AWS Certified DevOps Engineer Professional (DOP-C02)

AWS Certified DevOps Engineer Professional (DOP-C02) 更新于今天

查看第 4 至第 136 页.
查看第 16-20 至第 680 道题

Disclaimers:

- ExamTopics website is not related to, affiliated with, endorsed or authorized by Amazon.and Azure
- Trademarks, certification & product names are used for reference only and belong to Amazon.and Azure

Topic 1 - Exam A

Question #16 Topic 1

一家公司的应用程序开发团队使用基于Linux的AmazonEC2实例作为堡垒主机。对堡垒主机的入站SSH访问仅限于相关安全组中定义的特定IP地址。如果安全组规则被修改为允许从任何IP地址进行SSH访问，该公司的安全团队希望收到通知。DevOps工程师应该做些什么来满足这一要求？

A 创建一个源为aws.cloudtrail、事件名称为AuthorizeSecurityGroupIngress的Amazon EventBridge规则。定义一个Amazon简单通知服务（Amazon SNS）主题作为目标。
B 启用Amazon GuardDuty并检查AWS安全中心中安全组的发现。使用自定义模式配置AmazonEventBridge规则，该规则将GuardDuty事件与NON_COMPLIANT输出相匹配。定义一个Amazon简单通知服务（Amazon SNS）主题作为目标。
C 通过使用受限制的ssh管理规则来创建AWS配置规则，以检查安全组是否不允许不受限制的传入ssh流量。配置自动修正以将消息发布到亚马逊简单通知服务（Amazon SNS）主题。
D 启用亚马逊检查器。包括常见漏洞和暴露-1.1规则包，以检查与堡垒主机关联的安全组。配置Amazon Inspector以将消息发布到Amazon简单通知服务（Amazon SNS）主题。

正确答案: C
解析: 正确答案是C。使用restricted-ssh托管规则创建AWS Config规则可以检查安全组是否禁止不受限制的传入SSH流量。通过配置自动修复，可以向Amazon SNS主题发布消息，以在安全组规则被修改为允许来自任何IP地址的SSH访问时通知安全团队。

Question #17 Topic 1

一家公司已将其基于容器的应用程序迁移到亚马逊EKS，并希望建立自动电子邮件通知。发送到每个电子邮件地址的通知用于与EKS组件相关的特定活动。该解决方案将包括亚马逊SNS主题和AWS Lambda功能，用于评估传入的日志事件并将消息发布到正确的SNS主题。哪种日志记录解决方案将支持这些要求？

A 启用Amazon CloudWatch日志来记录EKS组件。为每个组件创建一个CloudWatch订阅过滤器，并将Lambda作为订阅源目标。
B 启用Amazon CloudWatch日志来记录EKS组件。创建链接到调用Lambda的Amazon EventBridge事件的CloudWatch Logs Insights查询。
C 为EKS组件启用AmazonS3日志记录。为每个组件配置一个AmazonCloudWatch订阅过滤器，并将Lambda作为订阅源目的地。
D 为EKS组件启用AmazonS3日志记录。配置S3 PUT对象事件通知，并将AWS Lambda作为目标。

正确答案: A
解析: 正确答案是A，因为它使得Amazon CloudWatch Logs能够记录EKS组件，并为每个组件创建了一个带有Lambda作为订阅源的CloudWatch订阅过滤器。这允许AWS Lambda函数评估传入的日志事件并将消息发布到正确的SNS主题。

Question #18 Topic 1

一家公司在AWS组织中的一个组织中有多个帐户。如果组织中的任何帐户关闭了亚马逊S3存储桶上的阻止公共访问功能，该公司的SecOps团队需要收到亚马逊简单通知服务（Amazon SNS）通知。DevOps工程师必须在不影响任何AWS帐户运行的情况下实施此更改。实施必须确保组织中的单个成员帐户不能关闭通知。哪种解决方案将满足这些要求？

A 指定一个帐户作为委派的Amazon GuardDuty管理员帐户。对整个组织中的所有帐户启用GuardDuty。在GuardDuty管理员帐户中，创建一个SNS主题。将SecOps团队的电子邮件地址订阅到SNS主题。在同一帐户中，创建一个Amazon EventBridge规则，该规则使用GuardDuty调查结果的事件模式和SNS主题的目标。
B Create an AWS CloudFormation template that creates an SNS topic and subscribes the SecOps team’s email address to the SNS topic. In the template, include an Amazon EventBridge rule that uses an event pattern of CloudTrail activity for s3:PutBucketPublicAccessBlock and a target of the SNS topic. Deploy the stack to every account in the organization by using CloudFormation StackSets.
C 在整个组织中启用AWS配置。在委派的管理员帐户中，创建一个SNS主题。将SecOps团队的电子邮件地址订阅到SNS主题。在每个帐户中部署一个一致性包，该一致性包使用s3存储桶级禁止公共访问的AWS Config管理规则，并使用AWS Systems Manager文档将事件发布到SNS主题以通知SecOps团队。
D Turn on Amazon Inspector across the organization. In the Amazon Inspector delegated administrator account, create an SNS topic. Subscribe the SecOps team’s email address to the SNS topic. In the same account, create an Amazon EventBridge rule that uses an event pattern for public network exposure of the S3 bucket and publishes an event to the SNS topic to notify the SecOps team.

正确答案: C
解析: 满足要求的解决方案是C选项。通过在组织中开启AWS Config并在每个帐户中部署使用s3-bucket-level-public-access-prohibited规则的合规性包，任何关闭S3存储桶的公共访问功能的帐户都将是不合规的。使用AWS Systems Manager文档，将事件发布到委派管理员帐户的SNS主题，通知SecOps团队。

Question #19 Topic 1

一家公司在AWS组织中有一个组织。组织包括包含企业应用程序的工作负载帐户。该公司通过运营帐户集中管理用户。无法在工作负载帐户中创建任何用户。该公司最近添加了一个运营团队，必须为运营团队成员提供对每个工作负载帐户的管理员访问权限。哪种操作组合将提供这种访问？（选择三个。）

A 在操作帐户中创建SysAdmin角色。将AdministratorAccess策略附加到角色。修改信任关系以允许来自工作负载帐户的sts:AsseumeRole操作。
B 在每个工作负载帐户中创建一个SysAdmin角色。将AdministratorAccess策略附加到角色。修改信任关系以允许操作帐户中的sts:AsseumeRole操作。
C 在操作帐户中创建一个Amazon Cognito身份池。将SysAdmin角色附加为经过身份验证的角色。
D 在操作帐户中，为每个操作团队成员创建一个IAM用户。
E 在操作帐户中，创建一个名为SysAdmins的IAM用户组。添加IAM策略，该策略允许对每个工作负载帐户中的SysAdmin角色执行sts:AsseumeRole操作。将所有操作团队成员添加到组中。
F 在操作帐户中创建一个Amazon Cognito用户池。为每个运营团队成员创建一个Amazon Cognito用户。

正确答案: ABE
解析: A, B, E是正确的操作组合，提供了操作团队成员对每个工作负载账户的管理员访问权限。将在操作账户中创建SysAdmin角色，附加AdministratorAccess策略到该角色上，并修改信任关系以允许来自工作负载账户的sts:AssumeRole操作。这样操作团队成员可以在工作负载账户中扮演SysAdmin角色，并获得管理员访问权限。选项C、D和F都不正确，因为它们无法提供所需的访问权限。选项C创建了一个身份池，但没有提供管理员访问权限。选项D创建了IAM用户，但无法访问工作负载账户。选项F创建了一个用户池，但无法访问工作负载账户。

Question #20 Topic 1

一家公司有一个用Go编写的内部部署应用程序。DevOps工程师必须将应用程序转移到AWS。该公司的开发团队希望启用蓝色/绿色部署并执行A/B测试。哪种解决方案将满足这些要求？

A 在AmazonEC2实例上部署应用程序，并创建该实例的AMI。使用AMI创建在自动缩放组中使用的自动缩放启动配置。使用弹性负载平衡来分配流量。当对应用程序进行更改时，将创建一个新的AMI，它将启动EC2实例刷新。
B 使用Amazon Lightsail来部署应用程序。将应用程序以压缩格式存储在AmazonS3存储桶中。使用此压缩版本将应用程序的新版本部署到Lightsail。使用Lightsail部署选项来管理部署。
C 使用AWS CodeArtifact来存储应用程序代码。使用AWS CodeDeploy将应用程序部署到一组Amazon EC2实例中。使用弹性负载平衡将流量分配到EC2实例。对应用程序进行更改时，请将新版本上载到CodeArtifact并创建新的CodeDeploy部署。
D 使用AWS Elastic Beanstalk托管应用程序。在AmazonS3中存储该应用程序的压缩版本。使用该位置可以部署应用程序的新版本。使用Elastic Beanstalk来管理部署选项。

正确答案: C
解析: 选择了选项C，因为它提供了符合公司需求的解决方案。AWS CodeDeploy可以实现蓝绿部署，在将流量路由到新版本的EC2实例之前，允许公司在一组EC2实例上测试应用程序的新版本。可以使用AWS CodeArtifact存储应用程序代码并轻松管理部署过程。使用Elastic Load Balancing可以确保流量在EC2实例之间进行分配。