2025awssaac03c02sap题库aws认证题库考试券真题

2025awssaac03c02sap题库aws认证题库考试券真题1.在AWS中，一个VPC包含四个子网，分别部署在us-east-1a和us-east-1b两个可用区。其中两个是公有子网，两个是私有子网。一个应用程序需要部署在私有子网中，但需要访问互联网以进行软件更新。以下哪种架构可以实现此目标，同时确保从互联网无法直接发起与私有子网中实例的连接？A.在公有子网中部署一个NAT网关，并配置私有子网的路由表，将指向互联网（0.0.0.0/0）的流量定向到该NAT网关。同时，确保公有子网的路由表包含指向互联网网关的路由。B.在私有子网中部署一个NAT网关，并配置私有子网的路由表，将指向互联网（0.0.0.0/0）的流量定向到该NAT网关。C.为私有子网中的每个EC2实例分配一个弹性IP地址，并配置私有子网的路由表指向互联网网关。D.在公有子网中部署一个互联网网关，并配置私有子网的路由表，将指向互联网（0.0.0.0/0）的流量定向到该互联网网关。2.一家公司使用AmazonS3存储敏感数据，并需要确保数据在传输过程中和静态时都得到加密。此外，他们希望使用由AWS完全管理的密钥进行加密，同时保留随时更改加密密钥策略的能力，而无需重新加密数据。他们应该使用哪种S3加密方式？A.使用具有客户提供密钥（SSE-C）的服务器端加密。B.使用具有AWSKeyManagementService（AWSKMS）托管密钥（SSE-KMS）的服务器端加密。C.使用具有S3托管密钥（SSE-S3）的服务器端加密。D.在将数据上传到S3之前，使用客户端加密。3.您正在设计一个多区域高可用性架构。主区域承载生产工作负载，辅助区域用于灾难恢复。您希望确保在发生区域中断时，DNS流量能够快速自动地路由到辅助区域。同时，您希望监控主区域端点的健康状况，并仅在端点不健康时才进行故障转移。应使用哪种AWS服务组合？A.AmazonRoute53具有故障转移路由策略和运行状况检查，以及AWSGlobalAccelerator。B.AmazonCloudFront与源站故障转移配置，以及AWSWAF。C.AWSDirectConnect与BGP路由配置，以及AmazonVPC对等连接。D.AmazonAPIGateway与区域端点，以及AWSLambda@Edge。4.一个EC2实例配置文件（InstanceProfile）关联到一个IAM角色。该角色附加了一个策略，允许对特定AmazonS3存储桶执行`s3:PutObject`操作。一个在EC2实例上运行的应用程序使用AWSSDK，尝试向该存储桶上传对象，但操作失败，出现“AccessDenied”错误。该应用程序未使用任何显式的AWS凭证。可能的原因是什么？（选择两项）A.该IAM角色未正确关联到EC2实例配置文件。B.该EC2实例未分配公有IP地址，因此无法访问S3服务端点。C.S3存储桶策略明确拒绝了来自该IAM角色的`PutObject`请求。D.该IAM角色的信任策略未将EC2服务配置为受信任实体。E.该EC2实例运行在一个未配置S3VPC端点的私有子网中。5.您正在使用AWSOrganizations管理多个账户。您希望确保所有成员账户中的S3存储桶都默认启用加密，并且禁止公开访问。应该采取哪两项措施？（选择两项）A.在管理账户中创建一个SCP（服务控制策略），明确拒绝所有未启用加密和配置了公有访问权限的S3API调用。B.在每个成员账户中，使用AWSConfig创建一个规则，自动修复未加密或公开的S3存储桶。C.在管理账户中，使用AWSCloudFormationStackSets在所有成员账户中部署一个配置了加密和阻止公有访问的S3存储桶模板。D.在管理账户中创建一个SCP，要求所有S3存储桶必须使用特定的KMS密钥进行加密，并阻止所有公有访问权限授予。E.在管理账户中配置一个AmazonS3存储桶策略，并将其附加到所有成员账户的存储桶上。6.一个应用程序使用AmazonDynamoDB作为数据库。该表配置了按需容量模式。在促销活动期间，读取流量激增，导致部分请求因`ProvisionedThroughputExceededException`而失败。此时没有进行任何表配置更改。最可能的原因是什么？A.按需模式存在表级别吞吐量限制，该限制已被超过。B.DynamoDBAccelerator（DAX）集群未正确配置。C.请求速率超过了DynamoDB分区自动扩展的提速速度。D.表的主键设计导致了热点分区的产生。7.您需要设计一个解决方案，用于处理来自IoT设备的流数据。设备每秒发送数千条消息。要求包括：实时处理数据以检测异常（响应时间<1秒），将原始消息存储至少7天以供后续批量分析，并将处理后的聚合结果写入一个关系数据库以供仪表板使用。以下哪种AWS服务组合最符合要求？A.AmazonKinesisDataStreams用于摄取数据，AWSLambda用于实时处理，AmazonS3用于长期存储，AmazonRDS用于存储结果。B.AmazonSQS用于消息队列，AmazonEC2上的自定义应用程序用于处理，AmazonEBS卷用于存储，AmazonDynamoDB用于结果。C.AmazonMQ用于消息代理，AWSBatch用于批处理，AmazonRedshift用于数据仓库。D.AmazonKinesisDataFirehose用于直接传输到AmazonS3和Redshift，无需实时处理。8.一个无服务器应用程序使用AmazonAPIGateway、AWSLambda和AmazonDynamoDB构建。您观察到某些API调用延迟很高。您怀疑是Lambda函数冷启动导致的。为了在不改变代码的情况下减少冷启动对延迟敏感API的影响，可以采取哪项措施？A.为Lambda函数配置预置并发。B.增加Lambda函数的内存分配。C.将Lambda函数的超时时间设置得更长。D.使用APIGateway的缓存功能。9.您有一个在AmazonEKS集群中运行的微服务应用程序。每个微服务都打包为容器。您需要为这些微服务实现服务发现，使得一个服务可以通过名称发现并调用另一个服务，而无需知道其具体的IP地址。应该使用哪种方法？A.为每个服务创建一个ElasticLoadBalancer，并在调用方配置ELB的DNS名称。B.使用EKS与CoreDNS集成，利用KubernetesService资源及其关联的DNS名称。C.为每个Pod分配一个弹性IP，并在应用程序配置中维护一个IP地址列表。D.使用AmazonRoute53私有托管区域，为每个服务手动创建A记录。10.在AWS上部署一个三层Web应用程序（Web层、应用层、数据库层）时，为了获得高可用性，您应该考虑哪些原则？（选择三项）A.在每个层使用跨多个可用区的自动扩展组。B.将数据库层部署在单个大规格实例上以提高性能。C.使用弹性负载均衡器将流量分发到Web层的实例。D.为所有EC2实例使用单个子网以简化管理。E.对数据库层使用多可用区部署（如RDSMulti-AZ）。F.为所有实例使用按需实例以节省成本。11.您使用AWSCloudFormation部署基础设施。您有一个模板，它创建了一个VPC、子网和一个安全组。您需要修改该模板以额外创建一个EC2实例，但您希望确保在更新堆栈时，现有的VPC、子网和安全组不会被删除和重新创建。应该如何处理新EC2实例资源与现有资源之间的依赖关系？A.在模板中为新EC2实例的资源定义中添加`"DeletionPolicy":"Retain"`。B.使用CloudFormation嵌套堆栈，将现有资源放在父堆栈，新实例放在子堆栈。C.在模板中，使用`Ref`内部函数来引用现有资源的逻辑ID，CloudFormation将自动识别这些引用。D.在更新堆栈时，选择“保留现有资源”选项。12.一个公司希望将其本地数据中心的网络扩展到AWS，要求网络连接安全、私有且带宽可预测。他们计划建立与单个VPC的连接，并希望此连接由AWS合作伙伴网络提供。应选择哪种服务？A.AWSVPN（使用AWSSite-to-SiteVPN）。B.AWSDirectConnect。C.AmazonVPC对等连接。D.AWSTransitGateway。13.您负责一个在AWSFargate上运行的容器化应用程序。该应用程序需要访问位于AmazonRDSPostgreSQL数据库实例上的数据库。确保应用程序能够安全连接到数据库的最佳实践是什么？A.将数据库用户名和密码存储在Fargate任务定义的环境变量中。B.使用IAM数据库身份验证，并为Fargate任务执行角色配置允许连接到数据库的权限。C.将数据库凭证存储在AmazonS3中，并让应用程序在启动时下载。D.在应用程序代码中硬编码数据库连接字符串。14.您正在分析一份AWS成本和使用情况报告（CostandUsageReport），并注意到某个特定AmazonEC2实例的`lineItem/LineItemType`是`Fee`，`lineItem/Operation`是`RunInstances`。这笔费用最有可能代表什么？A.该实例的按需运行费用。B.与该实例关联的EBS卷的快照存储费用。C.由于超出承诺计划（如SavingsPlans）而产生的按需费率费用。D.该实例的预留实例前期付款。15.您使用AmazonCloudWatch来监控一个关键的生产应用程序。您需要设置一个警报，当应用程序的平均错误率在5分钟周期内持续超过5%时触发。错误率由两个自定义指标`RequestCount`和`ErrorCount`计算得出。应该如何创建此警报？A.创建一个基于`ErrorCount`指标的数学表达式：`ErrorCount/RequestCount100`，并在此表达式上设置阈值>5。A.创建一个基于`ErrorCount`指标的数学表达式：`ErrorCount/RequestCount100`，并在此表达式上设置阈值>5。B.创建两个独立的警报，一个针对`RequestCount`，一个针对`ErrorCount`，并使用CloudWatch警报组合。C.创建一个新的Lambda函数，每5分钟计算一次错误率并发布一个新的指标，然后基于该新指标创建警报。D.在CloudWatchLogs中创建一个指标过滤器，从应用程序日志中解析错误率并创建指标。16.根据AWS共享责任模型，以下哪项是客户的责任？A.为AmazonRDS数据库实例打上操作系统补丁。B.确保AWS云基础设施区域的安全。C.保护AmazonS3存储桶中数据的完整性。D.对EC2实例主机服务器的物理访问控制。17.您有一个AmazonS3存储桶，用于存储由用户上传的图片。您希望自动生成这些图片的缩略图。每当一个新图片被上传到存储桶的`uploads/`前缀下时，就需要触发缩略图生成过程。应该使用哪种无服务器模式？A.配置S3事件通知，在`PutObject`事件发生时触发一个AWSLambda函数。Lambda函数将读取原始图片，生成缩略图，并将其保存到另一个S3位置。B.创建一个按计划运行的AWSBatch作业，定期扫描`uploads/`前缀下的新文件并进行处理。C.使用AmazonSQS，让用户上传程序在完成上传后向队列发送一条消息。一个EC2实例轮询队列并处理消息。D.启用S3版本控制，并配置一个AmazonCloudWatchEvents规则来检测新版本。18.一个应用程序将其日志文件写入一个AmazonEFS文件系统。多个EC2实例并挂载了此EFS文件系统。您发现随着实例数量的增加，写入性能下降。EFS文件系统配置为通用性能模式和默认吞吐量模式。哪项措施最有可能提高聚合写入吞吐量？A.将性能模式从“通用”更改为“最大I/O”。B.将吞吐量模式从“突发”更改为“预置吞吐量”，并增加预置的MiB/s。C.将EC2实例迁移到同一可用区内的单个子网中。D.为EFS文件系统启用生命周期管理，将不常访问的文件转移到InfrequentAccess(IA)存储类。19.您使用AWSKeyManagementService(KMS)创建了一个客户主密钥（CMK）。您希望允许另一个AWS账户中的IAM用户使用此CMK来加密其S3对象。应该如何配置？A.在CMK的密钥策略中，将另一个AWS账户添加为密钥用户，并在该账户的S3存储桶策略中引用此CMK的ARN。B.在另一个账户中创建一个IAM用户，并将其ARN添加到CMK密钥策略的`Principal`部分。C.在两个账户之间建立VPC对等连接，并通过网络直接访问KMS端点。D.使用AWSOrganizations将所有账户合并，然后在组织内共享CMK。20.在评估将本地工作负载迁移到AWS时，使用AWSApplicationDiscoveryService的主要好处是什么？A.它自动将服务器迁移到AWS。B.它收集有关本地服务器的配置、性能和依赖关系数据，为迁移规划提供信息。C.它提供迁移后应用程序的持续监控。D.它加密迁移过程中的所有数据传输。答案与解析1.答案：A解析：NAT网关部署在公有子网，允许私有子网中的实例发起对互联网的出站连接，同时阻止互联网主动发起对私有实例的入站连接，这是标准模式。选项B，NAT网关不能部署在私有子网，因为它需要指向互联网网关的路由。选项C，为私有实例分配EIP并直接指向互联网网关会使实例在互联网上可寻址，违反了安全要求。选项D，私有子网的路由直接指向互联网网关是无效的，因为互联网网关需要位于公有子网，且这同样会使流量可双向直接访问。2.答案：B解析：SSE-KMS使用AWSKMS管理的CMK进行加密。KMS是AWS完全管理的服务，但客户可以控制密钥策略（如谁可以使用密钥），并且可以轮换密钥（每年自动或按需手动），而无需重新加密数据，因为KMS使用信封加密。SSE-S3（AES-256）虽然也是AWS管理密钥，但客户无法查看或管理密钥策略。SSE-C需要客户自己管理密钥，增加了复杂性。客户端加密（D）同样需要客户管理密钥，且不满足“服务器端”和“AWS管理”的核心要求。3.答案：A解析：Route53故障转移路由策略可以配置为基于运行状况检查的结果，将流量路由到主或辅助端点。当主端点的运行状况检查失败时，Route53会自动将DNS查询应答切换到辅助端点的地址，实现快速DNS级别的故障转移。GlobalAccelerator主要用于通过AWS全球网络优化流量路径和提供固定入口IP，但其终端组故障转移也依赖于运行状况检查，不过题目明确提到了“DNS流量”，因此Route53是更直接的选择。CloudFront主要用于缓存和内容分发，其源站故障转移功能有限，并非主要的多区域灾难恢复DNS解决方案。4.答案：A,C解析：A正确：如果实例配置文件未正确关联到EC2实例，实例将无法获取该IAM角色的临时凭证，SDK调用会失败。C正确：S3存储桶策略的拒绝语句优先级最高。即使IAM角色有`PutObject`允许策略，如果存储桶策略显式拒绝了该角色的请求，操作也会被拒绝。B错误：S3是公共服务，可通过互联网网关、NAT网关或VPC端点访问，不需要公有IP。D错误：IAM角色的信任策略定义了哪个实体可以扮演该角色。EC2服务通过实例配置文件自动扮演角色，其信任策略默认（且必须）包含EC2服务。如果信任策略被错误修改，可能导致问题，但标准创建的角色已包含正确配置。E错误：没有S3VPC端点只会导致流量通过NAT网关/互联网网关流出VPC，不会直接导致“AccessDenied”错误。5.答案：A,B解析：A正确：SCP是Organizations中在组织单元（OU）或账户级别设置的策略，可用于设置权限边界。可以创建SCP来拒绝不符合安全标准（如未加密、公开访问）的API调用，从而强制执行策略。B正确：AWSConfig可以评估资源配置是否符合规则，并通过自动修复功能（需要手动授权）将不合规资源修正为合规状态。这是一种反应性的修复机制。C错误：CloudFormationStackSets可以部署新资源，但难以持续管理所有现有和未来存储桶的配置。D错误：SCP是权限边界，不能“要求”必须使用某项配置，只能“拒绝”未使用某项配置的操作。此外，强制使用特定KMS密钥可能过于严格，且SCP不能“阻止所有公有访问权限授予”，这更多是存储桶策略和ACL的功能。E错误：S3存储桶策略是附加到单个存储桶的，无法通过管理账户的一个策略管理所有成员账户的所有存储桶。6.答案：C解析：DynamoDB按需模式虽然无需预置容量，但其后台仍然基于分区和吞吐量进行扩展。当流量激增，尤其是突然的、超出预期的激增时，表的吞吐量提升速度（scalingvelocity）可能无法立即跟上请求速率的增长，从而导致短暂的限流异常。选项A，按需模式没有固定的表级别吞吐量上限，它会根据流量自动扩展。选项B，DAX是缓存层，与吞吐量限制无关。选项D，热点分区是导致限流的常见原因，但题目明确指出“没有进行任何表配置更改”，且按需模式也应能处理一定程度的负载波动；然而，在极端突发流量下，即使是非热点设计，也可能超过临时的扩展速度。但相比之下，C是DynamoDB官方文档中解释按需模式限流原因的核心点。7.答案：A解析：KinesisDataStreams可以高吞吐、低延迟地摄取流数据。Lambda可以连接到Kinesis流进行实时处理（毫秒到秒级），适合异常检测。S3是持久化存储原始流数据的标准服务，成本低廉。RDS适合存储处理后的结构化聚合结果，供仪表板查询。选项B，SQS不适合持续的高吞吐流数据摄取，EC2和EBS需要管理服务器，不是无服务器方案。选项C，AmazonMQ是传统消息代理，Batch用于批处理而非实时处理，Redshift用于数据仓库分析，响应时间通常大于1秒。选项D，KinesisDataFirehose主要用于将数据直接传输到存储或分析服务，其内置的转换功能是近实时的（缓冲区至少60秒），不满足<1秒的实时处理要求。8.答案：A解析：预置并发会初始化并保持指定数量的Lambda函数执行环境处于“温暖”状态，当请求到达时可以直接使用，从而完全消除冷启动延迟。增加内存（B）可能会间接减少冷启动时间（因为CPU等资源成比例增加），但效果不确定且不是专门针对冷启动的解决方案。增加超时时间（C）不影响启动延迟。APIGateway缓存（D）缓存的是API响应，不解决后端Lambda冷启动问题。9.答案：B解析：Kubernetes原生服务发现机制是通过Service资源实现的。在EKS中，CoreDNS作为集群DNS服务器，会为每个Service分配一个内部DNS名称（如`<service-name>.<namespace>.svc.cluster.local`），Pod可以通过该名称发现并通信。这是最标准、最云原生的方式。选项A，为每个服务创建ELB成本高昂且管理复杂。选项C，PodIP是动态的，手动维护不可行。选项D，手动管理Route53记录无法跟上Pod的动态创建和销毁。10.答案：A,C,E解析：高可用性核心在于消除单点故障和实现冗余。A（跨可用区自动扩展）确保单可用区故障时，其他可用区有实例可以接管。C（使用ELB）可以将流量分发到健康的Web实例，并在实例故障时停止向其发送流量。E（数据库多可用区）通过同步备用实例提供数据库层的高可用性。B（单一大规格实例）是单点故障。D（单子网）将应用限制在单个可用区，违背了跨可用区分布的原则。F（实例类型选择）与高可用性设计无关，更多是成本考量。11.答案：C解析：在CloudFormation模板中，当您使用`Ref`或`Fn::GetAtt`等内部函数引用一个已存在（且将由同一模板管理）的资源逻辑ID时，CloudFormation会理解这些资源之间的依赖关系。在更新堆栈时，如果现有资源的属性没有改变，CloudFormation不会重新创建它们。它会创建新资源（EC2实例），并根据依赖关系（如安全组ID、子网ID）正确配置新实例。选项A，`DeletionPolicy`用于控制堆栈删除时资源的行为，与更新无关。选项B，嵌套堆栈是一种代码组织方式，并非解决此问题的必要手段。选项D，CloudFormation更新操作中没有通用的“保留现有资源”选项。12.答案：B解析：AWSDirectConnect通过合作伙伴（DX合作伙伴）或直接在DX位置建立专用的物理网络连接，提供安全、私有且带宽可预测的网络连接。题目明确要求“由AWS合作伙伴网络提供”，这通常指的是通过合作伙伴提供的托管式DirectConnect连接。AWSVPN（A）也是安全私有连接，但基于公共互联网，带宽和延迟不如DirectConnect稳定可预测。VPC对等连接（C）用于连接不同VPC。TransitGateway（D）用于集中管理VPC和本地网络连接，但其底层连接到本地仍需通过VPN或DirectConnect。13.答案：B解析：IAM数据库身份验证是AWS推荐的最佳实践。它使用IAM签发的身份验证令牌（而非静态密码）连接到RDS数据库，令牌有效期仅15分钟。这增强了安全性（无需存储或传输密码），并与AWSIAM集成便于权限管理。Fargate任务执行角色提供了应用程序的IAM身份。选项A和D，在环境变量或代码中硬编码静态凭证是极不安全的行为。选项C，将凭证存储在S3中只是转移了存储位置，仍需保护S3的访问权限，且增加了复杂性。14.答案：C解析：在成本和使用情况报告中，`lineItem/LineItemType`为`Fee`通常表示附加费用或调整费用。当实例的使用量超出所购买的SavingsPlans或预留实例的覆盖范围时，超出的部分会按按需费率计费，并在报告中以`Fee`类型的行项目显示，其`Operation`为`RunInstances`。选项A，按需实例的正常运行费用`LineItemType`通常是`Usage`。选项B，EBS快照费用`Operation`通常是`SnapshotUsage`。选项D，预留实例的前期付款是单独的购买记录，不属于使用报告中的`Fee`。15.答案：A解析：CloudWatch指标数学表达式允许您基于现有指标创建新的表达式指标。创建警报时，可以选择“表达式”类型，并输入公式`(ErrorCount/RequestCount)100`，然后在此表达式指标上设置阈值和周期（如5分钟平均>5）。这是最直接和无需额外组件的方法。选项B，组合警报需要两个指标都违反阈值，逻辑不符合“错误率”计算。选项C和D引入了不必要的复杂性（Lambda函数、日志过滤），而数学表达式功能正是为此类场景设计的。16.答案：C解析：在共享责任模型中，客户负责“云中的安全”，包括其部署的操作系统、应用程序、数据的安全配置、身份和访问管理（IAM）、网络流量保护等。保护S3中数据的完整性（如通过加密、权限控制防止数据被篡改或未授权访问）是客户的责任。选项A，为RDS打操作系统补丁是AWS的责任（RDS是托管服务）。选项B和D，保护底层云基础设施和物理设施安全是AWS的责任。17.答案：A解析：这是典型的无服务器事件驱动处理模式。S3事件通知可以在特定事件（如`Put`）发生后，将消息发送到Lambda、SQS或SNS。Lambda函数是