AWS Certified Solutions Architect Professional (SAP C02)

AWS Certified Solutions Architect Professional (SAP C02) 更新于今天
  • 查看第 7 至第 270 页.
  • 查看第 31-35 至第 1,350 道题
Disclaimers:
  • - ExamTopics website is not related to, affiliated with, endorsed or authorized by Amazon.and Azure
  • - Trademarks, certification & product names are used for reference only and belong to Amazon.and Azure

Topic 1 - Exam A

Question #31 Topic 1

一家企业公司想要允许其开发人员通过AWS Marketplace购买第三方软件。该公司使用启用了AWS Organizations账户结构并启用了所有功能,同时在每个组织单元(OU)都有一个共享服务账户,该账户将由采购经理使用。采购团队的策略表示,开发人员只能从经过批准名单中获取第三方软件,并使用AWS Marketplace的私有市场来实现这一要求。采购团队希望限制私有市场管理为名为采购经理角色,可以由采购经理承担。公司内的其他IAM用户、组、角色和帐户管理员应该被拒绝访问私有市场。那么,最有效的方式来满足这些要求呢?

  • A 在组织中的所有AWS帐户中创建一个名为采购经理的IAM角色。将PowerUserAccess托管策略添加到角色中。对每个AWS帐户中的所有IAM用户和角色应用内联策略,以拒绝AWSPrivateMarketplaceAdminFullAccess管理策略的权限。
  • B 在组织中的所有AWS帐户中创建一个名为采购经理的IAM角色。将AdministratorAccess管理的策略添加到角色中。使用AWSPrivateMarketplaceAdminFullAccess管理的策略定义权限边界,并将其附加到所有开发人员角色。
  • C 在组织中的所有共享服务帐户中创建一个名为采购经理角色的IAM角色。将AWSPrivateMarketplaceAdminFullAccess托管策略添加到角色中。创建一个组织根级SCP,以拒绝除名为采购经理的角色之外的所有人管理私有市场的权限。创建另一个组织根级SCP,以拒绝向组织中的每个人创建名为采购经理角色的IAM角色的权限。
  • D 在开发人员将使用的所有AWS帐户中创建一个名为采购经理的IAM角色。将AWSPrivateMarketplaceAdminFullAccess托管策略添加到角色中。在组织中创建SCP,以拒绝除名为采购经理的角色之外的所有人管理私人市场的权限。将SCP应用于组织中的所有共享服务帐户。
正确答案: C
解析: 正确答案是:C
解释:通过仅在共享服务帐户中创建名为procurement-manager-role的IAM角色并将AWSPrivateMarketplaceAdminFullAccess管理策略附加到它,可以将适当的访问权限仅提供给采购经理。组织根级别的SCP强制执行IAM角色的专属性,并防止其他人管理私人市场或创建procurement-manager-role,确保严格遵守采购团队的政策。这是满足所述要求的最有效且最安全的方式。
Question #32 Topic 1

一家公司想要使用第三方软件即服务(SaaS)应用程序。该第三方SaaS应用程序通过多个API调用进行消费。第三方SaaS应用程序还在AWS内部运行在一个VPC中。公司将从VPC内部消费第三方SaaS应用程序。公司内部安全策略规定,不得使用不经过互联网的私有连接。公司VPC中的所有运行资源都不得从公司VPC外部访问。所有权限都必须符合最小特权原则。哪个解决方案符合这些要求?

  • A 创建一个AWS PrivateLink接口VPC端点。将此端点连接到第三方SaaS应用程序提供的端点服务。创建一个安全组以限制对端点的访问。将安全组与终结点关联。
  • B 在第三方SaaS应用程序和VPC公司之间创建AWS站点到站点VPN连接。配置网络ACL以限制通过VPN隧道的访问。
  • C 通过添加对等连接所需的路由,在第三方SaaS应用程序和公司VPUpdate路由表之间创建VPC对等连接。
  • D 创建一个AWS PrivateLink端点服务。请第三方SaaS提供商为此端点服务创建一个接口VPC端点。将端点服务的权限授予第三方SaaS提供商的特定帐户。
正确答案: A
解析: 正确答案是:A
解释:选项A将满足这些要求,因为AWS PrivateLink 允许公司在保持在其网络内的同时,私下访问第三方SaaS应用的服务。 PrivateLink还允许公司坚守其安全政策,不需要穿越互联网,所有资源都可以在公司的VPC内私有化继续存在。此外,使用安全组确保了访问管理坚持最少特权原则。
Question #33 Topic 1

一家公司有几个AWS账户需要开发,并希望将其生产应用程序转移到AWS。该公司需要仅在静止的当前生产帐户和未来生产帐户上强制执行亚马逊弹性块存储(Amazon EBS)加密。该公司需要一个包含内置蓝图和护栏的解决方案。哪种步骤组合能够满足这些要求?(选择三个。)

  • A 使用AWS CloudFormation StackSets在生产帐户上部署AWS配置规则。
  • B 在现有的开发者帐户中创建一个新的AWS Control Tower着陆区。为帐户创建OU。将生产和开发帐户分别添加到生产和开发OU中。
  • C Create a new AWS Control Tower landing zone in the company’s management account. Add production and development accounts to production and development OUs. respectively.
  • D 邀请现有帐户加入AWS组织中的组织。创建SCP以确保合规性。
  • E 从管理帐户创建一个防护栏以检测EBS加密。
  • F 为生产OU创建一个护栏以检测EBS加密。
正确答案: ACF
解析: 正确答案是:A, C, F
解释:选项A允许在生产账户中使用 AWS Config 规则进行合规性检查。选项C允许更好的组织结构,隔离生产和开发环境。它有助于在 AWS 服务(如 EBS)上创建更好的治理和控制。选项F建议在生产OU中特别为EBS加密创建防护栏,这将有助于执行加密在休息要求。
Question #34 Topic 1

一家公司正在多账户环境中运行AWS上的应用程序。该公司的销售团队和营销团队在AWS组织中使用单独的AWS账户。销售团队将数PB的数据存储在AmazonS3存储桶中。营销团队使用亚马逊QuickLight进行数据可视化。营销团队需要访问sates团队存储在S3存储桶中的数据。该公司已经使用AWS密钥管理服务(AWS KMS)密钥对S3存储桶进行了加密。营销团队已经为QuickLight创建了IAM服务角色,以在营销AWS帐户中提供QuickLight访问。该公司需要一个解决方案,该解决方案将在AWS帐户之间提供对S3存储桶中数据的安全访问。哪种解决方案将以最少的运营开销满足这些要求?

  • A 在营销帐户中创建一个新的S3存储桶。在销售帐户中创建S3复制规则,将对象复制到营销帐户中的新S3存储桶中。更新市场营销帐户中的QuickSight权限,以授予对新S3存储桶的访问权限。
  • B 创建一个SCP,将S3存储桶的访问权限授予营销帐户。使用AWS资源访问管理器(AWS RAM)将sates帐户中的KMS密钥与营销帐户共享。更新市场营销帐户中的QuickSight权限以授予对S3存储桶的访问权限。
  • C 更新市场营销帐户中的S3存储桶策略,以授予对QuickSight角色的访问权限。为S3存储桶中使用的加密密钥创建KMS授权。授予对QuickSight角色的解密访问权限。更新市场营销帐户中的QuickSight权限以授予对S3存储桶的访问权限。
  • D 在销售帐户中创建IAM角色,并授予对S3存储桶的访问权限。从市场营销帐户中,假设IAM在销售帐户中扮演角色,以访问S3存储桶。更新QuickLight死记硬背,以与销售帐户中的新IAM角色建立信任关系。
正确答案: B
解析: 正确答案是:B
解释:使用 AWS 资源访问管理器(RAM)和服务控制策略(SCP)在帐户之间共享资源,可以确保遵守安全策略,提高跨帐户数据访问权限。 它还消除了数据复制的需求,这可能在操作上很重。在此选项中,用于加密销售帐户中的 S3 存储桶的 KMS 密钥与市场营销团队的 AWS 帐户共享,为他们提供对 S3 存储桶的安全直接访问,并同时减少运营开销。
Question #35 Topic 1

A startup company hosts a fleet of Amazon EC2 instances in private subnets using the latest Amazon Linux 2 AMI. The company’s engineers rely heavily on SSH access to the instances for troubleshooting. The company’s existing architecture includes the following: ? A VPC with private and public subnets, and a NAT gateway. ? Site-to-Site VPN for connectivity with the on-premises environment. ? EC2 security groups with direct SSH access from the on-premises environment. The company needs to increase security controls around SSH access and provide auditing of commands run by the engineers. Which strategy should a solutions architect use?

  • A 在EC2实例组上安装和配置EC2实例连接。删除所有附加到EC2实例的安全组规则,这些规则允许端口22上的入站TCP。建议工程师使用EC2实例连接CLI远程访问实例。
  • B Update the EC2 security groups to only allow inbound TCP on port 22 to the IP addresses of the engineer’s devices. Install the Amazon CloudWatch agent on all EC2 instances and send operating system audit logs to CloudWatch Logs.
  • C Update the EC2 security groups to only allow inbound TCP on port 22 to the IP addresses of the engineer’s devices. Enable AWS Config for EC2 security group resource changes. Enable AWS Firewall Manager and apply a security group policy that automatically remediates changes to rules.
  • D 创建一个附加AmazonSSMManagedInstanceCore管理策略的IAM角色。将IAM角色附加到所有EC2实例。删除附加到EC2实例的所有允许端口22上入站TCP的安全组规则。让工程师为其设备安装AWS Systems Manager会话管理器插件,并使用Systems Manager的start-Session API调用远程访问实例。
正确答案: D
解析: 正确答案是:D
解释:这个选择通过最小化入站访问的需要并提供所有命令行活动的审计轨迹,提供了强大的安全控制。Systems Manager会话管理器允许对Amazon EC2实例进行安全且可审计的命令行访问,无需SSH访问。使用IAM角色确保应用了适当的权限,进一步增强了安全性。
上一页 下一页