address ranges, as required for interzone communication
.将您的实例配置为使用预设的 IP 地址，每个安全区域都有一个 IP 地址范围。将 NACL 配置为显式允许或拒绝不同 IP 地址范围之间的通信，这是区域间通信的需要

C. Configure a security group for every zone. Configure allow rules only between zone that need to be able to communicate with one another. Use implicit deny all rule to block any other traffic
.为每个可用区配置一个安全组。仅在需要能够相互通信的区域之间配置允许规则。使用隐式全部拒绝规则阻止任何其他流量

D. Configure multiple subnets in your VPC, one for each zone. Configure routing within your VPC in such a way that each subnet only has routes to other subnets with which it needs to communicate, and doesn’t have routes to subnets with which it shouldn’t be able to communicate.
.在 VPC 中配置多个子网，每个区域一个子网。在 VPC 中配置路由，使每个子网只有到需要与之通信的其他子网的路由，并且没有到不应与之通信的子网的路由。

正确答案是 B 和 C，因为可以使用区域中所有实例的安全组或区域级别的 NACL 来控制通信，请参阅 AWS 文档 - VPC 安全性，选项 B 作为 NACL 可用于配置具有 IP 地址的规则以允许或拒绝流量，选项 C 作为安全组可以获取 IP 地址或安全组并可以允许它们。默认值为隐式拒绝，选项 A 错误，因为安全组不允许拒绝规则，选项 D 错误，因为默认路由不可修改，无法使用路由表来确定 VPC 中子网之间的路由。在 VPC 中，所有子网都可以从同一 VPC 中的所有其他子网访问。这是默认行为，无法更改。

174.您的公司正朝着跟踪网页用户的方向发展，每个页面上都加载了一个小型跟踪图像。目前，您正在从美国东部提供此映像，但开始担心为西海岸的用户加载映像所需的时间。加快提供此图像的两种最佳方法是什么？选择 2 个答案

A. Use Route 53’s Latency Based Routing and serve the image out of us-west-2 as well as us-east-1
.使用 Route 53 的基于延迟的路由，并从 us-west-2 和 us-east-1 中提供映像

B. Serve the image out through CloudFront
.通过 CloudFront 提供映像

C. Serve the image out of S3 so that it isn’t being served out of your web application tier
.从 S3 中提供映像，以便它不会从 Web 应用程序层中提供

D. Use EBS PIOPs to serve the image faster out of your EC2 instances
.使用 EBS PIOP 更快地从 EC2 实例中提供映像

正确答案是 A 和 B，因为基于 Route 53 延迟的路由可以帮助将用户请求路由到延迟最小的服务器，并且使用 CloudFront，请求可以通过全球边缘站点分发

175.一位解决方案架构师正在为一家媒体公司设计一个解决方案，该解决方案将从 Amazon EC2 实例流式传输大量数据。数据流通常很大且连续，并且必须能够支持高达 500MB/s。哪种存储类型可以满足此应用程序的性能要求？

A. EBS Provisioned IOPS SSD
.EBS 预配置 IOPS SSD

B. EBS General Purpose SSD

C. EBS Cold HDD
.EBS 冷硬盘

D. EBS Throughput Optimized HDD

正确答案是 D，因为吞吐量优化型 HDD 为大型顺序数据提供了理想的存储解决方案，支持 500 miB/s 的吞吐量，请参阅 AWS 文档 - EBS 卷类型，吞吐量优化型 HDD （st1） 卷提供低成本的磁性存储，根据吞吐量而不是 IOPS 来定义性能。此卷类型非常适合大型顺序工作负载，例如 Amazon EMR、ETL、数据仓库和日志处理。不支持可启动的 st1 卷，吞吐量优化的 HDD （st1） 卷虽然类似于 Cold HDD （sc1） 卷，但旨在支持频繁访问的数据，此卷类型针对涉及大型顺序 I/O 的工作负载进行了优化，我们建议工作负载执行小型随机 I/O 的客户使用 gp2

176.移动客户端需要来自多个应用层服务的数据来填充其用户界面。应用程序团队可以使用什么来将客户端接口与其背后的底层服务分离？

A. Application Load Balancer

B. Amazon API Gateway

C. Amazon Cognito

D. AWS Device Farm

正确答案是 B，因为 API Gateway 可以为应用程序提供单点接口，以提供与底层服务的松散耦合，请参阅 AWS 文档 - AWS 上的微服务，使用 API Gateway，您可以创建一个 API，充当应用程序从后端服务访问数据、业务逻辑或功能的“前门”， 例如在 Amazon EC2 和 Amazon ECS 上运行的工作负载、在 Lambda 上运行的代码或任何 Web 应用程序。使用 API Gateway 服务定义的 API 对象是一组资源和方法。资源是 API 域中的类型化对象，可能已将数据模型或关系关联到其他资源。可以将每个资源配置为响应一个或多个方法，即标准 HTTP 谓词，如 GET、POST 或 PUT。REST API 可以部署到不同的阶段、版本化以及克隆到新版本，选项 A 是错误的，因为 Application Load Balancer 无助于跨多个底层服务解耦，选项 C 是错误的，因为 Amazon Cognito 允许您快速轻松地向 Web 和移动应用程序添加用户注册、登录和访问控制。Amazon Cognito 可扩展到数百万用户，并支持通过 SAML 2.0 登录社交身份提供商（如 Facebook、Google 和 Amazon）和企业身份提供商，选项 D 是错误的，因为 AWS Device Farm 是一项应用程序测试服务，可让您同时在多个设备上测试 Android、iOS 和 Web 应用程序并与之交互， 或在设备上实时重现问题。

关于对存储在数据库（即 Amazon RDS）上的数据进行加密，以下哪项陈述是正确的？从以下选项中选择正确答案

A. Encryption cannot be enabled on RDS instances unless the keys are not managed by KMS.
.除非密钥不受 KMS 管理，否则无法在 RDS 实例上启用加密。

B. Encryption can be enabled on RDS instances to encrypt the underlying storage, and this will by default also encrypt snapshots as they are created. No additional configuration needs to be made on the client side for this to work.
.可以在 RDS 实例上启用加密来加密底层存储，默认情况下，这也会在创建快照时对其进行加密。无需在客户端进行其他配置即可正常工作。

C. Encryption can be enabled on RDS instances to encrypt the underlying storage, and this will by default also encrypt snapshots as they are created. However, some additional configuration needs to be made on the client side for this to work.
.可以在 RDS 实例上启用加密来加密底层存储，默认情况下，这也会在创建快照时对其进行加密。但是，需要在客户端进行一些额外的配置才能正常工作。

D. Encryption can be enabled on RDS instances to encrypt the underlying storage, but you cannot encrypt snapshots as they are created.
.可以在 RDS 实例上启用加密来加密底层存储，但您不能在创建快照时对其进行加密。

179.您正在设计一种架构，该架构可以非常快速地从灾难中恢复，同时将最终用户的停机时间降至最低。以下哪种方法最好？

A. Leverage Route 53 health checks to automatically fail over to backup site when the primary site becomes unreachable
.利用 Route 53 运行状况检查，在主站点无法访问时自动故障转移到备份站点

B. Implement the Pilot Light DR architecture so that traffic can be processed seamlessly in case the primary site becomes unreachable
.实施 Pilot Light DR 架构，以便在主站点无法访问时可以无缝处理流量

C. Implement either Fully Working Low Capacity Standby or Multi-site Active-Active architecture so that the end users will not experience any delay even if the primary site becomes unreachable
.实施完全工作的低容量备用或多站点主动-主动体系结构，以便即使主站点无法访问，最终用户也不会遇到任何延迟

D. Implement multi-region architecture to ensure high availability
.实施多区域架构，确保高可用性

正确答案是 C，因为要求是没有任何成本限制的最短停机时间灾难恢复，因此最好实施暖备用或多站点双活实施，请参阅 AWS 博客灾难恢复或白皮书

180.应用程序在单个 AWS 区域中运行。业务团队添加了在第二个区域中运行应用程序的要求，以实现多区域高可用性。解决方案架构师需要将流量分发到多个区域以实现高可用性。哪种 AWS 服务符合要求？

A. Amazon Route 53

B. Elastic Load Balancing

C. Amazon CloudFront .亚马逊 CloudFront

D. Amazon S3 Website hosting.

正确答案是 A，因为 Route 53 是 AWS 托管的 DNS 服务。它是全局的，可以配置为跨多个区域路由流量，并能够进行运行状况检查和故障转移路由。它还支持主动-主动或主动-被动路由，选项 B 是错误的，因为 ELB 不能跨区域，选项 C 是错误的，因为 CloudFront 仅允许跨边缘站点进行缓存和渲染，选项 D 是错误的，因为 S3 是区域性的，无助于跨区域路由流量。

181.您有一个业务关键型两层 Web 应用程序，目前部署在单个区域的两个可用区中，使用 Elastic Load Balancing 和 Auto Scaling。应用依赖于数据库层的同步复制（非常低延迟的连接）。即使一个应用程序可用区脱机，应用程序也需要保持完全可用，并且 Auto Scaling 无法在其余可用区中启动新实例。如何增强当前的架构来确保这一点？

A. Deploy in two regions using Weighted Round Robin (WRR), with Auto Scaling minimums set for 100% peak load per region.
.使用加权轮询 （WRR） 在两个区域进行部署，并将 Auto Scaling 最小值设置为每个区域 100% 的峰值负载。

B. Deploy in three AZs, with Auto Scaling minimum set to handle 50% peak load per zone.
.部署在三个可用区中，Auto Scaling 最小值设置为处理每个区域 50% 的峰值负载。

C. Deploy in three AZs, with Auto Scaling minimum set to handle 33% peak load per zone.
.在三个可用区中部署，将 Auto Scaling 最小值设置为处理每个区域 33% 的峰值负载。

D. Deploy in two regions using Weighted Round Robin (WRR), with Auto Scaling minimums set for 50% peak load per region.
.使用加权轮询 （WRR） 在两个区域进行部署，并将 Auto Scaling 最小值设置为每个区域 50% 的峰值负载。

正确答案是 B 作为 3 个可用区，每个可用区有 50%，即使其中一个关闭并且自动扩展无法启动任何实例，50% + 50% LB 处理所有负载，选项 C 是错误的，因为它每个提供 33%，如果一个关闭，其余两个将处理 66% 的负载，选择 A 和 D 是错误的，因为 WRR 需要 Route 53。数据库还需要低延迟的同步复制，这是行不通的。此外，对于 D 来说，50% 不会以任何方式起作用

182.您正在 AWS 上构建一个大型机密文档 Web 服务器，其所有文档都将存储在 S3 上。其中一项要求是不能直接从 S3 公开访问它，您需要使用 CloudFront 来实现此目的。下面列出的哪种方法可以满足概述的要求？从以下选项中选择一个答案

A. Create an Identity and Access Management (IAM) user for CloudFront and grant access to the objects in your S3 bucket to that IAM User.
.为 CloudFront 创建 Identity and Access Management （IAM） 用户，并向该 IAM 用户授予对 S3 存储桶中对象的访问权限。

B. Create an Origin Access identity (OAI) for Cloud Front and grant access to the objects in your S3 bucket to that OAl.
.为 Cloud Front 创建源访问身份 （OAI），并向该 OAl 授予对 S3 存储桶中对象的访问权限。

C. Create individual policies for each bucket the documents are stored in and in that policy grant access to only CloudFront.
.为存储文档的每个存储桶创建单独的策略，并在该策略中仅授予对 CloudFront 的访问权限。

D. Create an S3 bucket policy that lists the CloudFront distribution ID as the Principal and the target bucket as the Amazon Resource Name (ARN).
.创建一个 S3 存储桶策略，将 CloudFront 分配 ID 列为委托人，将目标存储桶列为 Amazon 资源名称 （ARN）

请参考 AWS CloudFront 限制对 S3 的访问，正确答案是 B，源访问身份是与分配关联的特殊 CloudFront 用户。对于 Web 分配，它与 S3 相关联。OAI 允许在不公开 S3 内容的情况下公开内容，选项 A、C 和 D 是错误的，因为它们允许 S3 允许对 CloudFront 进行独占访问，而 CloudFront 能够分发内容。

请参考 AWS CloudFront 限制对 S3 的访问，正确答案是 B，源访问身份是与分配关联的特殊 CloudFront 用户。对于 Web 分配，它与 S3 相关联。OAI 允许在不公开 S3 内容的情况下公开内容，选项 A、C 和 D 是错误的，因为它们允许 S3 允许对 CloudFront 进行独占访问，而 CloudFront 能够分发内容。

183.解决方案架构师正在创建一个新的关系数据库。合规性将使用关键数据，并要求数据内容必须存储在三个不同的可用区中。架构师应使用以下哪个选项？

A. Amazon Aurora .亚马逊极光

B. Amazon RDS MySQL with Multi-AZ enabled.
.启用了多可用区的 Amazon RDS MySQL。

C. Amazon DynamoDB .Amazon DynamoDB

D. Amazon ElastiCache .Amazon Elasti缓存

正确答案是 A，因为 Amazon Aurora 通过跨 3 个可用区复制数据并执行数据完整性检查来维护 6 个副本来提供高持久性，请参阅 AWS 文档 - RDS Aurora 常见问题，问：Amazon Aurora 如何提高数据库对磁盘故障的容错能力？，Amazon Aurora 会自动将您的数据库卷划分为 10GB 的段，分布在多个磁盘上。数据库卷的每个 10GB 数据块在三个可用区之间以六种方式进行复制。Amazon Aurora 旨在透明地处理最多两个数据副本的丢失，而不会影响数据库写入可用性，以及最多三个副本的丢失，而不会影响读取可用性。Amazon Aurora 存储还具有自我修复功能。数据块和磁盘会持续扫描错误并自动修复，选项 B 是错误的，因为多可用区 RDS，数据只在 2 个可用区之间复制，选项 C 和 D 是错误的，因为它们不是关系型数据库。

184.管理员在单个Amazon EC2实例上托管应用程序，用户可以通过公有主机名访问该实例，管理员正在添加第二个实例，但不希望用户在多个公共主机名之间做出决定。哪种AWS服务会将用户与特定Amazon EC2实例分离？

A. Amazon ELB .Amazon ELB

B. Auto Scaling Group
.Auto Scaling 组

C. Amazon EC2 Security Group
.Amazon EC2 安全组

D. Amazon SQS .亚马逊 SQS

正确答案是 A，因为 Elastic Load Balancer 可以帮助为多个底层 EC2 实例提供单个访问点，请参阅 AWS 文档 - ELB，负载均衡器接受来自客户端的传入流量，并将请求路由到一个或多个可用区中的注册目标（例如 EC2 实例）。负载均衡器还会监控其已注册目标的运行状况，并确保它仅将流量路由到正常运行的目标。当负载均衡器检测到运行状况不佳的目标时，它会停止将流量路由到该目标，然后在检测到目标再次正常运行时继续将流量路由到该目标。选项 B 是错误的，因为 Auto Scaling 有助于扩展但不会提供单个访问点，选项 C 是错误的，因为 EC2 安全组充当控制一个或多个实例流量的虚拟防火墙。选项 D 是错误的，因为 SQS 提供完全托管的消息队列服务。

185.客户端应用程序需要关系数据库服务器上的操作系统特权。什么是高可用性数据库体系结构的适当配置？

A. A standalone Amazon EC2 instance
.独立 Amazon EC2 实例

B. Amazon RDS in a Multi-AZ configuration
.多可用区配置中的 Amazon RDS

C. Amazon EC2 instances in a replication configuration utilizing a single Availability Zone
.使用单个可用区的复制配置中的 Amazon EC2 实例

D. Amazon EC2 instances in a replication configuration utilizing two different Availability Zones
.使用两个不同可用区的复制配置中的 Amazon EC2 实例

这里的关键点是设计一个具有操作系统权限的 HA 解决方案数据库解决方案，正确答案是 D，因为 RDS 是 AWS 的托管服务，它不提供操作系统权限，并且对于 HA，至少需要在 2 个可用区中存在实例，选项 A 是错误的，因为单个实例不提供 HA，选项 B 是错误的，因为 RDS 不提供操作系统权限，选项 C 是错误的，因为单个可用区不提供 HA

186.你需要一种解决方案，以便在Amazon ECS上运行的任务的所有容器之间均匀分配流量。任务定义为容器定义动态主机端口映射。哪些AWS功能在功能上提供此功能。

A. Application Load Balancers support dynamic host port mapping.
.Application Load Balancer 支持动态主机端口映射。

B. CloudFront custom origins support dynamic host port mapping.
.CloudFront 自定义源支持动态主机端口映射。

C. All Elastic Load Balancing instances support dynamic host port mapping.
.所有 Elastic Load Balancing 实例都支持动态主机端口映射。

D. Classic Load Balancers support dynamic host port mapping.
.Classic Load Balancer 支持动态主机端口映射。

正确答案是 A，因为 Application Load Balancer 有助于动态端口映射并在多个 ECS 容器之间均匀分配流量，请参阅 AWS 知识文章 - ECS 动态端口映射，使用 Application Load Balancer 的动态端口映射可以更轻松地从 ECS 集群上的同一 ECS 服务运行多个任务，Classic Load Balancer 要求您在容器实例上静态映射端口号。您不能在同一实例上运行任务的多个副本，因为端口会发生冲突。Application Load Balancer 允许动态端口映射。您可以在同一容器实例上拥有来自单个服务的多个任务。

187.一家公司要求其开发人员将应用程序日志存储在 S3 存储桶中。这些日志仅在一段时间内是必需的，之后可以将其删除。以下哪个步骤可用于有效管理此问题？

A. Create a cron job to detect the stale logs and delete them accordingly.
.创建一个 cron 作业来检测过时的日志并相应地删除它们。

B. Use a bucket policy to manage the deletion.
.使用存储桶策略管理删除操作。

C. Use an IAM Policy to manage the deletion.
.使用 IAM 策略管理删除操作。

D. Use S3 Lifecycle Policies to manage the deletion.
.使用 S3 生命周期策略管理删除。

正确答案是 D，因为 S3 对象生命周期管理有助于在存储类和过期之间自动转换对象，请参阅 AWS 文档 - S3 对象生命周期管理，要管理您的对象，以便在整个生命周期内经济高效地存储它们，请配置它们的生命周期。生命周期配置是一组规则，用于定义 Amazon S3 应用于一组对象的操作。有两种类型的操作：选项A是错误的，尽管可能不具有成本效益，因为它需要实例轮询S3来检查过期项目并删除它们，选项B和C是错误的，因为它们允许对S3存储桶和对象进行访问控制。

188.您有一个在六个 Amazon EC2 实例上运行的 Web 应用程序，每个实例消耗大约 45% 的资源。您正在使用自动扩展来确保 6 个实例始终处于运行状态。此应用程序处理的请求数是一致的，不会出现峰值。该应用程序对您的业务至关重要，您希望始终保持高可用性。您希望负载在所有实例之间均匀分布。您还希望对所有实例使用相同的 Amazon 系统映像 （AMI）。您应该做出以下哪项体系结构选择？

A. Deploy 6 EC2 instances in one availability zone and use Amazon Elastic Load Balancer.
.在一个可用区中部署 6 个 EC2 实例并使用 Amazon Elastic Load Balancer。

B. Deploy 3 EC2 instances in one region and 3 in another region and use Amazon Elastic Load Balancer.
.在一个区域部署 3 个 EC2 实例，在另一个区域部署 3 个实例，并使用 Amazon Elastic Load Balancer。

C. Deploy 3 EC2 instances in one availability zone and 3 in another availability zone and use Amazon Elastic Load Balancer.
.在一个可用区中部署 3 个 EC2 实例，在另一个可用区中部署 3 个 EC2 实例，并使用 Amazon Elastic Load Balancer。

D. Deploy 2 EC2 instances in three regions and use Amazon Elastic Load Balancer.
.在三个区域部署 2 个 EC2 实例并使用 Amazon Elastic Load Balancer。

正确答案是 C，因为在 2 个可用区中使用 3 个 EC2 实例进行自动扩展将提供高可用性，并且 ELB 将在所有实例上提供平均的流量分配，选项 A 是错误的，因为单个可用区不会提供高可用性，选项 B 和 D 是错误的，因为实例位于不同的区域，除非复制，否则 AMI 将不可用。此外，ELB 是一项区域性服务，无法跨区域将负载分配给实例。

189.一个组织正在其共享服务 VPC 中构建 Amazon Redshift 集群。群集将托管敏感数据。组织如何控制哪些网络可以访问集群？

A. Run the cluster in a different VPC and connect through VPC peering.
.在不同的 VPC 中运行集群，并通过 VPC 对等连接。

B. Create a database user inside the Amazon Redshift cluster only for users on the network
.仅在 Amazon Redshift 集群中为网络上的用户创建数据库用户

C. Define a cluster security group for the cluster that allows access from the allowed networks.
.为集群定义一个集群安全组，该安全组允许从允许的网络进行访问。

D. Only allow access to networks that connect with the shared services network via VPN.
.仅允许访问通过 VPN 与共享服务网络连接的网络。

正确答案是C，因为可以为Redshift集群配置安全组来控制访问，请参阅AWS文档-Redshift安全组，当您预置Amazon Redshift集群时，默认情况下它是锁定的，因此没有人可以访问它。要向其他用户授予对 Amazon Redshift 集群的入站访问权限，请将该集群与安全组关联。如果您使用的是 EC2-Classic 平台，则可以定义集群安全组并将其与集群关联，如下所述。如果您在 EC2-VPC 平台上，则可以使用现有的 Amazon VPC 安全组，也可以定义一个新安全组，然后将其与集群关联，选项 A 和 D 是错误的，因为 VPC 对等互连和 VPN 是连接服务，无法控制流量以确保安全，选项 B 是错误的，因为 Redshift 用户账户在用户级别处理身份验证和授权，并且无法控制网络流量。

190.一家公司选择将其冷数据存储在EBS卷上，确保最佳成本，以下哪项式托管此类数据的理想EBS卷类型？

A. EBS Provisioned IOPS SSD
.EBS 预配置 IOPS SSD

B. EBS Throughput Optimized HDD
.EBS 吞吐量优化型 HDD

C. EBS General Purpose SSD
.EBS 通用型固态硬盘

D. EBS Cold HDD
.EBS 冷硬盘

正确答案是 D，因为 Cold HDD （sc1） 卷提供低成本的磁性存储，根据吞吐量而不是 IOPS 来定义性能。sc1 的吞吐量限制低于 st1，非常适合大型顺序冷数据工作负载。如果您需要不频繁地访问数据并希望节省成本，sc1 提供了廉价的块存储。不支持可启动的 sc1 卷。Cold HDD （sc1） 卷虽然类似于吞吐量优化型 HDD （st1） 卷，但旨在支持不经常访问的数据，请参阅 AWS 文档 - EBS 卷类型 - Cold HDD

191.一位解决方案架构师正在构建一个将数据存储到 DynamoDB 中的应用程序。特别是一个表的读取量很大，以最小的延迟访问数据至关重要。以下哪项将提供最高级别的性能？

A. Use Amazon RDS read replicas.
.使用 Amazon RDS 只读副本。

B. Use Amazon CloudFront
.使用 Amazon CloudFront

C. Use Amazon ElastiCache.
.使用 Amazon ElastiCache。

D. Use Amazon DynamoDB Accelerator
.使用 Amazon DynamoDB Accelerator

正确答案是 D，因为 DynamoDB Accelerator 有助于在 DynamoDB 中缓存数据并提供 10 倍的性能，请参阅 AWS 文档 - DynamoDB Accelerator，Amazon DynamoDB Accelerator （DAX） 是适用于 DynamoDB 的完全托管、高度可用的内存中缓存，即使在每秒数百万个请求的情况下，也能将性能提高多达 10 倍（从毫秒到微秒）。DAX 可以完成向 DynamoDB 表添加内存中加速所需的所有繁重工作，而无需开发人员管理缓存失效、数据填充或集群管理。现在，您可以专注于为客户构建出色的应用程序，而无需担心大规模性能问题。您无需修改应用程序逻辑，因为 DAX 与现有 DynamoDB API 调用兼容。您只需在 AWS 管理控制台中单击几下或使用 AWS 开发工具包即可启用 DAX。与 DynamoDB 一样，您只需为预置的容量付费，选项 A 是错误的，因为 RDS 只读副本不适用于 DynamoDB，选项 B 是错误的，因为 CloudFront 仅提供边缘级缓存，选项 C 是错误的，因为 ElastiCache 无法提供 DAX 的性能。

192.您受雇于增强一个非常大型的电子商务网站的整体安全态势。他们有一个架构良好的多层应用程序，在 VPC 中运行，该应用程序在应用程序层前面使用 ALB。哪种方法提供了有效的缓解解决方案来处理DDOS攻击？

A. EC2 instance running your WAF software is included in an Auto Scaling group and placed in between two Elastic load balancers
.运行 WAF 软件的 EC2 实例包含在 Auto Scaling 组中，并放置在两个 Elastic Load Balancer 之间

B. Remove all but TLS 1.2 from the ALB and enable Advanced Protocol Filtering This will enable the ALB itself to perform WAF functionality
.从 ALB 中删除除 TLS 1.2 之外的所有内容并启用高级协议过滤 这将使 ALB 本身能够执行 WAF 功能

C. Add previously identified hostile source IPs as an explicit INBOUND DENY NACL to the web tier subnet
.将以前标识的恶意源 IP 作为显式 INBOUND DENY NACL 添加到 Web 层子网

D. Use AWS WAF with ALB to protect your web applications from common web exploits
.将 AWS WAF 与 ALB 结合使用，以保护您的 Web 应用程序免受常见 Web 攻击

正确答案是 D，因为 ALB 与 AWS WAF 集成，可用于保护 Web 应用程序免受常见 Web 漏洞的攻击，请参阅 AWS 文档 - ELB Application Load Balancer，Web Application Firewall - 您现在可以使用 AWS WAF 来保护 Application Load Balancer 上的 Web 应用程序。AWS WAF 是一种 Web 应用程序防火墙，可帮助保护您的 Web 应用程序免受可能影响应用程序可用性、危及安全性或消耗过多资源的常见 Web 漏洞的攻击。

193. 一家公司希望将Kubernetes用作其应用程序容器的编排工具。为此他们需要一个完全托管的解决方案，以下哪项服务有助于满足要求

A. AWS EKS .AWS EKS的

B. AWS Lambda .AWS Lambda的

C. AWS API Gateway
.AWS API 网关

D. AWS ELB .AWS ELB（英语：ELB）

正确答案是 A，因为 Amazon Elastic Container Service for Kubernetes （Amazon EKS） 是一项托管服务，可让您轻松地在 AWS 上运行 Kubernetes，而无需建立或维护自己的 Kubernetes 控制平面。Kubernetes 是一个开源系统，用于自动部署、扩展和管理容器化应用程序。Amazon EKS 跨多个可用区运行 Kubernetes 控制层面实例，以确保高可用性。Amazon EKS 会自动检测和替换运行状况不佳的控制层面实例，并为其提供自动版本升级和修补，请参阅 AWS 文档 - EKS

194.一家公司希望在托管文件存储中组织多个网站的内容。公司必须能够根据需求扩展存储，而无需配置存储。多个服务器应该能够同时访问此存储。解决方案架构师应该推荐哪些服务？

A. Amazon S3 .亚马逊 S3

B. Amazon EBS .亚马逊EBS

C. Amazon EFS .亚马逊 EFS

D. AWS Storage Gateway - Volume gateway
.AWS Storage Gateway - 卷网关

正确答案是 C，因为 EFS 提供了 AWS 托管的可共享文件存储，能够从多个服务器访问，请参阅 AWS 文档 - EFS，Amazon Elastic File System （Amazon EFS） 为基于 Linux 的工作负载提供了一个简单、可扩展的弹性文件系统，以便与 AWS 云服务和本地资源一起使用。它旨在在不中断应用程序的情况下按需扩展到 PB 级，并在您添加和删除文件时自动增长和收缩，因此您的应用程序在需要时拥有所需的存储。它旨在提供对数千个 Amazon EC2 实例的大规模并行共享访问，使您的应用程序能够以一致的低延迟实现高水平的聚合吞吐量和 IOPS。Amazon EFS 是一项完全托管的服务，无需更改现有应用程序和工具，通过标准文件系统接口提供访问以实现无缝集成，选项 A 是错误的，因为 S3 是对象存储，选项 B 是错误的，因为 EBS 卷附加到实例并且无法在服务器之间共享。选项 D 是错误的，因为 Storage Gateway 是一种混合云存储服务，可将您现有的本地环境与 AWS 云连接起来

195.应用程序允许制造站点上传文件。每个上传的 3 GB 文件都会被处理以提取元数据，此过程每个文件需要几秒钟。上传的频率是不可预测的。虽然可能在几个小时内没有更新，但随后是同时上传多个文件的高峰期。哪种体系结构以最经济高效的方式解决此工作负载？

A. Use a Kinesis Data Delivery Stream to store the file. Use Lambda for processing.
.使用 Kinesis Data Delivery Stream 存储文件。使用 Lambda 进行处理。

B. Use an SQS queue to store the file, to be accessed by a fleet of EC2 Instances.
.使用 SQS 队列存储文件，供 EC2 实例队列访问。

C. Store the file in an EBS volume, which can then be accessed by another EC2 Instance for processing.
.将文件存储在 EBS 卷中，然后可由另一个 EC2 实例访问该卷进行处理。

D. Store the file in an S3 bucket. Use Amazon S3 event notification to invoke a Lambda function for file processing.
.将文件存储在 S3 存储桶中。使用 Amazon S3 事件通知调用 Lambda 函数进行文件处理。

正确答案是 D，因为元数据提取的处理在几秒钟内完成，lambda 可用于元数据提取，S3 用于存储文件。S3 事件通知可以充当调用 lambda 函数的源，请参阅 AWS 文档 - Lambda with S3，Amazon S3 可以将事件（例如，在存储桶中创建对象时）发布到 AWS Lambda，并通过将事件数据作为参数传递来调用您的 Lambda 函数。通过此集成，您可以编写处理 Amazon S3 事件的 Lambda 函数。在 Amazon S3 中，您可以添加存储桶通知配置，用于标识您希望 Amazon S3 发布的事件类型和要调用的 Lambda 函数，选项 A 是错误的，因为 Kinesis 可以与 Lambda 集成，但 Kinesis 不能用于存储超过 1MiB 的消息。检查 Kinesis Data Streams Limit，选项 B 是错误的，因为 SQS 本身不存储文件，需要 S3。持久性 EC2 实例需要处于自动扩展模式才能扩展和处理文件，与 Lambda 相比，这将不那么划算，选项 C 是错误的，因为与 S3 存储相比，EBS 卷很昂贵，与 EC2 相比，与 Lambda 相同。

196.一位解决方案架构师正在使用 AWS Lambda 设计解决方案，其中不同的环境需要不同的数据库密码。架构师应该怎么做才能以安全和可扩展的方式实现这一目标？

A. Create a Lambda function for each individual environment.
.为每个单独的环境创建一个 Lambda 函数。

B. Use Amazon DynamoDB to store environment variables.
.使用 Amazon DynamoDB 存储环境变量。

C. Use encrypted AWS Lambda environment variables.
.使用加密的 AWS Lambda 环境变量。

D. Implement a dedicated Lambda function for distributing environment variables.
.实施用于分配环境变量的专用 Lambda 函数。

正确答案是 D，因为 AWS 建议在之前加密变量并使用 Lambda 函数公开它们，这提供了更安全和可扩展的解决方案，请参阅 AWS 文档 - Lambda 环境变量，当您部署 Lambda 函数时，您指定的所有环境变量在部署过程之后（而不是在部署过程中）默认加密。然后，当调用函数时，AWS Lambda 会自动解密它们。如果您需要将敏感信息存储在环境变量中，我们强烈建议您在部署 Lambda 函数之前对该信息进行加密。

197.应用程序服务器需要位于无法访问 Internet 的专用子网中。该解决方案必须检索数据并将其上传到 DynamoDB 表。解决方案架构师应如何设计解决方案来满足这些要求？

A. Use a NAT Gateway
.使用NAT网关

B. Use Amazon VPC endpoints
.使用 Amazon VPC 终端节点

C. Use a NAT Instance
.使用 NAT 实例

D. Deploy a proxy server
.部署代理服务器

正确答案是 B，因为 VPC 终端节点可以帮助应用程序通过 Amazon 网络私下访问 DynamoDB，而无需浏览 Internet，请参阅 AWS 文档 - VPC 终端节点，VPC 终端节点使您能够将 VPC 私下连接到受支持的 AWS 服务和由 PrivateLink 提供支持的 VPC 终端节点服务，而无需互联网网关、NAT 设备、VPN 连接、 或 AWS Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可与服务中的资源进行通信。您的 VPC 和其他服务之间的流量不会离开 Amazon 网络，终端节点是虚拟设备。它们是水平扩展、冗余且高度可用的 VPC 组件，允许 VPC 中的实例与服务之间进行通信，而不会对网络流量施加可用性风险或带宽限制。支持以下AWS服务：选项A和C是错误的，因为NAT网关和NAT实例仍然通过互联网路由请求，选项D是错误的，因为代理服务器仍然会通过互联网路由请求

198.您需要使用 AWS 为您的公司制定备份和存档策略。出于合规原因，文档应立即可访问 3 个月，并可使用 5 年。哪种 AWS 服务以最具成本效益的方式满足这些要求？

A. Use Storage Gateway to store data to S3 and use life-cycle policies to move the data into Redshift for long-time archiving
.使用 Storage Gateway 将数据存储到 S3，并使用生命周期策略将数据移动到 Redshift 中进行长期存档

B. Use Direct Connect to upload data to S3 and use IAM policies to move the data into Glacier for longtime archiving
.使用 Direct Connect 将数据上传到 S3，并使用 IAM 策略将数据移动到 Glacier 中进行长期存档

C. Upload the data on EBS, use life-cycle policies to move EBS snapshots into S3 and later into Glacier for long-time archiving
.将数据上传到 EBS 上，使用生命周期策略将 EBS 快照移动到 S3 中，然后移动到 Glacier 中进行长期存档

D. Upload data to S3 and use life-cycle policies to move the data into Glacier for long-time archiving
.将数据上传到 S3 并使用生命周期策略将数据移动到 Glacier 中进行长期存档

正确答案是 D，因为 S3 对象生命周期管理有助于处理来自各种存储类（包括 Glacier）的对象转换，选项 A 是错误的，因为 Redshift 是一种数据仓库解决方案，选项 B 是错误的，因为 Direct Connect 不具有成本效益并且 IAM 策略对生命周期管理没有帮助，选项 C 是错误的，因为生命周期策略不适用于 EBS

199.一个组织创建了 10 个 IAM 用户。该组织希望每个 IAM 用户都有权访问单独的 DynamoDB 表。所有用户都添加到同一组，组织希望为此设置组级别策略。组织如何实现这一目标？

A. Define the group policy and add a condition which allows the access based on the IAM name
.定义组策略并添加允许基于 IAM 名称进行访问的条件

B. Create a DynamoDB table with the same name as the IAM user name and define the policy rule which grants access based on the DynamoDB ARN using a variable
.创建一个与 IAM 用户名同名的 DynamoDB 表，并使用变量定义基于 DynamoDB ARN 授予访问权限的策略规则

C. Create a separate DynamoDB database for each user and configure a policy in the group based on the DB variable
.为每个用户创建单独的 DynamoDB 数据库，并根据数据库变量在组中配置策略

D. It is not possible to have a group level policy which allows different IAM users to different DynamoDB Tables
.不可能有允许不同 IAM 用户访问不同 DynamoDB 表的组级策略

正确答案是B，因为DynamoDB表可以创建与IAM用户同名，IAM策略规则定义为仅授予对特定表的访问权限。

200.一家公司需要存档 6TB 的数据。与利益相关者就 8 小时商定的检索时间达成协议。以下哪项可以用作最具成本效益的存储选项？

A. AWS S3 Standard
.AWS S3 标准版

B. AWS Glacier .AWS 冰川

C. AWS S3 Infrequent Access
.AWS S3 不频繁访问

D. AWS EBS Volumes
.AWS EBS 卷

正确答案是 B，因为 Glacier 提供了最具成本效益的解决方案，标准检索可在 3-5 小时内完成，请参阅 AWS 文档 - Glacier 常见问题，问：什么是标准检索？，标准检索允许您在几个小时内访问您的任何档案。标准检索通常在 3 – 5 小时内完成，问：如何使用标准检索，要进行标准检索，请将 InitiateJob API 请求中的“Tier”参数设置为“Standard”如果未指定层，则请求将默认为“标准”。

201.您的任务是为您的公司创建 VPC 网络拓扑。VPC 网络必须同时支持面向 Internet 的应用程序和仅通过 VPN 访问的面向内部的应用程序。面向 Internet 和面向内部的应用程序都必须能够利用至少三个可用区来实现高可用性。您至少必须在 VPC 中创建多少个子网才能满足这些要求？

A. 2

B. 3

C. 4

D. 6

正确答案是 D，因为需要至少 3 个可用区，并且需要在公有子网和私有子网中都有实例以实现高可用性，因此每个可用区需要 6 个子网作为公有子网和私有子网。

203.您的公司希望利用 AWS 存储选项并将其与当前的本地基础设施集成。此外，由于业务需求，必须低延迟访问所有数据。以下哪个选项最适合此方案？

A. Configure the Simple Storage Service S3

B. Configure Storage Gateway Cached Volume

C. Configure Storage Gateway Stored Volume.

D. Configure Amazon Glacier.

正确答案是C，因为Storage Gateway存储卷有助于备份数据，同时数据也在本地维护，提供低延迟访问

提问：卷网关与以前可用的网关缓存和网关存储模式之间有什么关系？

答：卷网关代表支持基于块的卷网关系列，以前称为网关缓存模式和网关存储模式，在缓存卷模式下，你的数据存储在Amazon S3中，并且经常访问的数据的缓存由网关在本地维护。使用此模式，可以节省主存储的成本，最大限度地减少在本地扩展存储的需求，同时保留对最常用数据的低延迟访问，在存储卷模式下，数据存储在本地存储上，卷作为存储在Amazon S3中的Amazon EBS快照异步备份。这提供了持久且廉价的异地备份。例如，如果你需要替换容量进行灾难恢复，你可以将这些备份本地恢复到网关或云中恢复到Amazon EC2.