AWS Certified DevOps Engineer Professional (DOP-C02)

AWS Certified DevOps Engineer Professional (DOP-C02) 更新于今天

查看第 6 至第 136 页.
查看第 26-30 至第 680 道题

Disclaimers:

- ExamTopics website is not related to, affiliated with, endorsed or authorized by Amazon.and Azure
- Trademarks, certification & product names are used for reference only and belong to Amazon.and Azure

Topic 1 - Exam A

Question #26 Topic 1

一位DevOps工程师正在创建一个AWS CloudFormation模板来部署web服务。该web服务将在应用程序负载均衡器（ALB）后面的私有子网中的AmazonEC2实例上运行。DevOps工程师必须确保服务能够接受来自具有IPv6地址的客户端的请求。DevOps工程师应该如何处理CloudFormation模板，以便IPv6客户端可以访问web服务？

A 在VPC和EC2实例的私有子网中添加一个IPv6 CIDR块。为IPv6网络创建路由表条目，使用支持IPv6的EC2实例类型，并为每个EC2实例分配IPv6地址。
B 为每个EC2实例分配一个IPv6弹性IP地址。创建一个目标组，并将EC2实例添加为目标。在ALB的端口443上创建一个侦听器，并将目标组与ALB相关联。
C 用网络负载平衡器（NLB）替换ALB。向NLB的VPC和子网添加IPv6 CIDR块，并为NLB分配IPv6弹性IP地址。
D 为ALB的VPC和子网添加一个IPv6 CIDR块。在端口443上创建一个侦听器。并在ALB上指定dualstack IP地址类型。创建一个目标组，并将EC2实例添加为目标。将目标群体与ALB相关联。

正确答案: D
解析: DevOps工程师应该在VPC和ALB的子网中添加一个IPv6 CIDR块。通过在ALB上创建一个监听器并在ALB上指定双栈IP地址类型，ALB能够处理IPv4和IPv6流量。工程师还应该创建一个目标组，并将EC2实例添加为目标，并将目标组与ALB关联。

Question #27 Topic 1

一家公司使用由亚马逊EBS存储支持的亚马逊EC2实例托管其分期网站。该公司希望在EC2实例出现网络连接问题或电源故障时，以最小的数据损失快速恢复。哪种解决方案将满足这些要求？

A 将实例添加到EC2自动缩放组中，并将最小、最大和所需容量设置为1。
B 将实例添加到具有生命周期挂钩的EC2自动缩放组中，以便在EC2实例关闭或终止时分离EBS卷。
C 为StatusCheckFailed System度量创建Amazon CloudWatch警报，并选择EC2操作来恢复实例。
D 为StatusCheckFailed实例度量创建Amazon CloudWatch警报，并选择EC2操作以重新启动实例。

正确答案: B
解析: 选择了B。选项B是将实例添加到一个EC2自动扩展组，并使用生命周期挂钩在EC2实例关闭或终止时分离EBS卷。这个选项能够在网络连接问题或EC2实例停电时快速恢复，减少数据丢失。通过分离EBS卷，数据可以保留并快速附加到另一个实例。

Question #28 Topic 1

一家电子商务公司选择AWS作为其新平台的主机。该公司的DevOps团队已经开始建造AWS控制塔着陆区。DevOps团队已将AWS IAM身份中心（AWS Single Sign-On）内的身份存储设置为外部身份提供商（IdP），并配置了SAML 2.0。DevOps团队想要一个健壮的权限模型，该模型应用最小权限原则。该模型必须允许团队仅构建和管理团队自己的资源。哪种步骤组合能够满足这些要求？（选择三个。）

A 创建包括所需权限的IAM策略。包括aws:PrincipalTag条件键。
B 创建权限集。附加一个包含所需权限的内联策略，并使用aws:PrincipalTag条件键确定权限范围。
C 在IdP中创建一个组。将用户放入组中。将组分配给IAM Identity Center中的帐户和权限集。
D 在IdP中创建一个组。将用户放入组中。将组分配给OU和IAM策略。
E 在IAM Identity Center中启用访问控制属性。将标记应用于用户。将标记映射为键值对。
F 在IAM Identity Center中启用访问控制属性。将IdP中的属性映射为键值对。

正确答案: ABC
解析: 组合步骤A、B和C将满足要求。步骤A涉及创建包含所需权限并使用aws:PrincipalTag条件密钥来限定权限范围的IAM策略。步骤B涉及创建权限集，并附加包含所需权限并使用aws:PrincipalTag条件密钥的内联策略。步骤C涉及在IdP中创建一个组，将用户放入组中，并将组分配给IAM Identity Center中的账号和权限集。

Question #29 Topic 1

一家高度监管的公司有一项政策，即DevOps工程师不应登录他们的亚马逊EC2实例，除非在紧急情况下。如果DevOps工程师确实登录，则必须在事件发生后15分钟内通知安全团队。哪种解决方案将满足这些要求？

A 在每个EC2实例上安装AmazonInspector代理。订阅亚马逊EventBridge通知。调用AWS Lambda函数来检查消息是否是关于用户登录的。如果是，请使用亚马逊SNS向安全团队发送通知。
B 在每个EC2实例上安装AmazonCloudWatch代理。配置代理以将所有日志推送到Amazon CloudWatch日志，并设置用于搜索用户登录的CloudWatch度量过滤器。如果发现登录，请使用亚马逊SNS向安全团队发送通知。
C 使用Amazon CloudWatch日志设置AWS CloudTrail。订阅CloudWatch日志到亚马逊Kinesis。将AWS Lambda连接到Kinesis以解析并确定日志是否包含用户登录。如果是，请使用亚马逊SNS向安全团队发送通知。
D 在每个AmazonEC2实例上设置一个脚本，将所有日志推送到AmazonS3。设置一个S3事件来调用AWS Lambda函数，该函数将调用Amazon Athena查询来运行。Athena查询检查登录信息，并使用Amazon SNS将输出发送给安全团队。

正确答案: B
解析: 选择了选项B，因为它满足问题中所述的要求。通过在每个EC2实例上安装Amazon CloudWatch代理，并将其配置为将所有日志推送到Amazon CloudWatch Logs，我们可以设置CloudWatch指标过滤器来搜索用户登录。如果找到登录记录，我们可以使用Amazon SNS向安全团队发送通知。

Question #30 Topic 1

为了运行应用程序，DevOps工程师在公共子网中启动一个具有公共IP地址的AmazonEC2实例。用户数据脚本获取应用程序工件，并在启动时将其安装在实例上。应用程序安全分类的更改现在要求实例在无法访问互联网的情况下运行。虽然实例启动成功并显示为正常，但应用程序似乎未安装。以下哪项应在遵守新规则的情况下成功安装应用程序？

A 在附加了弹性IP地址的公用子网中启动实例。安装并运行应用程序后，运行一个脚本以解除弹性IP地址的关联。
B 设置NAT网关。将EC2实例部署到专用子网。更新私有子网的路由表以使用NAT网关作为默认路由。
C 将应用程序工件发布到AmazonS3 bucket中，并为S3创建一个VPC端点。将IAM实例配置文件分配给EC2实例，以便它们可以从S3存储桶中读取应用程序工件。
D 为应用程序实例创建一个安全组，并只允许到工件存储库的出站流量。安装完成后删除安全组规则。

正确答案: C
解析: 选项C应该能够成功安装应用程序并符合新规则。通过将应用程序工件发布到Amazon S3桶并为S3创建VPC端点，EC2实例可以在不需要互联网访问的情况下访问工件。为EC2实例分配IAM实例配置文件可以使它们能够从S3桶中读取应用程序工件。