来源:Amazon AWS Certified Solutions Architect - Associate SAA-C03 Exam
160 题 (No.1 ~ No.160) 只记录了 11 道错误的题目,仅供自己复习使用。
如果侵权请联系删除。
一、流量审计
一家公司最近迁移到了 AWS,并希望实施一套解决方案来保护进出 AWS 生产 VPC 流量。该公司在内部数据中心有一个检查服务器。检查服务器执行流量检查和流量过滤等特定操作。该公司希望在 AWS 云中拥有相同的功能。
哪种解决方案能满足这些要求?
- 在生产 VPC 中使用 Amazon GuardDuty 进行流量检查和流量过滤。
- ❌ 使用流量镜像从生产 VPC 镜像流量,以进行流量检查和过滤。
- ✅ 使用 AWS 网络防火墙为生产 VPC 创建流量检查和流量过滤所需的规则。
- 使用 AWS Firewall Manager 为生产 VPC 创建流量检查和流量过滤所需的规则。
2️⃣ ❌ -> 3️⃣ ✅
💡 解析:AWS Network Firewall - 跨 VPC 部署网络防火墙安全
- 检查入站互联网流量 - 使用入站加密流量检查、状态检查、协议检测等功能检查流量。
- 筛选出站流量 - 部署出站流量筛选,以防止数据丢失、帮助满足合规要求,以及阻止已知的恶意软件通信。
- 防止入站互联网流量入侵 - 使用状态检测、协议检测等功能检查活动流量。
- 保护 AWS Direct Connect 和 VPN 流量的安全 - 保护来自客户端设备和 AWS Transit Gateway 支持的本地环境的 Direct Connect 和 VPN 流量的安全。
二、Microsoft Active Directory
一家公司正在将应用程序迁移到 AWS。这些应用程序部署在不同的账户中。公司使用 AWS 组织集中管理这些账户。公司的安全团队需要一个跨公司所有账户的单点登录(SSO)解决方案。公司必须继续管理内部自管理 Microsoft Active Directory 中的用户和组。
哪种解决方案能满足这些要求?
- ❌ 从 AWS SSO 控制台启用 AWS 单点登录(AWS SSO)。创建单向林信任或单向域信任,通过使用 AWS Directory Service for Microsoft Active Directory 将公司自主管理的 Microsoft Active Directory 与 AWS SSO 连接起来。
- ✅ 从 AWS SSO 控制台启用 AWS 单点登录(AWS SSO)。创建双向森林信任,使用 AWS Directory Service for Microsoft Active Directory 将公司自主管理的 Microsoft Active Directory 与 AWS SSO 连接起来。
- 使用 AWS 目录服务。与公司自主管理的 Microsoft Active Directory 建立双向信任关系。
- 在办公场所部署身份提供程序 (IdP)。从 AWS SSO 控制台启用 AWS 单点登录(AWS SSO)。
1️⃣ ❌ -> 2️⃣ ✅
💡 解析:需要在公司内部自管理的 AD 上管理用户和组,这是 AD Connector 的使用场景:AD Connector
AD Connector 是一种目录网关,借助它可以将目录请求重定向到本地 Microsoft Active Directory,而无需在云中缓存任何信息。
而选项 1️⃣ 中提到的
AWS Directory Service for Microsoft Active Directory则是:什么是 AWS Directory Service?AWS Directory Service for Microsoft Active Directory 也称为 AWS Managed Microsoft AD,由 AWS Cloud 中的 AWS 管理的实际 Microsoft Windows Server Active Directory(AD)提供支持。
它已经是一个完整的 AD 服务了,当然通过它建立与本地 AD 的信任关系(云 AD 信任本地 AD):这样在云 AD 找不到用户的时候就会前往本地查找了,是可以解决问题。
我认为选 2️⃣ 的原因是 1️⃣ 并没有描述得很清楚,2️⃣ 则肯定没错。
三、ACM 导入 HTTPS 证书
某公司在亚马逊 Route 53 注册了域名。该公司使用 ca-central-1 区域的亚马逊 API 网关作为其后端微服务 API 的公共接口。第三方服务安全地使用 API。该公司希望使用公司域名和相应证书设计 API Gateway URL,以便第三方服务可以使用 HTTPS。
哪种解决方案能满足这些要求?
- 在 API Gateway 中创建 Name=“Endpoint-URL” 和 Value=“Company Domain Name” 的阶段变量,以覆盖默认 URL。将与公司域名相关的公共证书导入 AWS 证书管理器 (ACM)。
- 使用公司域名创建 Route 53 DNS 记录。将别名记录指向区域 API 网关阶段端点。将与公司域名相关的公共证书导入 us-east-1 区域的 AWS 证书管理器 (ACM)。
- ✅ 创建区域 API Gateway 端点。将 API Gateway 端点与公司域名关联。将与公司域名相关联的公共证书导入同一区域的 AWS 证书管理器 (ACM)。将证书附加到 API Gateway 端点。配置 Route 53,将流量路由到 API Gateway 端点。
- ❌ 创建区域 API Gateway 端点。将 API Gateway 端点与公司域名关联。将与公司域名相关联的公共证书导入 us-east-1 区域的 AWS 证书管理器 (ACM)。将证书附加到 API Gateway API。创建与公司域名相关的 Route 53 DNS 记录。将 A 记录指向公司域名。
4️⃣ ❌ -> 3️⃣ ✅
💡 解析:
ALB和Amazon API Gateway可以在相应的区域申请/导入 SSL 证书,而使用CloudFront则需要将证书配置在弗吉尼亚北部区域 (us-east-1) 中:第一步 - 确认区域对于 ALB 或者 Amazon API Gateway 服务,您需要选择在与之相同的区域来申请 ACM 证书;如果您使用的是海外区域 Amazon CloudFront,则需要将证书配置在弗吉尼亚北部区域 (us-east-1)。您可以在页面右上角确认当前所处区域。
四、SQS API 操作
某公司希望将一个多层应用程序从公司内部转移到 AWS 云,以提高应用程序的性能。该应用程序由多个应用程序层组成,这些层通过 RESTful 服务相互通信。当其中一个层超载时,事务就会被丢弃。解决方案架构师必须设计一个解决方案来解决这些问题并使应用程序现代化。
哪种解决方案既能满足这些要求,又能最大限度地提高运行效率?
- ✅ 使用亚马逊 API 网关,并将事务直接连接到 AWS Lambda 函数作为应用层。使用亚马逊简单队列服务(Amazon SQS)作为应用服务之间的通信层。
- 使用 Amazon CloudWatch 指标分析应用程序性能历史记录,以确定服务器在性能故障期间的峰值利用率。增加应用服务器的 Amazon EC2 实例大小,以满足峰值要求。
- 使用 Amazon Simple Notification Service (Amazon SNS) 处理自动扩展组中 Amazon EC2 上运行的应用程序服务器之间的消息传递。使用 Amazon CloudWatch 监控 SNS 队列长度,并根据需要进行增减。
- ❌ 使用 Amazon Simple Queue Service (Amazon SQS) 处理自动扩展组中 Amazon EC2 上运行的应用程序服务器之间的消息传递。使用 Amazon CloudWatch 监控 SQS 队列长度,并在检测到通信故障时进行扩展。
4️⃣ ❌ -> 1️⃣ ✅
💡 解析:
SQS并不支持之间通过 RESTful API 进行操作:将 API 与亚马逊 SQS 配合使用本节提供有关构建 Amazon SQS 端点、通过 GET 和 POST 方法发出查询 API 请求以及使用批处理 API 操作的信息。有关 Amazon SQS 操作(包括参数、错误、示例和数据类型)的详细信息,请参阅 Amazon Simple Queue Service API 参考。
它的 API 并不是 RESTful 风格的:Actions
The following actions are supported:
- AddPermission
- CancelMessageMoveTask
- ChangeMessageVisibility
- ChangeMessageVisibilityBatch
- CreateQueue
- DeleteMessage
五、Glue 的数据源
一家公司需要为其应用程序配置一个实时数据摄取架构。该公司需要一个应用程序接口、一个在数据流中转换数据的流程和一个数据存储解决方案。
哪种解决方案能以最少的运行开销满足这些要求?
- 部署 Amazon EC2 实例来托管向 Amazon Kinesis 数据流发送数据的 API。创建将 Kinesis 数据流用作数据源的 Amazon Kinesis Data Firehose 交付流。使用 AWS Lambda 函数转换数据。使用 Kinesis Data Firehose 交付流将数据发送到 Amazon S3。
- 部署一个 Amazon EC2 实例来托管向 AWS Glue 发送数据的 API。在 EC2 实例上停止源/目标检查。使用 AWS Glue 转换数据并将数据发送到 Amazon S3。
- ✅ 配置 Amazon API Gateway API,将数据发送到 Amazon Kinesis 数据流。创建一个将 Kinesis 数据流用作数据源的 Amazon Kinesis Data Firehose 交付流。使用 AWS Lambda 函数转换数据。使用 Kinesis Data Firehose 交付流将数据发送到 Amazon S3。
- ❌ 配置亚马逊 API Gateway API,将数据发送到 AWS Glue。使用 AWS Lambda 函数转换数据。使用 AWS Glue 将数据发送到 亚马逊 S3。
4️⃣ ❌ -> 3️⃣ ✅
💡 解析:
Glue不支持API Gateway API作为数据摄取源:Glue 的工作原理
六、ACM SSL 证书过期提醒
某公司在 AWS 云中托管其网络应用程序。该公司将弹性负载平衡器配置为使用导入 AWS 证书管理器 (ACM) 的证书。公司的安全团队必须在每个证书到期前 30 天收到通知。
解决方案架构师应如何建议才能满足这一要求?
- 在 ACM 中添加一条规则,从任何证书过期前 30 天开始,每天向 Amazon Simple Notification Service (Amazon SNS) 主题发布一条自定义消息。
- ✅ 创建一个 AWS Config 规则,检查将在 30 天内过期的证书。配置 Amazon EventBridge(Amazon CloudWatch 事件),以便在 AWS Config 报告不合规资源时通过 Amazon Simple Notification Service (Amazon SNS) 调用自定义警报。
- 使用 AWS Trusted Advisor 检查将在 30 天内过期的证书。创建一个基于 Trusted Advisor 指标的 Amazon CloudWatch 警报,以检查状态变化。配置警报,以便通过 Amazon Simple Notification Service (Amazon SNS) 发送自定义警报。
- ❌ 创建一个 Amazon EventBridge(Amazon CloudWatch 事件)规则,以检测任何将在 30 天内过期的证书。配置该规则以调用 AWS Lambda 函数。配置 Lambda 函数,以便通过 Amazon Simple Notification Service (Amazon SNS) 发送自定义警报。
4️⃣ ❌ -> 2️⃣ ✅
💡 解析:默认
ACM证书会在到期前的 45 天发送CloudWatch事件:Amazon EventBridge support for ACM客户可以监听此事件,以便在证书续期前必须采取客户行动时收到警报。例如,如果客户添加的 CAA 记录阻止 ACM 更新证书,则 ACM 会在到期前 45 天自动更新失败时发布此事件。如果客户没有采取任何措施,ACM 会在 30 天、15 天、3 天和 1 天时再尝试续期,直到客户采取了措施、证书过期或证书不再符合续期条件为止。每次续期尝试都会发布一个事件。
而修改这个默认的到期时间,需要使用到
AWS Config:当 ACM 导入的证书即将到期时,如何收到通知?要创建 AWS Config 规则,请完成下面的步骤:
- 打开 AWS Config 控制台。
- 选择规则,然后选择添加规则。
- 在选择规则类型中,选择添加 AWS 托管规则。
- 对于 AWS 托管规则,选择
acm-certificate-expiration-check,然后选择下一步。- 在参数页上,对于值,在 daysToExpiration 键中输入希望规则调用的天数。
注意:对于接近所输入的天数的到期日期的证书,acm-certificate-expiration-check AWS Config 规则会被标记为 Noncompliant。- 选择下一步,然后选择添加规则。
七、MySQL 生产数据库的数据同步到开发数据库
某公司运行一个由 MySQL 数据库支持的内部部署应用程序。该公司正在将应用程序迁移到 AWS,以提高应用程序的弹性和可用性。
当前的架构显示,在正常运行期间,数据库的读取活动非常频繁。每隔 4 个小时,公司的开发团队就会完全导出生产数据库,以填充暂存环境中的数据库。在此期间,用户会遇到无法接受的应用程序延迟。在程序完成之前,开发团队无法使用暂存环境。
解决方案架构师必须推荐能够缓解应用程序延迟问题的替代架构。替换架构还必须让开发团队能够继续使用暂存环境,而不会出现延迟。
哪种解决方案能满足这些要求?
- ❌ 将亚马逊极光 MySQL 与多 AZ 极光副本一起用于生产。通过使用 mysqldump 实用程序实施备份和还原流程来填充暂存数据库。
- ✅ 将亚马逊极光 MySQL 与多 AZ 极光副本一起用于生产。使用数据库克隆按需创建暂存数据库。
- 使用 Amazon RDS for MySQL 进行多 AZ 部署,并为生产读取副本。将备用实例用于暂存数据库。
- 使用 Amazon RDS for MySQL 进行多 AZ 部署,并为生产读取副本。通过使用 mysqldump 实用程序实施备份和还原流程来填充暂存数据库。
1️⃣ ❌ -> 2️⃣ ✅
💡 解析:1️⃣ 仍然会造成数据库的查询延迟。
而 2️⃣ 是Create Clone是官方更推荐的、为(生产等)数据库创造(开发等用途的)备份的方案:Amazon Aurora Fast Database Cloning
八、本地数据传输到 AWS
某公司希望将内部部署的数据中心迁移到 AWS。该数据中心托管着一个 SFTP 服务器,其数据存储在一个基于 NFS 的文件系统。服务器上有 200 GB 的数据需要传输。服务器必须托管在使用 Amazon Elastic File System (Amazon EFS) 文件系统的 Amazon EC2 实例上。 解决方案架构师应采取哪些步骤组合来自动完成这项任务?(选择两个)。
- ❌ 将 EC2 实例启动到与 EFS 文件系统相同的可用性区域。
- ✅ 在内部部署数据中心安装 AWS DataSync 代理。
- 在 EC2 实例上为数据创建辅助 Amazon Elastic Block Store (Amazon EBS) 卷。
- 手动使用操作系统复制命令将数据推送到 EC2 实例。
- ✅ 使用 AWS DataSync 为内部部署 SFTP 服务器创建合适的位置配置。
Use AWS DataSync to create a suitable location configuration for the on-premises SFTP server.
1️⃣ 2️⃣ ❌ -> 2️⃣ 5️⃣ ✅
💡 解析:
EFS是区域级别(跨可用区)的,这个没有问题。
看看 5️⃣ 具体是什么操作:AWS DataSync 入门
- 步骤 1:注册免费 AWS 账户
- 步骤 2:了解 DataSync
- 步骤 3:转到控制台
- 步骤 4:要在本地存储与 AWS 之间传输数据,请部署代理
- 步骤 5:创建数据传输任务
通过指定数据传输的源位置和目标位置,并配置要用于传输的任何选项(例如安排任务和启用任务报告)来创建任务。Create a task by specifying the source location and destination location for your data transfer, and configure any options you want to use with the transfer, such as scheduling the task and enabling task reports.
- 步骤 6:开始传输
是有位置相关的配置流程的,因此 5️⃣ 需要选择。
九、对未加密的 RDS 实例进行加密
某公司正在 AWS 上运行一个在线事务处理 (OLTP) 工作负载。该工作负载使用未加密的 Amazon 多 AZ 部署中的 RDS DB 实例。每天从该实例中提取数据库快照。
解决方案架构师应如何确保数据库和快照始终加密?
- ✅ 加密最新数据库快照的副本。通过恢复加密快照替换现有数据库实例。
- 创建新的加密 Amazon Elastic Block Store (Amazon EBS) 卷,并将快照复制到其中。在 DB 实例上启用加密。
- ❌ 复制快照并使用 AWS 密钥管理服务 (AWS KMS) 启用加密 恢复加密快照到现有 DB 实例。
- 将快照复制到使用 AWS 密钥管理服务 (AWS KMS) 管理的密钥 (SSE-KMS) 进行服务器端加密的 Amazon S3 存储桶。
3️⃣ ❌ -> 1️⃣ ✅
💡 解析:加密现有的 Amazon for P RDS ostgre SQL 数据库实例
使用快照进行加密时:拍摄快照 -> 加密快照 -> 还原加密后的快照为加密的数据库实例。
十、单方面连接到其他账户的 VPC 中的服务
某公司在 AWS 上运行工作负载。该公司需要连接到外部提供商的一项服务。该服务是在提供商的 VPC 中托管。根据公司安全团队的要求,连接必须是专用的,而且必须仅限于目标服务。连接必须只能从公司的 VPC 启动。
哪种解决方案能满足这些要求?
- 在公司的 VPC 和提供商的 VPC 之间创建 VPC 对等连接。更新路由表以连接到目标服务。
- ❌ 要求提供商在其 VPC 中创建虚拟专用网关。使用 AWS PrivateLink 连接到目标服务。
- 在公司虚拟机的公共子网中创建一个 NAT 网关更新路由表,以连接到目标服务。
- ✅ 要求提供商为目标服务创建一个 VPC 端点。使用 AWS PrivateLink 连接到目标服务。
2️⃣ ❌ -> 4️⃣ ✅
💡 解析:How can I use PrivateLink?
作为用户您需要创建VPC端点(由PrivateLink提供支持)来访问服务和资源。这些VPC端点在VPC中显示为具有私有ip的弹性网络接口。一旦创建了这些端点,任何前往这些ip的流量都将被私有地路由到相应的服务或资源。
作为服务所有者,您可以通过建立一个网络负载平衡器来为您的服务提供前端服务,并创建一个PrivateLink服务来向网络负载平衡器注册,从而将您的服务装载到AWS PrivateLink。在您允许列出他们的帐户和IAM角色之后,您的客户将能够在他们的VPC内建立端点以连接到您的服务。
十、数据需要滞留在指定区域
某公司希望将其内部部署数据中心迁移到 AWS。根据公司的合规要求,公司只能使用 ap-northeast-3 区域。公司管理员不得将 VPC 连接到互联网。
哪些解决方案可以满足这些要求?(选择两个)。
- ✅ 使用 AWS 控制塔实施数据驻留防护栏,拒绝互联网访问,并拒绝访问除 ap-northeast-3 以外的所有 AWS 区域。
- 使用 AWS WAF 中的规则阻止互联网访问。在 AWS 账户设置中拒绝访问除 ap-northeast-3 以外的所有 AWS 区域。
- ✅ 使用 AWS 组织配置服务控制策略 (SCPS),防止 VPC 访问互联网。拒绝访问除 ap-northeast-3 以外的所有 AWS 区域。
- ❌ 为每个 VPC 中的网络 ACL 创建一条出站规则,拒绝来自 0.0.0.0/0 的所有流量。为每个用户创建 IAM 策略,防止使用除 ap-northeast-3 以外的任何 AWS 区域。
- 使用 AWS 配置激活受管规则,以检测互联网网关并发出警报,检测部署在 ap-northeast-3 以外的新资源并发出警报。
1️⃣ 4️⃣ ❌ -> 1️⃣ 3️⃣ ✅
💡 解析:关于 3️⃣ 的正确性:阻止还没有 Internet 访问权的任何 VPC 获取它
此 SCP 阻止任何受影响账户中的用户或角色更改 Amazon EC2 Virtual Private Cloud(VPC)的配置以允许他们直接访问 Internet。它不会阻止现有直接访问或通过您的本地网络环境路由的任何访问。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ec2:AttachInternetGateway", "ec2:CreateInternetGateway", "ec2:CreateEgressOnlyInternetGateway", "ec2:CreateVpcPeeringConnection", "ec2:AcceptVpcPeeringConnection", "globalaccelerator:Create*", "globalaccelerator:Update*" ], "Resource": "*" } ] }因此 SCP 可以做到控制用户或角色修改
VPC的配置来联网。
十一、备份 Aurora 数据库长达 5 年
某公司在 Amazon Aurora PostgreSQL DB 集群中存储数据。该公司必须将所有数据存储 5 年,并且必须 5 年后删除所有数据。公司还必须无限期地保留在数据库中执行的操作的审计日志。目前,公司已为 Aurora 配置了自动备份。
为满足这些要求,解决方案架构师应采取哪些步骤组合?(选择两个)。
- 手动快照数据库群集。
- ❌ 为自动备份创建生命周期策略。
- 配置自动备份保留 5 年。
- ✅ 为数据库群集配置 Amazon CloudWatch 日志导出。
- ✅ 使用 AWS 备份进行备份,并将备份保存 5 年。
2️⃣ 4️⃣ ❌ -> 4️⃣ 5️⃣ ✅
💡 解析:
Aurora数据库的自动备份最多保留 35 天:备份和还原 Aurora 数据库集群的概述Aurora 自动备份您的集群卷并将还原数据保留备份保留期的时长。Aurora 自动备份是连续和递增的,您可以快速还原到备份保留期内的任何时间点。在写入备份数据时,不会发生任何性能影响或数据库服务中断。在创建或修改数据库集群时,可指定备份保留期(1 天到 35 天)。
因此 2️⃣ 和 3️⃣ 均错误。