AWS Certified Solutions Architect Associate(SAA C03)

AWS Certified Solutions Architect Associate(SAA C03) 更新于今天

查看第 9 至第 198 页.
查看第 41-45 至第 990 道题

Disclaimers:

- ExamTopics website is not related to, affiliated with, endorsed or authorized by Amazon.and Azure
- Trademarks, certification & product names are used for reference only and belong to Amazon.and Azure

Topic 1 - Exam A

Question #41 Topic 1

一家公司最近与AWS托管服务提供商（MSP）合作伙伴签署了一份合同，以帮助实施应用程序迁移计划。解决方案架构师需要与MSP合作伙伴的AWS帐户共享现有AWS帐户中的亚马逊机器图像（AMI）。AMI由Amazon Elastic Block Store（Amazon EBS）支持，并使用AWS密钥管理服务（AWS KMS）客户管理的密钥来加密EBS卷快照。解决方案架构师与MSP合作伙伴的AWS帐户共享AMI最安全的方式是什么？

A 公开加密的AMI和快照。修改密钥策略以允许MSP合作伙伴的AWS帐户使用密钥。
B 修改AMI的launchPermission属性。仅与MSP合作伙伴的AWS帐户共享AMI。修改密钥策略以允许MSP合作伙伴的AWS帐户使用密钥。
C 修改AMI的launchPermission属性。仅与MSP合作伙伴的AWS帐户共享AMI。修改密钥策略以信任MSP合作伙伴拥有的用于加密的新KMS密钥。
D 将AMI从源帐户导出到MSP合作伙伴的AWS帐户中的Amazon S3存储桶，使用MSP伙伴拥有的新KMS密钥加密S3存储桶。在MSP合作伙伴的AWS帐户中复制并启动AMI。

正确答案: B
解析: 正确答案是:B
解释:选项B是共享AMI的最安全方式。它在安全性和功能性之间实现了平衡。只与MSP合作伙伴的AWS帐户共享AMI，减少了对AMI的访问，从而增强了安全性。它还修改了密钥策略，允许MSP Partner的AWS帐户使用密钥，确保MSP Partner可以安全地访问并使用AMI。

Question #42 Topic 1

最近，一家公司在私有子网的Amazon EC2上推出了基于Linux的应用程序实例，并在专有网络的公共子网的亚马逊EC2实例上推出了一个基于Linux的堡垒主机。解决方案架构师需要通过公司的互联网连接从本地网络连接到堡垒主机和应用程序服务器。解决方案架构师必须确保所有EC2实例的安全组都允许该访问。解决方案架构师应该采取哪些步骤组合来满足这些要求？（选择两个。）

A 将堡垒主机的当前安全组替换为只允许来自应用程序实例的入站访问的安全组。
B 将堡垒主机的当前安全组替换为只允许从公司内部IP范围进行入站访问的安全组。
C 将堡垒主机的当前安全组替换为只允许从公司的外部IP范围进行入站访问的安全组。
D 将应用程序实例的当前安全组替换为只允许从堡垒主机的私有IP地址进行入站SSH访问的安全组。
E 将应用程序实例的当前安全组替换为只允许从堡垒主机的公共IP地址进行入站SSH访问的安全组。

正确答案: CD
解析: -

Question #43 Topic 1

一家公司在AWS云中托管其网络应用程序。该公司将弹性负载均衡器配置为使用导入AWS证书管理器（ACM）的证书。必须在每份证书到期前30天通知公司安全团队。解决方案架构师应该推荐什么来满足这一要求？

A 在ACM中添加一条规则，从任何证书到期前30天开始，每天向亚马逊简单通知服务（Amazon SNS）主题发布自定义消息。
B 创建一个AWS配置规则，用于检查将在30天内过期的证书。配置Amazon EventBridge（Amazon CloudWatch Events），以便在AWS Config报告不兼容资源时，通过亚马逊简单通知服务（Amazon SNS）调用自定义警报。
C 使用AWS Trusted Advisor检查将在30天内过期的证书。创建一个基于Trusted Advisor指标的Amazon CloudWatch警报，用于检查状态更改。将警报配置为通过亚马逊简单通知服务（亚马逊SNS）发送自定义警报。
D 创建一个Amazon EventBridge（Amazon CloudWatch Events）规则来检测30天内到期的任何证书。配置规则以调用AWS Lambda函数。配置Lambda功能以通过亚马逊简单通知服务（亚马逊SNS）发送自定义警报。

正确答案: B
解析: 正确答案是:B
解释:AWS配置允许识别出与所需配置不符的资源，包括在30天内到期的证书，并且可以使用EventBridge或CloudWatch Events设置自定义警报，然后通过Amazon SNS发送通知。这种方法满足了在证书到期的30天之前通知安全团队的要求。

Question #44 Topic 1

公司需要将数据存储在AmazonS3中，并且必须防止数据被更改。该公司希望上传到AmazonS3的新对象在一段特定的时间内保持不变，直到该公司决定修改这些对象。只有公司AWS帐户中的特定用户才能删除这些对象。解决方案架构师应该做些什么来满足这些需求？

A 创建一个S3冰川拱顶。对对象应用一次写入、多次读取（WORM）vault锁定策略。
B Create an S3 bucket with S3 Object Lock enabled. Enable versioning. Set a retention period of 100 years. Use governance mode as the S3 bucket’s default retention mode for new objects.
C 创建一个S3存储桶。使用AWS CloudTrail跟踪修改对象的任何S3 API事件。收到通知后，从公司拥有的任何备份版本中恢复修改后的对象。
D 创建一个启用S3对象锁定的S3存储桶。启用版本控制。为对象添加合法持有。将s3:PutObjectLegalHold权限添加到需要删除对象的用户的IAM策略中。

正确答案: D
解析: -

Question #45 Topic 1

一家公司希望降低其现有的三层web架构的成本。web、应用程序和数据库服务器在AmazonEC2实例上运行，用于开发、测试和生产环境。EC2实例在高峰时段的平均CPU利用率为30%，在非高峰时段的CPU利用率平均为10%。生产EC2实例每天24小时运行。开发和测试EC2实例每天至少运行8个小时。该公司计划实现自动化以停止开发，并在EC2实例未使用时对其进行测试。哪种EC2实例采购解决方案将最经济有效地满足公司的要求？

A 将点实例用于生产EC2实例。将保留实例用于开发和测试EC2实例。
B 对生产EC2实例使用保留实例。使用随需应变实例进行EC2实例的开发和测试。
C 将Spot块用于生产EC2实例。将保留实例用于开发和测试EC2实例。
D 对生产EC2实例使用随需应变实例。将Spot块用于开发和测试EC2实例。

正确答案: B
解析: 正确答案是:B
解释:保留实例相比按需实例定价提供了显著的折扣，并在在特定可用区域使用时提供了容量保留。这将是运行24小时的生产EC2实例最合适和最经济的解决方案。对于每天只运行8小时的开发和测试实例，按需实例将是一种经济有效的解决方案，因为您按小时支付计算容量，无需长期承诺。