1.哪种机制允许应用程序故障转移到新实例而无需重新配置?旧应用程序
因为该应用程序是旧的,并且需要硬编码的IP地址,
您可以使用辅助ENI或辅助IP地址。
2.为确保故障转移功能,请考虑将辅助专用IPv4用于网络接口上的传入流量。如果实例发生故障,您可以将接口和/或辅助专用IPv4地址移动到备用实例。
3.因为DynamoDB提供了存储用户会话信息并提供可扩展的低延迟访问的理想选择
4.删除保护-您可以在应用程序负载平衡器上启用删除保护,以防止意外删除它。
5.对于容错,正确答案是C,因为NAT实例可以托管在两个单独的子网中,并且每个私有子网都可以路由到公共子网。
两个NAT实例需要在单独的子网中创建。
6.AWS负责AWS 数据中心的物理安全, 虚拟机管理程序 和存储设备的停用
7.VPC内以及VPC内部的任何事情都是客户的责任,例如密钥,VPC,实例的安全以及到VPC和实例的数据流量。
8.路由表?
路由表包含一组称为路由的规则,用于确定将网络流量定向到何处。
VPC中的每个子网都必须与路由表关联;该表控制子网的路由。一个子网一次只能与一个路由表关联,但是您可以将多个子网与同一路由表关联。
9./ 28 的BA CIDR块掩码是支持的最小范围 每个子网都映射到一个可用区 默认情况下,所有子网都可以相互路由,无论它们是私有的还是公共的
10.因为API网关缓存有助于缓存端点的响应并提高性能。
您可以在Amazon API Gateway中启用API缓存以缓存端点的响应。通过缓存,您可以减少对端点的调用次数,还可以改善对API的请求的延迟。
启用阶段缓存后,API网关会在指定的生存时间(TTL)期间(以秒为单位)缓存来自端点的响应。然后,API网关通过从缓存中查找端点响应而不是向您的端点发出请求来响应请求。
API缓存的默认TTL值为300秒。TTL最大值为3600秒。TTL = 0表示禁用缓存。
11.在试点轻型灾难恢复方法中,仅备份关键系统(如RDS),并进行其他非关键系统配置,以确保可以尽快启动它们,例如CloudFormation,Snapshots,AMI等。
指示灯本身的基础架构元素通常包括您的数据库服务器,该数据库服务器会将数据复制到Amazon EC2或Amazon RDS。根据系统的不同,数据库之外可能还有其他关键数据需要复制到AWS。
这是系统的关键核心(指示灯),可以快速配置AWS(炉子的其余部分)中的所有其他基础设施,以恢复整个系统
12.因为Route 53在区域顶点记录的A记录上支持Alias记录集。
13.因为接口VPC端点允许从专用子网中的实例访问运动数据流,而无需通过Internet路由流量。
14.接口VPC端点不需要Internet网关,NAT设备,VPN连接或AWS Direct Connect连接。
15.接口VPC终端由AWS PrivateLink提供支持,该技术是一种AWS技术,可通过具有Amazon VPC中的私有IP的弹性网络接口在AWS服务之间进行私有通信。
16.我是否可以将Amazon ElastiCache与Memcached一起用于AWS永久数据存储,例如Amazon RDS或Amazon DynamoDB?
是的,Amazon ElastiCache是Amazon RDS或Amazon DynamoDB等数据存储的理想前端,为具有极高请求率和/或低延迟要求的应用程序提供了高性能的中间层。
选项A错误,因为DynamoDB Accelerator仅适用于DynamoDB。
选项B是错误的,因为RDS只读副本将有助于减少主数据库上的负载。但是,它不提供低延迟!
选项C是错误的,因为CloudFront无法帮助与RDS交互。
17.因为ElasticCache可以帮助存储会话信息,该信息可以在多个实例之间共享。这有助于在不内部维护状态的情况下设计应用程序。
您可以使用该服务缓存各种对象,从持久性数据存储区中的内容(例如Amazon RDS,DynamoDB或EC2上托管的自我管理数据库)
到动态生成的网页(例如,使用Nginx)或临时会话可能不需要永久后备存储的数据。
您还可以使用它来实现高频计数器,以在大容量Web应用程序中部署准入控制
18.他们想监视VPN何时关闭。他们如何实施监控
A.使用TunnelState CloudWatch指标 隧道云表
19.,因为RDS是最适合结构化数据的选项。RDS提供了易于管理的特性,并且具有多可用区选项将提供高可用性。
20 由于Amazon RDS提供了完全的兼容性并可以直接访问本机数据库引擎,因此,为这些数据库设计的大多数代码,库和工具都应在不修改Amazon RDS的情况下工作。
对于具有结构化数据的新应用程序,Amazon RDS也是最佳选择,该结构化数据需要比Amazon NoSQL数据库产品Amazon DynamoDB提供的功能更复杂的查询和连接功能
21.因为“备份和还原”是灾难恢复中最具成本效益的解决方案。它涉及从主数据库备份所有资源,以便在发生灾难时在辅助数据库中重新创建它们。
如果使用此方法,则在发生中断或灾难时可能需要很长时间才能还原系统
22.因为Direct Connect可以帮助降低成本并在VPC与内部部署环境之间提供专用的,可预测的高性能数据传输路径
23.因为VPN连接可能使成本保持较低,但由于速度慢和不可预测性,因此不是首选选项
24.Redshift允许跨区域快照,该快照可以在单独的区域中还原群集。
25.请参阅AWS文档-具有预签名URL的S3共享对象
默认情况下,所有对象都是私有的。只有对象所有者有权访问这些对象。
但是,对象所有者可以选择使用自己的安全凭证通过创建预签名的URL与他人共享对象,以授予有时间限制的下载对象的权限。
26.因为该方法将创建带有附加到单个IAM角色的权限的策略,并分配要与之一起启动的角色EC2实例。因为只能将单个角色附加到EC2实例
27.对于SSL连接,正确答案是C AWS将SSL证书附加到主实例,并且客户端需要使用公钥进行连接。
28.
Amazon RDS创建的SSL证书是受信任的根实体,在大多数情况下应该可以使用,但是如果您的应用程序不接受证书链,则该证书可能会失败。
如果您的应用程序不接受证书链,则可能需要使用中间证书来连接到您的区域
要使用默认的mysql客户端加密连接,请使用--ssl-ca参数启动mysql客户端以引用公钥
29 实现分片以将负载分配到多个RDS MySQL实例 而分片将有助于改善写入 成本高。
30 最佳实践的做法。哪些会帮助组织实现更好的安全性安排?
:应用最新的操作系统补丁,并始终保持更新。
C.为所有用户禁用基于密码的登录。所有用户都应使用自己的密钥安全地与实例连接。
D.创建一个过程,以在不再出于应用程序配置的目的而不再需要单个用户连接到EC2实例时撤消单个用户的访问权限。
B.仅允许IAM用户使用自己的秘密访问密钥与EC2实例连接。 IAM用户无法使用其访问密钥连接到EC2实例。对EC2实例的访问由ssh密钥控制。
31.日志进行加密,并采取措施检查日志是否被修改。如何做到这一点?
B.CloudTrail默认情况下会加密S3中的日志
D.启用CloudTrail日志文件完整性验证。
32.默认情况下,CloudTrail传递到存储桶的日志文件是通过Amazon服务器端加密和Amazon S3管理的加密密钥(SSE-S3)加密的。
33.因为Amazon Inspector是一项自动化安全评估服务,可帮助改善AWS上部署的应用程序的安全性和合规性
34.因为CloudWatch不能立即使用指标来衡量内存和磁盘交换的利用率,需要使用自定义指标来实现。
35.,因为DynamoDB流可以帮助捕获发生了什么更改的事件,即谁添加了照片。然后,该应用程序可以检查上载该应用程序的用户以及可以将通知发送给其的朋友。
36.DynamoDB Streams捕获任何DynamoDB表中按时间顺序排列的项级别修改的序列,并将此信息存储在日志中长达24小时。应用程序可以访问该日志,并几乎实时地查看修改前后的数据项。
37.每当应用程序创建,更新或删除表中的项目时,DynamoDB Streams都会使用修改后的项目的主键属性来写入流记录。
流记录包含有关对DynamoDB表中的单个项目进行数据修改的信息。您可以配置流,以便流记录捕获其他信息,例如,已修改项目的“之前”和“之后”图像。
38 组织希望一组特定的IAM用户只能访问测试实例,而不能访问生产实例。组织如何将其设置为策略的一部分?
D.在测试和生产服务器上定义标签,并向IAM策略添加条件,以允许访问特定标签
37 可以使用哪种技术将AWS IAM(身份和访问管理)与本地LDAP(轻型目录访问协议)目录服务集成?
C.使用来自身份代理的AWS Security Token Service颁发短期的AWS凭证
38.在Amazon Redshift中,您可以为集群启用数据库加密,以帮助保护静态数据。为群集启用加密时,将为群集及其快照加密数据块和系统元数据。
要从未加密的群集转到加密的群集或以其他方式进行操作,请从现有群集中卸载数据,然后使用所选的加密设置将其重新加载到新的群集中。
40.因为SSL证书可用于帮助后端系统进行身份验证并验证是否正在从API Gateway发起HTTP请求。
41。您可以使用API Gateway生成SSL证书,并在后端使用其公钥来验证对后端系统的HTTP请求是否来自API Gateway。
这允许您的HTTP后端控制和仅接受源自Amazon API Gateway的请求,即使该后端是可公开访问的也是如此
42.请参阅AWS文档-S3 CORS?
CORS允许网站从另一个存储桶访问CSS文件。
跨域资源共享(CORS)为在一个域中加载的客户端Web应用程序定义了一种与其他域中的资源进行交互的方式。
借助Amazon S3中的CORS支持,您可以使用Amazon S3构建富客户端Web应用程序,并有选择地允许对Amazon S3资源的跨域访问。
43.因为关键要求是24x7不变的使用率,并且没有弹性,标准的预留实例将是完美的选择。
预定的RI:可在您保留的时间范围内启动这些RI。此选项使您可以将容量保留与可预测的定期计划匹配,该计划仅需要一天,一周或一个月的一部分。
•标准RI:这些RI提供了最大的折扣(按需折扣高达75%),最适合稳态使用。
通过计划的预留实例(计划的实例),您可以购买以一年,一年,每天,每周或每月为基础的,具有指定开始时间和持续时间的容量预留。
您事先预留了容量,以便知道在需要时可用。即使您不使用实例,也要为计划实例的时间付费。
对于不是连续运行但可以按计划运行的工作负载,计划实例是不错的选择。
44.因为CloudHSM应该放置在EC2实例附近
CloudHSM实例在VPC内部使用您指定的IP地址进行配置,从而提供了到Amazon Elastic Compute Cloud(EC2)实例的简单和私有网络连接。
将CloudHSM实例放置在EC2实例附近可以减少网络延迟,从而可以提高应用程序性能。
AWS提供了对CloudHSM实例的专用和排他(单租户)访问权限,与其他AWS客户隔离。AWS CloudHSM可在多个区域和可用区(AZ)中使用,可让您向应用程序添加安全且持久的密钥存储。
45.请参阅AWS文档-DynamoDB指南
主键唯一标识表中的每个项目。主键可以是简单键(分区键),也可以是组合键(分区键和排序键)。
以下哪个示例是良好的DynamoDB分区密钥架构的示例,以提高预配置的吞吐量效率?
A.User ID,其中应用程序具有许多不同的用户。
46 内部IT安全团队需要对Redshift数据库的数据进行加密。如何做到这一点?
¥ 因为Redshift允许使用KMS加密群集。
默认情况下,Amazon Redshift选择您的默认密钥作为主密钥。
您的默认密钥是为您的AWS账户创建的AWS托管密钥,以在Amazon Redshift中使用。首次在区域中启动加密集群并选择默认密钥时,AWS KMS会创建此密钥。
如果您不想使用默认密钥,则必须在AWS KMS中单独拥有(或创建)客户管理的CMK,然后才能在Amazon Redshift中启动集群。
客户管理的CMK为您提供了更大的灵活性,包括创建,旋转,禁用,定义访问控制以及审核用于保护数据的加密密钥的能力。
47 因为CloudTrail帮助审核对AWS Key Management Service(KMS)的所有调用
48 请参阅AWS文档-KMS CloudTrail
AWS KMS与CloudTrail集成在一起,CloudTrail是一项服务,可捕获AWS账户中由AWS KMS或代表AWS KMS进行的API调用,并将日志文件传递到您指定的Amazon S3存储桶
CloudTrail记录所有AWS KMS操作
在您的AWS账户中启用CloudTrail日志记录后,将在日志文件中跟踪对AWS KMS操作进行的API调用。AWS KMS记录与其他AWS服务记录一起写入日志文件中。
CloudTrail根据时间段和文件大小确定何时创建和写入新日志文件。
49.因为S3最适合Blob存储
50.Amazon DynamoDB是一种快速灵活的NoSQL数据库服务,适用于所有需要任何规模的一致单位一位毫秒延迟的应用程序
以下是Amazon DynamoDB的用例?选择3个答案(多个答案)
B.管理网络会话
C.存储JSON文档
D.存储Amazon S3对象的元数据
它是一个完全托管的云数据库,同时支持文档和键值存储模型。其灵活的数据模型和可靠的性能使其非常适合移动,Web,游戏,广告技术,IoT和许多其他应用程序。
51.BLOB数据-
正确答案是D,因为DynamoDB并不意味着要存储图像,而S3最适合存储图像。因此,方法应该是将图像存储在S3中,并且仅将指针存储在DynamoDB中。
请参阅AWS Storage Options白皮书
BLOB数据-如果计划存储大(大于64 KB)的BLOB数据,例如数字视频,图像或音乐,则需要考虑使用Amazon S3。
但是,在这种情况下,Amazon DynamoDB仍然可以发挥作用,以跟踪有关您的二进制对象的元数据(例如,项目名称,大小,创建日期,所有者,位置等)。
52.请参阅AWS文档-CloudFormation常见问题解答
问:如果无法成功创建堆栈中的资源之一,该怎么办?
默认情况下,启用“错误时自动回滚”功能。这将导致成功删除AWS CloudFormation为堆栈成功创建的所有AWS资源,直到发生错误为止。
例如,当您意外超出弹性IP地址的默认限制或无法访问要运行的EC2 AMI时,此功能很有用。
通过此功能,您可以依靠完全创建堆栈或根本不创建堆栈的事实,从而简化了系统管理和基于AWS CloudFormation构建的分层解决方案。
53.该系统必须与多个Amazon EC2实例共享。哪项AWS服务满足此要求?
因为S3是唯一可以在多个EC2实例之间共享的基于对象的存储。
54.请参阅AWS文档-API Gateway
问:如何保护后端系统和应用程序免受流量高峰的影响?
Amazon API Gateway提供了多个级别的限制,包括全局调用和服务调用。可以为标准速率和突发设置节流限制。
例如,API所有者可以在其REST API中为特定方法设置每秒1,000个请求的速率限制,还可以将Amazon API Gateway配置为每秒处理2,000个请求的突发几秒钟。
Amazon API Gateway跟踪每秒的请求数。任何超出限制的请求将收到429 HTTP响应。当遇到此响应时,由Amazon API Gateway生成的客户端SDK将自动重试调用。
55.584.您需要在两个系统之间实时复制API调用。您应该使用哪种工具作为API调用事件的缓冲和传输机制?(多项选择)
C.AWS运动
因为AWS Kinesis是事件流服务。流可以充当缓冲区并在系统中进行有序的编程事件传输,使其非常适合在系统之间复制API调用。
请参阅AWS文档-Kinesis Data Streams常见问题解答
多个应用程序可以同时使用同一流的能力。例如,您有一个应用程序可以更新实时仪表板,而另一个应用程序可以将数据存档到Amazon Redshift。
您希望两个应用程序同时并独立地使用同一流中的数据。
56.我可以运行同一REST API的多个版本吗?
是。Amazon API Gateway使您能够克隆现有API。当您准备开始使用API的下一个主要版本时,就可以同时使用版本1和版本2的API。
56..为确保故障转移功能,请考虑对网络接口上的传入流量使用_____。
正确答案是B添加辅助私有IP地址。
使用ENI参阅AWS文档EC2
为确保故障转移功能,请考虑将辅助专用IPv4用于网络接口上的传入流量。如果实例发生故障,您可以将接口和/或辅助专用IPv4地址移动到备用实例。
57.问:我的数据在Amazon S3中的安全性如何?
您可以使用HTTPS协议通过SSL端点将数据安全地上传/下载到Amazon S3。如果您需要额外的安全性,则可以使用服务器端加密(SSE)选项来加密静态存储的数据。
如果传入的存储请求没有任何加密信息,您可以将Amazon S3存储桶配置为在存储对象之前自动对其进行加密。或者,您可以使用自己的加密库对数据进行加密,然后再将其存储在Amazon S3中。
58.正确的答案是A&D,因为您可以使用版本控制或备份其他AWS账户中的内容来防止删除并创建S3数据的备份
59.请参阅AWS文档-SQS常见问题解答
问:如何保护邮件队列中的邮件?
身份验证机制可确保存储在Amazon SQS消息队列中的消息得到保护,以防止未经授权的访问。
您可以控制谁可以向消息队列发送消息以及谁可以从消息队列接收消息。为了提高安全性,您可以构建应用程序以在将消息放入消息队列之前对其进行加密。
Amazon SQS支持HTTP over SSL(HTTPS)和传输层安全性(TLS)协议。
问:对于Amazon SQS,服务器端加密(SSE)有什么好处?
服务器端加密(SSE)使您可以在加密队列中传输敏感数据。
SSE使用AWS Key Management Service(AWS KMS)中管理的密钥保护Amazon SQS队列中的消息内容。Amazon SQS收到邮件后,SSE就会对其进行加密。消息以加密形式存储,Amazon SQS仅在将消息发送给授权使用者后才对其解密。
60 存储在Amazon Glacier中的数据是不可变的,这意味着在创建存档后便无法转换进行更新
https://amazonaws-china.com/cn/rds/faqs/
https://amazonaws-china.com/cn/vpc/faqs/
https://amazonaws-china.com/cn/ec2/faqs/
https://amazonaws-china.com/cn/route53/faqs/
https://amazonaws-china.com/cn/s3/faqs/
1.D
2.BD
3.B
4.C
5.A
6.C
7.B
8.D
9.A
10.C