AWS重点概念（中文）和错题内容汇总

admin 管理员组

文章数量: 1184232

Amazon Elastic Kubernetes Service (Amazon EKS)。

Amazon EKS 是一个完全托管的服务，可以在 AWS 上运行 Kubernetes。Kubernetes 是开源软件，允许您按规模部署和管理容器化的应用程序。

容器提供了一种标准化的方式，将应用程序的代码和依赖项打包成一个单一对象。容器通常用于对安全性、可靠性和可扩展性有重要要求的流程和工作流中。

• Amazon SageMaker 是一个服务，帮助您快速构建、训练和部署机器学习模型。
• Amazon Aurora 是一个企业级关系数据库。
• Amazon Redshift 是一个数据仓库服务，您可以用它进行大数据分析。

Amazon Elastic Kubernetes Service (EKS) 或 Amazon Elastic Container Service (ECS)

用于在 AWS 上运行容器化应用程序的服务是 Amazon Elastic Kubernetes Service (EKS) 或 Amazon Elastic Container Service (ECS)。

Amazon EKS 是一个托管服务 ，它使得在 AWS 上运行 Kubernetes 变得更加简单，无需安装和操作自己的 Kubernetes 控制平面。
Amazon ECS是一个完全托管的容器编排服务，帮助你轻松地在 AWS 上运行和扩展 Docker 容器。
这两个服务都允许你在AWS 上部署、管理和扩展容器化应用程序。

AWS Lambda

AWS Lambda 是一种无服务器计算服务，它允许你运行代码，而无需管理服务器。 你只需要提供代码，AWS Lambda 会自动为你管理计算资源。以下是关于 AWS Lambda 的一些关键点：

• 按需自动扩展：Lambda 会根据请求的数量自动扩展，无论有多少请求，Lambda 都能灵活应对，而无需预先配置或管理服务器。
• 按使用付费：你只需为实际使用的计算时间付费，而不需要为闲置的计算资源支付费用。
• 支持多种语言：Lambda 支持多种编程语言，包括 Python、Java、Node.js、C# 等。
• 事件驱动：Lambda 通过事件驱动的方式工作，可以与 AWS 的其他服务（如 S3、DynamoDB、SNS 等）集成，响应事件触发执行代码。

AWS Snowmobile

AWS Snowmobile 是一种超大规模数据传输服务，使用一个 45 英尺长的运输集装箱将最多 80 PB 的数据物理传输到 AWS。它专为大规模数据迁移而设计，适用于将大量数据（例如，从本地数据中心）传输到 AWS。Snowmobile 是一种安全、高效且具有成本效益的解决方案，适用于传输非常大的数据集。

• Amazon Neptune 是一个图形数据库服务。您可以使用 Amazon Neptune 构建和运行与高度关联的数据集相关的应用程序，例如推荐引擎、欺诈检测和知识图谱。
  - Amazon CloudFront 是一种内容分发服务。
• AWS DeepRacer 是一款自主的 1/18 比例赛车，您可以用它来测试强化学习模型。

实例存储 (Instance Store)。

实例存储非常适合用于临时数据，这些数据不需要长期保存。

当 Amazon EC2 实例停止或终止时，附加的实例存储上的所有数据都会被删除 。

• Amazon EBS (Elastic Block Store) 卷 适用于需要保留的数据。当 Amazon EC2 实例停止或终止时，附加的 EBS 卷上的所有数据仍然可用。
• Amazon S3 存储桶 不能直接附加到 Amazon EC2 实例上。
• 子网 (Subnet) 是虚拟私有云（VPC）中的一个部分，可以根据安全性或操作需求将资源分组在其中。

Amazon EC2 Instance Store。

Amazon EC2 Instance Store 提供临时存储，这些存储与运行 EC2 实例的主机机器物理连接。此存储非常适合用于短期或临时数据，不需要长期保留 。实例存储中的数据会在实例停止或终止时丢失。

• Amazon EBS (Elastic Block Store) 是持久性存储，用于长期数据存储，即使 EC2 实例停止或终止，数据仍然保留。因此它不适合用于临时数据。
• Amazon S3 是一个对象存储服务，旨在用于长期数据存储，且不能直接附加到 EC2 实例上。
• Amazon Glacier 是一个低成本的归档存储服务，旨在用于长期数据存储和备份，而不是临时存储。

Amazon DynamoDB。

Amazon DynamoDB是一个键值数据库服务。键值数据库可能包含类似 “Name: John Doe”、“Address: 123 Any Street” 和 “City: Anytown” 的数据对。

在键值数据库中，您可以随时向表中的项目添加或移除属性。此外，表中的每个项目不需要具有相同的属性。

• Amazon Relational Database Service (Amazon RDS) 和 Amazon Aurora 使用结构化查询语言（SQL）来存储和查询数据，它们不是键值数据库。
• Amazon DocumentDB 是一个文档数据库服务，支持 MongoDB 工作负载。

Amazon DynamoDB。

Amazon DynamoDB 是一个完全托管的 NoSQL 键值和文档数据库服务。它提供快速且可预测的性能，并能无缝扩展。非常适合用来存储和检索任何数量的数据，并处理任何级别的请求流量。

• Amazon RDS 是一种关系型数据库服务，支持基于 SQL 的数据库，如 MySQL、PostgreSQL、SQL Server 和 Oracle。
• Amazon S3 是一个对象存储服务，而不是键值数据库。
• Amazon Redshift 是一个完全托管的数据仓库服务，适用于分析型工作负载，而不是键值数据库。

Amazon Augmented AI（Amazon A2I）。

Amazon Augmented AI (Amazon A2I) 提供了内置的人工审核工作流，适用于常见的机器学习用例，如内容审核和从文档中提取文本。使用 Amazon A2I，您还可以为基于 Amazon SageMaker 或其他工具构建的机器学习模型创建自定义工作流。

• Amazon Textract 是一种机器学习服务，自动从扫描文档中提取文本和数据。
• Amazon Lex 是一个可以使用语音和文本构建对话界面的服务。
• Amazon Aurora 是一种企业级关系数据库。

Amazon A2I（Amazon 增强型 AI）。

Amazon A2I 是一种服务，允许您构建需要人工审核机器学习预测结果的工作流。它帮助您创建系统，让机器学习模型做出预测，但在必要时，人工可以对这些预测进行审核和验证。这对于某些需要人工判断的预测应用特别有用，确保自动决策的整体质量和准确性。

重构

重构 是一种迁移策略，涉及对应用程序进行根本性重建，通常是为了利用云原生功能，如微服务架构、容器化和无服务器计算。它通常需要重新设计应用程序的核心架构和代码，以便最大限度地利用云平台的优势。

• Repurchasing（重新购买）：这涉及用云端版本的应用程序替换现有的应用程序，例如 AWS Marketplace 中的 SaaS 软件。

• Rehosting（重新托管）：也叫做“提升和迁移”，这种策略将应用程序迁移到云中，几乎不对应用程序本身进行任何修改。

• Replatforming（重构）：这种策略涉及有选择地优化应用程序的某些方面，以便在云中获得好处，而不改变应用程序的核心架构，也称为“提升、调整和迁移”。

Replatforming（重构，也称为“提升、调整和迁移”）包括：

• 改变应用程序的架构和开发方式，通常通过使用云原生功能来实现。

• 这可能包括调整应用程序以在云中高效运行，利用云服务（如托管数据库、自动扩展和容器化），同时保留大部分现有架构。

• 应用程序会重新设计，以更好地利用云功能，但不会完全重新架构。

• 这种策略通常在保持现有应用程序结构的同时，进行一些改进，以使其更好地与云特性对接。

• Rehosting（重新托管）：通常称为“提升和迁移”，这种策略将应用程序从本地迁移到云中，通常不对应用程序的架构进行重大更改。

• Repurchasing（重新购买）：这种策略涉及迁移到新的软件解决方案，通常是一个软件即服务（SaaS）产品，取代现有的本地或遗留应用程序。

• Retiring（退役）：这种策略涉及在迁移过程中淘汰不再需要的应用程序。

运营视角

Operations Perspective（运营视角） 侧重于云环境的日常运营。这包括确保 IT 工作负载可以高效恢复，以满足业务需求并在出现故障或中断时尽量减少停机时间。它强调运营弹性，包括灾难恢复、事件响应和持续改进过程，以满足利益相关者的需求。
包括在云中运营的原则，使用敏捷最佳实践来帮助企业高效运行和恢复 IT 工作负载，满足业务需求。

• Business Perspective（业务视角） 帮助您从一个将业务与 IT 策略分开的模式，转变为一个将 IT 策略融入业务模型的模式。

• People Perspective（人员视角） 帮助人力资源（HR）员工通过更新组织流程和员工技能，使团队为云采用做好准备，确保团队具备云相关的能力。

• Governance Perspective（治理视角） 帮助您理解如何更新员工技能和组织流程，以确保在云中的业务治理。

• Technology Perspective（技术视角）：侧重于支持云中工作负载和服务所需的技术能力，如云架构、安全性和可扩展性。

AWS Elastic Beanstalk。

您上传应用程序后，Elastic Beanstalk 会自动处理容量配置、负载均衡、自动扩展和应用程序健康监控等部署细节。

• AWS Outposts 是一项服务，允许您以混合云的方式在本地运行基础设施。

• Amazon CloudFront 是一项内容交付服务，用于加速全球用户访问您的网站和应用程序。

• AWS Snowball 是一款设备，帮助您将大量数据传输进出 AWS。

AWS Elastic Beanstalk 的主要特点：

• 自动扩展：

AWS Elastic Beanstalk 根据应用程序的需求自动进行资源的扩展和缩减，处理扩展操作，无需手动干预。

• 简化部署：

Elastic Beanstalk 简化了应用程序的部署过程，允许您上传代码，并自动管理运行该应用程序所需的基础设施。

• 托管服务：

它是一个完全托管的服务，负责资源的配置、负载均衡、扩展和应用程序健康监控。

• 支持多种语言：

AWS Elastic Beanstalk 支持多种编程语言，如 Java、.NET、Node.js、Python、Ruby 和 PHP 等。

• 与其他 AWS 服务的集成：

它与其他 AWS 服务集成，如 Amazon RDS 用于数据库管理，Amazon S3 用于存储。

使用场景：

如果您需要快速部署、管理和扩展 Web 应用程序或服务，而不必担心底层基础设施，AWS Elastic Beanstalk 是理想的服务。

AWS Marketplace

AWS Marketplace查找、测试和购买运行在 AWS 上的软件。

• 一个可以回答最佳实践问题并协助故障排除的资源 - 这个选项描述的是 AWS Support（AWS 支持）。

• 一个在您规划、部署和优化应用程序时提供指导、架构评审和与公司持续沟通的资源 - 这个选项描述的是 技术账户经理 (TAM)。

• 一个在线工具，检查您的 AWS 环境并根据 AWS 最佳实践提供实时指导 - 这个选项描述的是 AWS Trusted Advisor（AWS Trusted Advisor）。

AWS Trusted Advisor

包含访问所有 AWS Trusted Advisor 检查的支持计划是 Business（商业）和 Enterprise（企业）支持计划。

解释：

• Business 支持计划：该计划提供对所有 AWS Trusted Advisor 检查的访问权限，并提供 24/7 的云支持工程师支持，以及架构指导、AWS Trusted Advisor 最佳实践等其他支持功能。

• Enterprise 支持计划：除了包含 Business 计划中的所有内容外，Enterprise 计划还提供额外的好处，如指定的技术账户经理（TAM）、更高水平的支持和更多的高级工具。

• 其他支持计划：
  Developer 支持计划：该计划不提供对所有 AWS Trusted Advisor 检查的访问权限，仅包含有限的检查集。

Basic 支持计划：Basic 计划仅提供对有限数量的 Trusted Advisor 检查的访问，主要集中在安全方面。

因此，如果您需要完全访问所有 Trusted Advisor 检查，您需要 Business 或 Enterprise 支持计划。

Basic 和 Developer 支持计划 提供对有限选择的 AWS Trusted Advisor 检查的访问。

AWS Free Tier 不是一个支持计划。它是一个包含三种类型优惠的计划，允许客户在不产生费用的情况下使用 AWS 服务：始终免费、12 个月免费和试用。

AWS Cost Explorer

使用 AWS Cost Explorer，您可以快速创建自定义报告，以分析 AWS 成本和使用数据。
能够帮助您可视化、理解和管理 AWS 成本与使用情况的工具是 AWS Cost Explorer。

• AWS Budgets 允许您设置自定义警报，当您的服务使用量超过（或预计超过）您设定的预算时，系统会通知您。

• AWS Pricing Calculator 让您探索 AWS 服务，并为您的使用案例在 AWS 上创建成本估算。在 AWS Pricing Calculator 中，您可以输入云计算需求的详细信息，然后获得详细的估算，并可以导出和共享。

• AWS Artifact 是一个服务，允许您访问 AWS 安全和合规报告以及特定的在线协议。

AWS Cost Explorer 的主要特点：

成本可视化：

AWS Cost Explorer 允许您通过图表和报告可视化 AWS 支出模式和使用情况。

自定义报告：

您可以创建自定义报告，通过各种维度（如服务、关联账户或成本分配标签）筛选和分组成本。

成本预测：

基于历史使用情况，提供未来 AWS 成本的洞察，帮助您预测和规划即将到来的支出。

成本异常检测：

它可以帮助您检测异常的支出模式，并向您发出潜在问题的警报。

成本优化：

帮助您通过显示服务的使用情况和可能存在的低效之处，识别降低 AWS 成本的机会。

CloudTrail

使用 CloudTrail，您可以查看应用程序和资源的用户活动和 API 调用的完整历史记录。

事件通常会在 API 调用发生后的 15 分钟内更新到 CloudTrail。您可以通过指定 API 调用发生的时间和日期、请求操作的用户、涉及的资源类型等，来筛选事件。

可以让您查看 AWS 环境中用户活动和 API 调用详细信息的服务是 AWS CloudTrail。

AWS CloudTrail 的主要特点：

活动追踪：

CloudTrail 记录在您的 AWS 账户上执行的 API 调用，提供关于用户、服务和角色在您环境中所执行操作的详细信息。

日志数据：

它记录谁发起了请求、执行了什么操作、何时发生、请求来源的 IP 地址等信息。

安全和合规：

帮助您跟踪 AWS 资源的更改，用于安全分析、审计和合规性检查。

与其他服务集成：

CloudTrail 可以与其他 AWS 服务集成，如 Amazon CloudWatch 用于监控，AWS Lambda 用于自动响应。

• Amazon CloudWatch 是一个服务，它提供数据，您可以使用这些数据来监控应用程序、优化资源利用率，并应对系统性能变化。

• Amazon Inspector 是一个服务，用于检查应用程序的安全漏洞和与安全最佳实践的偏差。

• AWS Trusted Advisor 是一个在线工具，它检查您的 AWS 环境，并根据 AWS 最佳实践提供实时指导。

AWS Trusted Advisor

AWS Trusted Advisor 还通过提供如何利用预配置吞吐量的建议，帮助改善您的服务性能。

AWS Trusted Advisor 中包含高利用率 EC2 实例检查的类别是 性能（Performance） 类别。

• 性能检查：
  该类别提供优化 AWS 资源性能效率的建议。包括对高利用率 EC2 实例的检查，这可能表明您的实例配置不足，可能需要调整实例大小以提高性能，避免资源瓶颈。
  通过解决这些检查，您可以优化 EC2 实例的性能，确保工作负载高效运行，同时避免过度使用资源。

• 安全（Security） 类别包括帮助您审查权限并识别需要启用的 AWS 安全功能的检查。

• 成本优化（Cost Optimization） 类别包括检查未使用或空闲的资源，这些资源可以被删除，从而节省成本。

• 容错（Fault Tolerance） 类别包括帮助您提高应用程序的可用性和冗余性的检查。

Amazon GuardDuty 的主要特点：

持续监控：

提供 24/7 的 AWS 环境监控，检测可疑活动，包括异常的 API 调用、被攻陷的实例或潜在的数据外泄。

威胁检测：

GuardDuty 使用机器学习、异常检测和集成的威胁情报源（如来自 AWS 安全合作伙伴的数据）来识别并优先处理潜在的安全威胁。

简单设置：

作为完全托管的服务，GuardDuty 不需要额外的基础设施或复杂的设置。您只需启用该服务，它就会立即开始监控您的 AWS 资源。

与 AWS 安全服务集成：

GuardDuty 与 AWS 的其他服务（如 AWS CloudTrail、VPC Flow Logs 和 DNS 日志）协同工作，提供全面的安全视图。

自动响应：

您可以将 GuardDuty 的检测结果与其他 AWS 服务（如 AWS Lambda）集成，实现自动响应，比如隔离实例或发送通知。

AWS Organizations

可以让您从一个中心位置整合和管理多个 AWS 账户的服务是 AWS Organizations。

AWS Organizations 的主要功能：

账户管理：

允许将多个 AWS 账户分组到一个组织中，以便于统一管理。

合并计费：

将组织中所有账户的账单合并，简化成本管理，并通过使用量折扣可能减少费用。

策略实施：

通过应用服务控制策略（SCPs），跨账户定义权限，确保符合组织的安全和合规标准。

集中化管理：

从一个中心位置管理所有账户的访问、权限和合规性。

与其他 AWS 服务集成：

与 AWS SSO、CloudTrail 和 Config 等服务无缝集成，用于监控和保护账户。

S3 Intelligent-Tiering

在 S3 Intelligent-Tiering 存储类别中，Amazon S3 会在以下存储层之间动态移动对象：

频繁访问层（Frequent Access Tier）：

该层等同于 S3 Standard 存储类别。
适用于经常被访问的对象。

不频繁访问层（Infrequent Access Tier）：

该层等同于 S3 Standard-Infrequent Access (S3 Standard-IA) 存储类别。
适用于较少访问但需要即时检索的对象。

S3 Intelligent-Tiering 的额外存储层

根据配置，``S3 Intelligent-Tiering `还可以将对象移动到以下归档层：

• 归档访问层（Archive Access Tier）：类似于 S3 Glacier，适用于极少访问但仍需在几分钟到几小时内检索的数据。
• 深度归档访问层（Deep Archive Access Tier）：类似于 S3 Glacier Deep Archive，适用于非常少访问的数据，检索时间为数小时。

主要优势

• 自动化管理：Amazon S3 会自动监控访问模式，并在这些存储层之间转移对象，无需用户干预。
• 成本优化：通过仅将活跃访问的对象存储在成本较高的频繁访问层，实现高性价比。
  这种动态调整机制使 S3 Intelligent-Tiering 特别适合访问模式不可预测的工作负载。

为什么选择 S3 Intelligent-Tiering？

自动监控：

S3 Intelligent-Tiering 会自动监控对象的访问模式。

动态成本优化：

根据使用模式，将对象在不同的存储层（频繁访问、不频繁访问、归档和深度归档）之间移动，确保成本效益，同时保持性能。

低管理开销：

无需手动分析或移动数据，服务会动态调整存储层级。

无数据检索费用：

与其他存储类别不同，S3 Intelligent-Tiering 没有数据检索费用，非常适合访问模式不可预测的场景。

何时使用 S3 Intelligent-Tiering？

访问模式不可预测：

当数据访问模式不一致或不可预测时，适合使用此存储类别。

在成本与性能之间取得平衡：

通过将经常访问的对象存储在频繁访问层，将不经常访问的对象自动转移到更便宜的层，平衡成本与性能。

工作原理：

S3 Intelligent-Tiering 首先将对象放置在频繁访问层。
如果 30 天内未被访问，系统会自动将对象移动到不频繁访问层。
此存储类别特别适合无法明确了解访问模式或希望通过自动化管理实现成本节省的情况。

---

考试问题遇到的内容

选项	为什么不正确
A. Amazon OpenSearch Service	用于搜索和分析日志数据，不用于识别资源共享
B. AWS Control Tower	用于多账户管理和治理，不用于分析资源共享
D. AWS Fargate	无服务器容器服务，与资源访问分析无关

• 哪项 AWS 服务或功能可以搜索和识别外部共享的 AWS 资源？

AWS IAM Access Analyzer 可以帮助用户：

分析账户中的 IAM 策略，识别资源的访问权限

检测和报告被外部账户共享的资源（S3 桶、KMS 密钥、SQS 队列等）

提供可操作的安全警告，帮助修复不必要的外部访

• 公司可以使用哪种 AWS 服务来可视化设计和构建无服务器应用程序？
  AWS Application Composer 是一款 可视化设计工具，用于构建 无服务器应用程序（Serverless Applications）：

可以通过 拖拽组件（如 Lambda 函数、API Gateway、DynamoDB 等）来设计应用架构

自动生成 AWS SAM 或 CloudFormation 模板

加快无服务器应用程序的开发速度

选项	为什么不正确
A. AWS Lambda	无服务器计算服务，负责运行代码，不是可视化设计工具
B. AWS Batch	用于批处理作业，与无服务器应用可视化设计无关
D. AWS App Runner	用于快速部署 web 应用和 API 服务，不提供可视化设计功能

• 某公司希望将其 PostgreSQL 数据库迁移到 AWS。该公司并不经常使用该数据库。 哪种 AWS 服务或资源能以最少的管理开销满足这些要求？
• A. 亚马逊 EC2 上的 PostgreSQL
• B. 用于 PostgreSQL 的亚马逊 RDS
• C. 亚马逊 Aurora PostgreSQL 兼容版
• D. 亚马逊极光无服务器版

D. Amazon Aurora 无服务器版（Aurora Serverless）

A. EC2 上的 PostgreSQL ❌

客户需要管理操作系统、数据库安装、打补丁、备份等

管理开销大，不适合题目要求

B. Amazon RDS for PostgreSQL ✅

托管数据库服务，自动备份、打补丁

但 不经常使用时仍然会按实例时间计费，成本可能较高

C. Amazon Aurora PostgreSQL 兼容版 ✅

托管服务，自动管理

提供高性能和可扩展性

但固定实例仍需付费，即使低使用率

D. Amazon Aurora Serverless ✅ （最优）

按需自动扩缩容

低使用率时几乎不收费（按实际计算容量计费）

几乎无需管理实例或容量

完美符合“不经常使用 + 最少管理开销”的要求

• 使用 AWS 基础架构事件管理 (IEM) 支持 ✅

IEM 是 AWS 企业支持提供的一项预发布活动咨询服务

帮助客户评估系统容量、性能和弹性

提供扩展准备建议，确保新版本发布期间的可靠性

• 某公司希望在 AWS 上启动多个工作负载。每个工作负载都与不同的业务部门相关。该公司希望跟踪每个业务部门的成本。 哪种解决方案能以最少的运营开销满足这些要求？
• A. 使用 AWS 组织并为每个业务部门创建一个账户。
• B. 使用电子表格控制每个资源的所有者和成本。
• C. 使用 Amazon DynamoDB 表记录每个业务单位的成本。
• D. 使用 AWS 计费控制台为资源分配所有者并跟踪成本。
  使用 AWS 组织并为每个业务部门创建账户 ✅

A AWS Organizations 支持 多账户管理

每个账户可以对应一个业务部门

自动跟踪和分开计费

可使用 AWS Cost Explorer / 账单聚合报表 查看每个账户的成本

运营开销最小，无需手动记录

• 根据 AWS 共同责任模式，哪个选项属于 AWS 和客户之间的共同控制？
• A. 配置管理
• B. 物理和环境控制
• C. 数据完整性验证
• D. 身份和访问管理

AWS 共享责任模型（Shared Responsibility Model） 将云安全和合规责任分为两部分：

AWS 负责“云的安全”（Security of the Cloud）

物理基础设施、硬件、网络、环境安全

例如：数据中心物理安全、硬件维护、网络基础设施

对应选项 B. 物理和环境控制 ✅（AWS 完全负责）

客户负责“云中的安全”（Security in the Cloud）

数据加密、访问控制、操作系统补丁

对应选项 C. 数据完整性验证、D. 身份和访问管理 ✅（客户主要负责）

共同控制（Shared Controls）

某些安全或合规责任需要 AWS 和客户 协作完成

例如：配置管理（Configuration Management）

AWS 提供安全基础设施

客户配置资源、权限和策略

• 一家公司需要一种 AWS 服务，它能为公司在内部数据中心运行的数据提供一个清晰的基准。公司需要在 AWS 云中运行其内部工作负载的预计成本。 哪种 AWS 服务或工具能满足这些要求？
• A. AWS 计算优化器
• B. AWS 成本资源管理器
• C. AWS 系统管理器代理（SSM 代理）
• D. 迁移评估器
  ✔ 选项分析

A. AWS 计算优化器 ❌

用于 现有 AWS 资源 的优化建议（实例类型、EBS 卷等）

不用于评估内部数据中心成本

B. AWS 成本资源管理器 (AWS Cost Explorer) ❌

用于查看和分析 已有 AWS 使用情况和费用

无法针对内部数据中心进行基准和预测

C. AWS 系统管理器代理（SSM 代理） ❌

用于管理 EC2 实例和混合环境中的操作系统

不提供成本预测功能

D. 迁移评估器（AWS Migration Evaluator，前身为 TSO Logic） ✅

自动收集 内部数据中心的资源使用情况

提供 清晰的基准

估算 在 AWS 云中运行这些工作负载的成本

帮助公司制定迁移计划

• 以下哪项是专门用于提取、转换和加载 (ETL) 数据的受管 AWS 服务？
• A. 亚马逊雅典娜
• B. AWS Glue
• C. 亚马逊 S3
• D. AWS Snowball Edge
  题目关键点：

专门用于 ETL（提取、转换、加载）

受管服务（Serverless/Managed）

✔ 选项分析

A. Amazon Athena ❌

交互式查询服务，用于直接查询 S3 中的数据

不负责 ETL

B. AWS Glue ✅

完全托管的 ETL 服务

提供：

数据目录（Data Catalog）

自动发现数据模式

提取、清洗、转换并加载数据到目标存储

支持 Python/Spark 脚本

Serverless，无需管理基础设施

C. Amazon S3 ❌

对象存储服务，用于存储数据

不执行 ETL 操作

D. AWS Snowball Edge ❌

数据传输设备，用于离线数据迁移

不提供 ETL 功能

• 一家公司希望使用 Amazon EC2 实例向世界各地的用户提供一个静态网站。该公司需要尽量减少延迟。 哪种解决方案能满足这些要求？
• A. 在多个边缘位置使用 EC2 实例。
• B. 在同一可用性区域但不同 AWS 区域使用 EC2 实例。
• C. 使用 Amazon CloudFront，并将 EC2 实例配置为源。
• D. 使用同一可用性区域但不同 AWS 账户中的 EC2 实例

C. 使用 Amazon CloudFront，并将 EC2 实例配置为源 ✅

CloudFront 是 全球内容分发网络 (CDN)

将 EC2 作为源，自动在 全球边缘节点缓存内容

全球用户访问延迟大幅降低

完全符合“全球访问 + 最小延迟”的需求

• 使用 AWS 无服务器计算有什么好处？
• A. 不需要应用程序部署和管理。
• B. 应用程序安全将由 AWS 全面管理。
• C. 不需要监控和日志记录。
• D. 基础设施的管理将卸载给 AWS。
  无服务器计算（Serverless Computing） 的核心特点是：

用户只需专注于 应用程序代码和业务逻辑

AWS 管理底层基础设施（服务器、操作系统、扩展、补丁、容量规划等）

按实际使用量计费（按请求或执行时间），无需预置资源

选项	说明
A. 不需要应用程序部署和管理	部署代码仍然需要，Serverless 只是管理基础设施
B. 应用程序安全将由 AWS 全面管理	AWS 管理云基础设施安全，但应用程序安全仍由客户负责
C. 不需要监控和日志记录	AWS 提供 CloudWatch 监控和日志，客户仍可设置并使用

一名开发人员希望 AWS 用户使用临时安全凭证访问 AWS 服务。
开发人员应使用哪个 AWS 服务或功能来提供这些凭证？
A. IAM 策略
B. IAM 用户组
C. AWS 安全令牌服务（AWS STS）
D. AWS IAM 身份中心（AWS 单点登录）

A. IAM 策略 ❌

IAM 策略用于定义权限

不用于生成临时凭证

B. IAM 用户组 ❌

IAM 用户组用于组织和管理用户权限

不生成临时凭证

C. AWS 安全令牌服务（AWS STS） ✅

专门生成临时安全凭证（Access Key ID、Secret Access Key 和 Session Token）

可为 IAM 用户、联邦用户或应用程序 提供短期访问 AWS 服务的权限

支持跨账户访问和联合身份认证

D. AWS IAM 身份中心（AWS 单点登录） ❌

用于集中管理用户访问和 SSO

不直接生成临时凭证

一家全球性公司希望使用托管安全服务来防止 SQL 注入攻击。该服务还必须提供详细的
有关访问公司电子商务应用程序的日志信息。
哪种 AWS 服务能满足这些要求？
A. AWS 网络防火墙
B. 亚马逊 RDS for SQL Server
C. 亚马逊 GuardDuty
D. AWS WAF

A. AWS 网络防火墙 ❌

主要用于 VPC 网络层流量的入站/出站控制

不专门防护应用层攻击（如 SQL 注入）

B. Amazon RDS for SQL Server ❌

托管数据库服务

提供数据库运行和安全，但不防止应用层 SQL 注入

C. Amazon GuardDuty ❌

威胁检测服务，监控 恶意活动和异常行为

不提供应用层 SQL 注入防护

D. AWS WAF（Web Application Firewall） ✅

托管 Web 应用防火墙

可以防护：

SQL 注入（SQLi）

跨站脚本（XSS）

提供 详细访问日志（可记录访问请求）

适合电子商务网站和其他 Web 应用

服务	主要用途	数据来源	输出/结果
GuardDuty	威胁检测和异常行为	CloudTrail、VPC Flow Logs、DNS Logs	安全警报、可疑行为检测
Inspector	漏洞扫描与合规检查	EC2、容器、Lambda 配置和漏洞数据库	漏洞报告、安全最佳实践建议
Macie	敏感数据发现与保护	S3 数据	数据分类报告、敏感数据访问警报

GuardDuty → 看谁在搞鬼（异常行为/威胁）

Inspector → 看有什么漏洞（漏洞/配置问题）

Macie → 看数据里有什么秘密（敏感数据）

某公司使用 AWS 安全服务和工具。该公司需要一项服务来帮助管理安全警报，并且必须将警报组织到一个单一仪表板中。
该公司应使用哪种 AWS 服务来满足这些要求？

A. 亚马逊 GuardDuty
B. 亚马逊检查器(Inspector)
C. 亚马逊 Macie
D. AWS 安全中心

A. Amazon GuardDuty ❌

负责 威胁检测和异常行为

只能提供自身发现的警报，不负责集中管理来自其他服务的警报

B. Amazon Inspector ❌

提供 漏洞扫描和合规评估报告

不集中管理安全警报

C. Amazon Macie ❌

发现和保护 敏感数据

不提供集中仪表板来管理所有安全警报

D. AWS Security Hub ✅

安全警报集中管理平台

可整合 GuardDuty、Inspector、Macie 等服务的发现

提供 统一仪表板、合规性检查和可操作建议

便于企业在一个地方管理安全状态

• 某公司计划运行一个使用图形处理器 (GPU) 的计算密集型工作负载。
  该公司应使用哪种 Amazon EC2 实例类型？

A. 加速计算
B. 计算优化
C. 存储优化
D. 通用

A. 加速计算（Accelerated Computing） ✅

提供 GPU 或 FPGA 加速

适用于：

机器学习训练和推理

图形渲染和可视化

科学计算、视频处理

EC2 实例系列示例：

P 系列（深度学习训练）

G 系列（图形渲染、游戏流媒体）

B. 计算优化（Compute Optimized） ❌

提供 高 CPU 性能

不包括 GPU

C. 存储优化（Storage Optimized） ❌

提供 高 I/O 性能和本地存储

不适用于 GPU 工作负载

D. 通用（General Purpose） ❌

平衡 CPU、内存、存储

不提供 GPU 支持

🎯 结论

运行 GPU 计算密集型工作负载的 EC2 实例类型是：

A. 加速计算（Accelerated Computing）

• 以下哪些是 AWS 云中使用的网络 ACL 的功能？（请选择两项）

A. 它们是无状态的。
B. 它们是有状态的。
C. 它们在允许流量之前会评估所有规则。
D. 在决定是否允许流量时，它们按顺序处理规则，从编号最低的规则开始

网络 ACL（Network ACL，NACL） 是 AWS VPC 中的一个安全层，用于控制子网级别的入站和出站流量。

✔ 功能分析

A. 它们是无状态的 ✅

NACL 无状态（stateless）

入站和出站流量规则 分别独立评估

如果允许入站流量，需要显式允许对应出站流量

B. 它们是有状态的 ❌

有状态的是 安全组（Security Group）

安全组允许入站流量后，自动允许响应出站流量

C. 它们在允许流量之前会评估所有规则 ❌

NACL 按规则编号顺序处理

匹配到第一个规则即终止评估

D. 在决定是否允许流量时，它们按顺序处理规则，从编号最低的规则开始 ✅

NACL 的规则按 编号顺序（Rule Number） 从低到高评估

第一条匹配规则决定允许或拒绝

🎯 结论

网络 ACL 的功能包括：

A. 它们是无状态的
D. 按规则编号顺序处理，从最低编号开始

• 哪些功能属于 AWS 云采用框架 (AWS CAF) 的平台视角？(请选择两项）。

A. 性能和容量管理
B. 数据工程
C. 持续集成和持续交付（CI/CD）
D. 基础设施保护
E. 变更和发布管理

AWS 云采用框架（AWS Cloud Adoption Framework, CAF） 将云采用的指导分为六个视角（Perspectives），其中 平台视角（Platform Perspective） 关注：

云环境的 技术平台能力

部署、管理和运维基础设施

应用程序和数据平台的开发与交付

✔ 选项分析

A. 性能和容量管理 ✅

涉及 云基础设施资源的规划和管理

属于平台视角的核心关注点

B. 数据工程 ❌

更多属于 人员视角或业务视角，关注数据团队和数据管理流程

C. 持续集成和持续交付（CI/CD） ✅

属于 平台视角

涉及应用开发、部署自动化和运维能力

D. 基础设施保护 ❌

属于 安全视角

涉及保护基础设施和应用安全

E. 变更和发布管理 ❌

更偏向 运营视角

关注变更流程和发布管理

• 哪些选项属于 AWS 云采用框架 (AWS CAF) 安全视角功能？(选择两个）。

A. 可观察性
B. 事件和问题管理
C. 事件响应
D. 基础设施保护
E. 可用性和连续性

AWS 云采用框架（AWS CAF） 将云采用指导分为六个视角（Perspectives），其中 安全视角（Security Perspective） 关注：

保护云基础设施和数据

安全事件管理和响应

身份管理、访问控制、合规性与风险管理

✔ 选项分析

A. 可观察性 ❌

更多属于 运营视角（Operations Perspective）

关注监控、日志、指标和警报

B. 事件和问题管理 ❌

属于 运营视角

处理日常运营事件

C. 事件响应 ✅

核心安全职能

涉及检测安全事件并做出响应

D. 基础设施保护 ✅

核心安全职能

涉及保护计算、网络、存储等资源的安全

E. 可用性和连续性 ❌

属于 运营视角

关注业务连续性和灾备策略

🎯 结论

AWS CAF 安全视角的功能包括：

C. 事件响应
D. 基础设施保护

一家公司希望将非结构化数据迁移到 AWS。数据需要通过机上加密和端到端数据
验证。

哪种 AWS 服务能满足这些要求？
A. AWS 应用程序迁移服务
B. 亚马逊弹性文件系统（亚马逊 EFS）
C. AWS 数据同步
D. AWS 迁移枢纽

A. AWS 应用程序迁移服务（Application Migration Service） ❌

用于迁移 服务器/应用程序

不适合直接迁移大量非结构化数据

B. Amazon EFS ❌

是 托管文件存储服务

不提供数据迁移功能

C. AWS DataSync ✅

用于 自动化数据迁移（文件、对象、NFS、SMB 等）

支持：

传输过程中的加密（TLS）

数据完整性校验和端到端验证

高效迁移非结构化数据到 S3、EFS 或 FSx

D. AWS 迁移枢纽（Migration Hub） ❌

提供 迁移跟踪和管理

不执行实际数据迁移

• 一家公司希望快速实施持续集成/持续交付 (CI/CD) 管道。
  哪种 AWS 服务能满足这一要求？

A. AWS 配置
B. 亚马逊 Cognito
C. AWS DataSync
D. AWS CodeStar

A. AWS Config ❌

用于 资源配置合规性管理和变更跟踪

不用于构建 CI/CD 管道

B. Amazon Cognito ❌

提供 身份管理和用户认证

与 CI/CD 无关

C. AWS DataSync ❌

用于 数据迁移和同步

与 CI/CD 无关

D. AWS CodeStar ✅

提供 快速搭建完整的 CI/CD 管道

可整合 CodeCommit、CodeBuild、CodePipeline 等服务

支持快速开发、构建、部署应用程序

哪项 AWS 服务或功能可让用户捕获 VPC 中的网络流量信息？
A. VPC 流量日志
B. 亚马逊检查器
C. VPC 路由表
D. AWS CloudTrail

A. VPC 流量日志（VPC Flow Logs） ✅

记录 VPC 子网、网络接口或整个 VPC 的入站和出站流量

可用于：

流量分析

安全监控

排查网络问题

B. Amazon Inspector ❌

用于 漏洞扫描和安全评估

不记录网络流量

C. VPC 路由表 ❌

用于 路由流量

不记录或捕获流量信息

D. AWS CloudTrail ❌

记录 API 调用和账户活动

不捕获网络层流量数据

• 某公司一直在亚马逊 S3 存储桶中存储月度报告。该公司将报告数据导出为逗号分隔值（.csv）文件。开发人员希望编写一个简单的查询，读取所有这些文件并生成汇总报告。
  开发人员应该使用哪种 AWS 服务或功能来满足这些要求，同时减少操作开销？

A. 亚马逊 S3 Select
B. 亚马逊 Athena
C. 亚马逊 Redshift
D. 亚马逊 EC2

A. Amazon S3 Select ❌

可查询 单个 S3 对象内的数据

不适合跨多个 CSV 文件汇总

B. Amazon Athena ✅

无服务器查询服务

可直接对 S3 中的 CSV、JSON、Parquet 等文件执行 SQL 查询

无需管理服务器或 ETL 流程

支持生成汇总报告，减少操作开销

C. Amazon Redshift ❌

数据仓库服务，需要加载数据

部署和维护成本较高，不是最简便方案

D. Amazon EC2 ❌

需要手动管理实例和查询程序

操作开销高

• 某公司需要搜索存储在 Amazon S3 中的文档中的文本。
  哪种 AWS 服务能满足这些要求？

A. 亚马逊 Kendra
B. 亚马逊 Rekognition
C. 亚马逊 Polly
D. 亚马逊 Lex

. Amazon Kendra ✅

企业搜索服务

可以索引和搜索：

存储在 S3、SharePoint、数据库等位置的文档

支持 PDF、Word、HTML、CSV 等格式

支持 自然语言查询

B. Amazon Rekognition ❌

图像和视频分析服务

不处理文档文本搜索

C. Amazon Polly ❌

文本转语音服务

不支持搜索文档

D. Amazon Lex ❌

构建对话式聊天机器人

不用于文档搜索

• 哪些 AWS 服务使用全球边缘位置？(选择两个）。

A. AWS Fargate
B. 亚马逊云锋
C. AWS 全球加速器（Global Accelerator）
D. AWS 波长
E. 亚马逊 VPC

A. AWS Fargate ❌

无服务器容器服务

运行在区域级别，不使用边缘位置

B. Amazon CloudFront ✅

全球内容分发网络（CDN）

使用 边缘位置缓存内容

提供低延迟访问

C. AWS Global Accelerator ✅

提供 全球流量加速

利用 AWS 全球边缘网络 路由用户流量至最近的 AWS 区域

D. AWS Wavelength ❌

将计算和存储扩展到电信运营商边缘

主要面向 5G 低延迟应用，不同于 CloudFront 边缘位置

E. Amazon VPC ❌

虚拟私有云

在区域内运行，不使用边缘位置

• 哪些 AWS 服务或功能可让用户在两个 VPC 之间创建网络连接？(请选择两项）。

A. VPC 端点
B. 亚马逊路由 53
C. VPC 对等互联
D. AWS 直接连接
E. AWS 转接网关

C. VPC 对等互联（VPC Peering） ✅

直接在 两个 VPC 之间建立私有网络连接

流量通过 AWS 私有网络传输

适用于 VPC 数量较少、关系简单 的场景

E. AWS 转接网关（Transit Gateway） ✅

用于 集中连接多个 VPC、本地数据中心和 VPN

支持大规模、多 VPC 互联

是 VPC Peering 的可扩展替代方案

❌ 其他选项为什么不对

A. VPC 端点 ❌

用于私有访问 AWS 服务（如 S3、DynamoDB）

不连接 VPC 与 VPC

B. Amazon Route 53 ❌

DNS 解析服务

不创建网络连接

D. AWS Direct Connect ❌

用于 本地数据中心 ↔ AWS 的专线连接

不是 VPC ↔ VPC

• 储蓄计划支持哪些 AWS 服务？(选择两个）。

A. 亚马逊 EC2
B. 亚马逊 RDS
C. 亚马逊 SageMaker
D. 亚马逊 Redshift
E. 亚马逊 DynamoDB

AWS Savings Plans（储蓄计划） 是一种灵活的定价模型，通过承诺一定的使用量（以美元/小时计）来获得 计算服务折扣。

✔ 选项分析

A. Amazon EC2 ✅

支持 按用量计费的折扣

Savings Plans 可应用于 EC2 实例

B. Amazon RDS ❌

RDS 主要通过 预留实例（Reserved Instances） 实现折扣

不直接适用于 Savings Plans

C. Amazon SageMaker ✅

SageMaker Notebook、训练和推理实例可应用 计算型储蓄计划折扣

D. Amazon Redshift ❌

Redshift 主要使用 预留节点

不通过 Savings Plans 折扣

E. Amazon DynamoDB ❌

DynamoDB 使用 按需计费或预留容量

不适用于 Savings Plans

• 哪项 AWS 服务或工具可以免费为 Amazon EC2 资源提供调整建议？

A. AWS 完善架构工具
B. 亚马逊云观察 （CloudWatch）
C. AWS 成本资源管理器
D. 亚马逊 S3 分析

A. AWS Compute Optimizer ✅

分析 EC2、EBS、Lambda 等资源的 使用情况和性能指标

提供 右尺寸化（rightsizing）建议，帮助降低成本

免费使用基本功能

B. Amazon CloudWatch ❌

监控 EC2 指标（CPU、内存、网络等）

不提供 自动优化建议

C. AWS Cost Explorer / 成本资源管理器 ❌

用于 成本和使用情况分析

不直接提供 EC2 调整建议

D. Amazon S3 分析 ❌

用于 分析 S3 存储使用模式

与 EC2 无关

• 某图书馆希望根据图书内容自动对电子图书进行分类。
  图书馆应使用哪种 AWS 服务来满足这一要求？

A. 亚马逊 Redshift
B. 亚马逊云搜索
C. 亚马逊 Comprehend
D. 亚马逊极光

A. Amazon Redshift ❌

数据仓库服务

不具备 NLP 或文本分类能力

B. Amazon CloudSearch ❌

提供 全文搜索服务

可搜索文本，但不自动理解或分类文本内容

C. Amazon Comprehend ✅

自然语言处理（NLP）服务

可执行：

主题建模（Topic Modeling）

情感分析

实体识别

自动文本分类

非常适合 根据内容对电子书自动分类

D. Amazon Aurora ❌

关系型数据库服务

不用于文本分类

• 哪些选项是 AWS 云采用框架 (AWS CAF) 云转型旅程建议？(选择两个）。

A. 设想阶段
B. 调整阶段
C. 评估阶段
D. 动员阶段
E. 迁移和现代化阶段

AWS 云采用框架 (AWS CAF) 的 云转型旅程 分为几个关键阶段，用于指导企业从规划到全面采用云的过程：

设想阶段（Envision） ✅

定义业务目标、战略和成功指标

制定初步云战略

动员阶段（Mobilize）

AWS 云采用框架 (AWS CAF) 的 云转型旅程分为几个关键阶段，用于帮助企业从规划、评估到全面采用云的过程。主要阶段如下：

1. 设想阶段（Envision）

定义业务目标、战略和关键成功指标

识别云采用机会

制定初步云战略和路线图

2. 动员阶段（Mobilize）

建立云能力与治理框架

进行技能培训和团队建设

建立基础设施、管理流程和安全策略

3. 迁移与现代化阶段（Migrate and Modernize）

将工作负载迁移到 AWS

优化应用程序架构以利用云原生服务

推动持续改进和现代化

4. 优化阶段（Optimize） (可选/扩展)

提升运营效率

利用云服务实现成本优化

采用先进分析和自动化技术

📌 总结

关键阶段顺序：
设想（Envision） → 动员（Mobilize） → 迁移与现代化（Migrate & Modernize） → 优化（Optimize）

这些阶段帮助企业系统性地规划云采用路径，从战略、能力建设到迁移和持续优化，确保云转型成功且可持续。

You said:
某公司希望跟踪 Amazon S3 对象的标签、桶和前缀。
哪种 S3 功能能满足这一要求？

A. S3 清单报告 (Inventory report)
B. S3 生命周期
C. S3 版本管理
D. S3 ACL
ChatGPT said:

正确答案：A. S3 清单报告 (Inventory report)

📘 解析

题目关键点：

跟踪 S3 对象的标签、桶和前缀

需要 批量报告或清单

✔ 选项分析

A. S3 清单报告 (Inventory report) ✅

提供 每日或每周报告

可列出对象的：

对象键（Key）

版本

存储类

对象标签

桶和前缀信息

适合审计、合规和分析

B. S3 生命周期 ❌

用于 管理对象的过期或转换存储类

不用于跟踪对象属性

C. S3 版本管理 ❌

管理对象的不同版本

不生成对象属性清单

D. S3 ACL ❌

管理对象和桶的访问权限

不用于批量跟踪标签或前缀

🎯 结论

跟踪 S3 对象标签、桶和前缀的功能是：

A. S3 清单报告 (Inventory report)

• 某公司正在亚马逊 EC2 实例上运行一个报告网络服务器应用程序。该应用程序每周运行一次，月底再运行一次。月底再运行一次。EC2 实例在不使用时可以关闭。对于这种使用情况，哪种计费模式最具成本效益？

A. 标准预留实例
B. 可转换预留实例
C. 按需预留容量
D. 按需实例

场景特点：

EC2 实例只在每周和月底运行 → 实例大部分时间关闭

运行频率低 → 不需要持续运行

希望成本最低 → 避免为闲置时间付费

选项分析：

A. 标准预留实例 (Standard RI)

适合长期、持续运行的实例

即使实例关闭，仍需按预留费用付费
❌ 不适合低频使用，成本高

B. 可转换预留实例 (Convertible RI)

可以修改实例类型或家庭

同样适合长期、持续运行
❌ 不适合低频使用

C. 按需预留容量 (Capacity Reservation with On-Demand)

为特定容量保留实例，但仍按按需计费

主要用于保证容量，不是为了降低成本
❌ 主要用于容量保证，不是节约低频成本

D. 按需实例 (On-Demand Instance)

按小时/秒计费，只在使用时付费

非运行时间无需付费
✅ 适合低频、间歇性使用

• 一家公司希望从多个来源发现、准备、移动和集成数据，以进行数据分析和机器学习。
  该公司应使用哪种 AWS 无服务器数据集成服务来满足这些要求？

A. AWS Glue
B. AWS 数据交换
C. 亚马逊雅典娜
D. 亚马逊 EMR

选项分析：

A. AWS Glue ✅

无服务器 ETL 服务

能够发现 (Data Catalog)、准备、清理、转换和移动数据

可直接集成到分析和机器学习工作流

完全符合题目需求

B. AWS 数据交换 (AWS Data Exchange)

用于订阅和共享第三方数据

不负责数据准备和集成
❌ 不符合题目要求

C. Amazon Athena

无服务器查询服务，用于直接查询 S3 数据

不负责数据发现、移动和集成
❌ 不符合题目要求

D. Amazon EMR

大数据处理平台，基于 Hadoop/Spark

需要管理集群，不是无服务器服务
❌ 不符合“无服务器”的要求

• 某公司希望使用集中式 AWS 服务来强制执行组织业务标准。该公司希望使用一种能够管理和控制谁可以部署、管理和退出 AWS 资源的 AWS 服务。
  哪种 AWS 服务能满足这些要求？

A. 亚马逊云监控
B. AWS 服务目录
C. 亚马逊 GuardDuty
D. AWS 安全中心

A. Amazon CloudWatch (亚马逊云监控)

用于监控和日志分析

不负责权限管理或标准强制
❌ 不符合要求

B. AWS Service Catalog (服务目录) ✅

可以创建和管理批准的产品目录（EC2、RDS、S3 等资源模板）

可以控制谁可以部署和管理特定资源

支持组织范围的策略和合规标准
✅ 完全符合题目要求

C. Amazon GuardDuty (威胁检测)

用于威胁检测和安全监控

不控制部署权限
❌ 不符合要求

D. AWS Security Hub (安全中心)

用于集中查看安全和合规状态

不控制资源部署权限
❌ 不符合要求

• 某公司希望将公司内部的容器基础架构迁移到 AWS 云。该公司希望避免计划外的管理和运营成本，并适应无服务器架构。
  哪种 AWS 服务能满足这些要求？

A. 亚马逊连接
B. AWS Fargate
C. 亚马逊 Lightsail
D. 亚马逊 EC2

需求特点：

将内部容器基础架构迁移到 AWS 云 → 需要容器服务

避免计划外管理和运营成本 → 希望无服务器或托管服务

适应无服务器架构

选项分析：

A. Amazon Connect

云端联络中心服务，与容器无关
❌ 不符合要求

B. AWS Fargate ✅

无服务器容器服务，与 ECS 或 EKS 集成

用户无需管理底层 EC2 实例

自动扩展、按使用量付费
✅ 完全符合题目要求

C. Amazon Lightsail

提供简单的虚拟服务器和容器，但更多是 VPS 风格

不完全无服务器
❌ 不符合题目要求

D. Amazon EC2

提供基础计算实例，需要用户管理操作系统和实例

不符合“避免管理成本”的要求
❌ 不符合要求

• 哪项 AWS 服务或功能使用户能够将 VPC 和内部部署网络连接到中心集线器？

A. 虚拟专用网关
B. AWS 转接网关
C. 互联网网关
D. 客户网关

A. 虚拟专用网关 (Virtual Private Gateway, VGW) ✅

位于 VPC 端，用于将 VPC 与内部部署网络通过 VPN 或 Direct Connect 连接

通常用于中心集线器（Hub）到 VPC 的连接
✅ 符合要求

B. AWS Transit Gateway (转接网关)

中心集线器本身，用于将多个 VPC 和本地网络连接到一个中心

不是“用户端”连接到集线器的设备
❌ 不是直接答案

C. Internet Gateway (IGW)

连接 VPC 与 互联网

与内部部署网络无关
❌ 不符合要求

D. Customer Gateway (CGW)

位于 内部部署网络端，用于 VPN 连接

不是 AWS 侧服务
✅ 可以配合 VGW 使用，但本题问的是 AWS 服务/功能，通常指 VGW

• 某公司希望使用 AWS。该公司对内部部署系统的低延迟访问和数据驻留有严格要求。
  该公司应使用哪种 AWS 服务来设计满足这些要求的解决方案？

A. AWS 波长
B. AWS 转接网关
C. AWS 地面站
D. AWS 前哨站

A. AWS Wavelength

将 AWS 计算和存储服务延伸到电信运营商的边缘网络

提供 超低延迟访问，适合移动/边缘应用

主要用于 5G 应用场景
❌ 不直接解决内部部署数据驻留要求

B. AWS Transit Gateway (转接网关)

云端网络路由中心

解决 VPC 和本地网络互联问题

降低延迟不是其主要功能，也不解决数据驻留
❌ 不完全符合要求

C. AWS Ground Station (地面站)

用于 与卫星通信
❌ 与内部部署低延迟访问无关

D. AWS Outposts (前哨站) ✅

将 AWS 基础设施、服务和 API 带到本地数据中心

数据本地处理，可满足严格数据驻留要求

低延迟访问本地系统
✅ 完全符合题目要求

AWS Outposts（中文常称“前哨站”）就是 AWS 提供的一种 混合云解决方案，可以把 AWS 的基础设施、服务和 API 扩展到企业的本地数据中心或托管设施。它的核心特点是：

AWS Outposts 的关键特点

本地部署 AWS 服务

在本地运行 EC2、EBS、RDS 等 AWS 服务

支持与 AWS 云无缝集成

低延迟访问

数据和应用程序在本地运行

对内部系统提供 毫秒级延迟

数据驻留

数据保留在本地，满足严格的数据合规和驻留要求

托管与更新

AWS 提供硬件、维护和软件更新

企业无需自己管理底层基础设施

统一管理

通过 AWS 管理控制台、API、CLI 管理本地和云端资源

典型应用场景

金融行业对低延迟交易系统

医疗行业对数据驻留和合规要求

制造业或工业 IoT 需要实时数据处理

简单理解：Outposts 就是把 AWS 云“搬到你本地”，让本地应用既能享受 AWS 云服务，又满足低延迟和数据驻留要求。

• 某公司为客户运行一个内部部署的联络中心。该公司需要迁移到一个基于云的解决方案，该解决方案可以提供人工智能功能，以改善用户体验。
  哪种 AWS 服务能满足这些要求？

A. AWS 波长
B. AWS IAM 身份中心（AWS 单点登录）
C. AWS 直接连接
D. 亚马逊连接

A. AWS Wavelength

将 AWS 服务延伸到电信运营商边缘，降低延迟

主要用于 5G/边缘计算
❌ 不针对联络中心

B. AWS IAM Identity Center (单点登录)

用于用户身份管理和单点登录
❌ 不提供联络中心或 AI 功能

C. AWS Direct Connect

提供专线连接本地数据中心到 AWS
❌ 不提供联络中心功能

D. Amazon Connect ✅

云端联络中心服务

支持 语音、聊天、AI 功能（如 Amazon Lex、语音转文本、聊天机器人）

可快速迁移内部部署联络中心到云
✅ 完全符合题目要求

• 公司需要在需要资源时获取资源的能力。公司还需要在不再需要资源时释放资源的能力。
  哪个 AWS 概念代表公司的目标？

A. 可扩展性
B. 可持续性
C. 弹性
D. 卓越运营

A. 可扩展性 (Scalability) ✅

指系统能够根据需求增加或减少资源

正符合“获取资源和释放资源”的要求
✅ 正确答案

B. 可持续性 (Sustainability)

指系统或组织对环境影响最小化
❌ 与按需资源无关

C. 弹性 (Elasticity)

弹性强调快速适应变化的能力，尤其是容错和恢复

虽然与资源调整相关，但按 AWS 官方定义，弹性更侧重系统在故障或压力下保持运行
❌ 不是最直接答案

D. 卓越运营 (Operational Excellence)

AWS Well-Architected 的五大支柱之一，关注流程、运营、改进
❌ 与按需资源获取无关

• 一家公司希望监控并阻止其 Amazon CloudFront 分发接收到的恶意 HTTP 和 HTTPS 请求。
  该公司应使用哪种 AWS 服务来满足这些要求？

A. 亚马逊 GuardDuty
B. 亚马逊检查器
C. AWS WAF
D. 亚马逊侦探

需求分析：

监控并阻止恶意 HTTP/HTTPS 请求

针对 Amazon CloudFront 分发

目标是应用层安全防护

选项分析：

A. Amazon GuardDuty

威胁检测服务，分析 VPC 流量、CloudTrail、DNS 日志

提供告警，但不直接阻止 HTTP/HTTPS 请求
❌ 不符合要求

B. Amazon Inspector

自动化漏洞扫描服务

用于扫描 EC2、容器或 Lambda 的安全漏洞
❌ 不负责实时阻止恶意请求

C. AWS WAF (Web Application Firewall) ✅

可以 监控和阻止 HTTP/HTTPS 请求

与 CloudFront 完全集成

支持规则、IP 阻止、速率限制、SQL 注入等防护
✅ 完全符合要求

D. Amazon Detective

用于安全调查和分析，帮助理解安全事件原因
❌ 不阻止请求

• 哪种 AWS 服务组合可用于将商业关系数据库转移到亚马逊管理的开源数据库？
  (请选择两项）。

A. AWS 数据库迁移服务（AWS DMS）
B. AWS 软件开发工具包 (SDK)
C. AWS 模式转换工具
D. AWS 系统管理器
E. 亚马逊 EMR

涉及数据迁移和模式/架构转换

选项分析：

A. AWS Database Migration Service (DMS) ✅

迁移数据库的数据

支持异构迁移（商业数据库 → 开源数据库）

可在迁移过程中保持源数据库在线
✅ 必选

B. AWS SDK

提供程序化访问 AWS 服务的接口

不直接用于数据库迁移
❌ 不选

C. AWS Schema Conversion Tool (SCT) ✅

转换数据库模式、存储过程、函数等

用于商业数据库迁移到开源数据库时转换架构
✅ 必选

D. AWS Systems Manager

用于管理 EC2 或本地服务器

不直接迁移数据库
❌ 不选

E. Amazon EMR

用于大数据处理和分析

• 某公司在内部数据中心的自主管理服务器上运行 MySQL 数据库工作负载。该公司希望将数据库工作负载迁移到 AWS 托管服务。
  该公司应采用哪种迁移策略？

A. 重新托管
B. 回购
C. 重构
D. 重新平台

迁移策略分析：

A. 重新托管 (Rehost / Lift and Shift)

直接将数据库迁移到 EC2 上运行

不改变应用架构

仍需要客户管理操作系统和数据库
❌ 不符合“迁移到托管服务”要求

B. 回购 (Repurchase)

用 SaaS 或云托管数据库替换现有数据库

不直接迁移 MySQL
❌ 不完全符合题意

C. 重构 (Refactor / Re-architect)

对数据库和应用进行重大修改

适合云原生化，但工作量大
❌ 不符合“减少管理工作”

D. 重新平台 (Replatform / Lift, Tweak and Shift) ✅

将数据库迁移到托管服务（如 Amazon RDS for MySQL）

无需修改应用逻辑，但免去了数据库管理任务
✅ 完全符合要求

• 用户希望在 Amazon EC2 实例进入 "停止 "状态时调用 AWS Lambda 函数。
  哪种 AWS 服务适合此用例？

A. 亚马逊事件桥
B. AWS 配置
C. 亚马逊简单通知服务（亚马逊 SNS）
D. AWS CloudFormation

A. Amazon EventBridge ✅

事件总线服务，可捕获 AWS 服务状态变化事件（如 EC2 状态更改）

可以配置规则触发 Lambda 函数
✅ 完全符合要求

B. AWS Config

用于记录 AWS 资源配置变更，生成审计记录

可触发 Lambda，但主要用于配置合规性
❌ 不如 EventBridge 直接

C. Amazon SNS

用于发送通知（邮件、短信、HTTP 端点）

可触发 Lambda，但需要 EventBridge 或 CloudWatch 配合发送事件
❌ SNS 本身不监听 EC2 状态

D. AWS CloudFormation

基础设施即代码，用于部署资源
❌ 不用于事件触发 Lambda

哪项 AWS 服务或功能支持对 AWS 账户进行治理、合规性和风险审计？

A. 多因素身份验证 (MFA)
B. AWS Lambda
C. 亚马逊简单通知服务（亚马逊 SNS）
D. AWS CloudTrail

选项分析：

A. 多因素身份验证 (MFA)

增强账户安全

不提供审计或合规性报告
❌ 不符合要求

B. AWS Lambda

无服务器计算服务

不提供治理或审计功能
❌ 不符合要求

C. Amazon SNS

消息通知服务

可发送警报，但不直接记录 API 或账户活动
❌ 不符合要求

D. AWS CloudTrail ✅

记录 AWS 账户中的 API 调用和活动

支持治理、合规性和风险审计

可生成日志供安全分析和审计使用
✅ 完全符合要求

• 某公司需要一种威胁检测服务，以持续监控其 AWS 账户、工作负载和 Amazon S3 存储桶中的恶意活动和未经授权的行为。
  哪种 AWS 服务能满足这些要求？

A. AWS 防护
B. AWS 防火墙管理器
C. 亚马逊 GuardDuty
D. 亚马逊检查器

需求分析：

目标：威胁检测

范围：AWS 账户、工作负载、S3 存储桶

特点：持续监控，发现恶意活动和未经授权行为

选项分析：

A. AWS Shield（AWS 防护）

主要用于 DDoS 攻击防护

不提供全面威胁检测
❌ 不符合要求

B. AWS Firewall Manager（防火墙管理器）

集中管理防火墙规则

不主动检测恶意活动
❌ 不符合要求

C. Amazon GuardDuty ✅

托管威胁检测服务

持续监控 AWS 账户、EC2 实例、S3 存储桶等

能发现恶意行为、异常活动和未经授权的访问
✅ 完全符合要求

D. Amazon Inspector

自动化安全评估

检查 EC2 实例的漏洞和安全最佳实践

不覆盖账户和 S3 行为监控
❌ 不完全符合要求

• 一家公司希望通过使用基础设施即代码（IaC）模板来管理其云资源。该公司需要满足合规性要求。
  该公司应使用哪种 AWS 服务来满足这些要求？

A. AWS 工件
B. AWS 资源资源管理器
C. AWS 许可证管理器
D. AWS 服务目录

选项分析：

A. AWS Artifact

提供合规性报告和第三方审计文档

不管理资源或模板
❌ 不符合要求

B. AWS Resource Groups

用于组织和管理 AWS 资源

但不提供 IaC 模板或合规性控制
❌ 不完全符合要求

C. AWS License Manager

管理软件许可证

不管理基础设施模板
❌ 不符合要求

D. AWS Service Catalog ✅

可以 创建、管理和分发符合公司策略的云资源模板（CloudFormation 模板）

支持合规性和标准化资源管理
✅ 完全符合要

• .系统管理员希望监控公司亚马逊 EC2 实例的 CPU 利用率。
  哪个 AWS 服务可以提供此信息？

A. AWS 配置
B. AWS 可信顾问
C. AWS CloudTrail
D. 亚马逊云观察

选项分析：

A. AWS Config

主要用于记录 AWS 资源配置和合规性

不提供性能监控
❌ 不符合要求

B. AWS Trusted Advisor（可信顾问）

提供最佳实践建议

可发现性能优化和安全问题，但不实时监控 CPU
❌ 不符合要求

C. AWS CloudTrail

记录 API 调用和账户活动

不提供资源性能指标
❌ 不符合要求

D. Amazon CloudWatch（云观察） ✅

提供 EC2 CPU 利用率、内存、磁盘、网络等指标监控

支持可视化图表、警报和自动化响应
✅ 完全符合要求

• 某公司正在构建一个应用程序，每秒将接收数百万次数据库查询。该公司需要为该应用程序扩展数据存储以满足这些需求。
  哪种 AWS 服务能满足这一要求？

A. 亚马逊 DynamoDB
B. AWS Cloud9
C. 亚马逊 ElastiCache for Memcached
D. 亚马逊海王星

A. Amazon DynamoDB ✅

完全托管的 NoSQL 数据库

支持高吞吐量、低延迟读写操作

可自动扩展以满足数百万次查询需求
✅ 完全符合要求

B. AWS Cloud9

云端开发环境
❌ 不提供数据库存储或查询能力

C. Amazon ElastiCache for Memcached

内存缓存服务，用于加速数据库访问

不是主要数据存储
❌ 不符合“持久化存储”的需求

D. Amazon Neptune

托管图数据库

擅长关系型图查询，但不适合高吞吐量、数百万次/秒查询的通用存储
❌ 不符合要求

• 某公司的应用程序在亚马逊 EC2 实例上运行。该公司计划在明年部分迁移到无服务器架构，并希望预先支付资源费用。
  哪种 AWS 购买选项能优化公司的成本？

A. 可转换预留实例
B. 现货实例
C. EC2 实例节省计划
D. 计算节省计划

A. Convertible Reserved Instances（可转换预留实例） ✅

允许客户 预付 EC2 实例费用

可在实例类型或操作系统变更时转换

适合未来可能迁移或调整实例
✅ 符合成本优化和灵活性要求

B. Spot Instances（现货实例）

价格低，但实例可能随时中断

不适合关键应用或长期成本计划
❌ 不符合预付资源费用和稳定性要求

C. EC2 Savings Plans（EC2 实例节省计划）

提供对指定 EC2 实例族的折扣

但不如 Convertible RI 灵活（跨实例类型转换有限）
❌ 不完全满足“部分迁移到无服务器架构”的灵活性需求

D. Compute Savings Plans（计算节省计划）

针对所有 EC2、Fargate 和 Lambda 的使用量折扣

更灵活，但题目强调“部分迁移到无服务器架构”，Compute Savings Plan 更适合无服务器环境
✅ 可考虑，但相比 A，预付和 EC2 固定成本优化不如 Convertible RI

• 某公司必须使用 “一次写入，多次读取”（WORM）模式存档其文档，以履行法律和合规义务。
  该公司可以使用 Amazon S3 的哪项功能来满足这一要求？

A. S3 版本控制
B. S3 存储桶策略
C. S3 冰川保管箱锁
D. S3 多因素身份验证 (MFA) 删除

选项分析：

A. S3 版本控制

保存对象的不同版本

不能保证不可修改或删除
❌ 不符合 WORM 要求

B. S3 存储桶策略

控制访问权限

无法实现不可更改的存储
❌ 不符合 WORM 要求

C. S3 Glacier Vault Lock（冰川保管箱锁） ✅

支持 WORM 存储

一旦启用，策略不可更改，可确保对象在指定保留期内不可修改或删除
✅ 完全符合要求

D. S3 MFA Delete（多因素身份验证删除）

增加删除安全性

仍可删除或修改对象，只需 MFA
❌ 不符合 WORM 要求

AWS 上存储密码最安全的方法是什么？

A. 将密码存储在 Amazon S3 存储桶中。
B. 将密码存储为 AWS CloudFormation 参数。
C. 将密码存储在 AWS 存储网关中。
D. 在 AWS Secrets Manager 中存储密码

A. 将密码存储在 Amazon S3

可以加密，但需要自行管理加密、访问权限和轮换
❌ 不够安全和方便

B. 将密码存储为 CloudFormation 参数

可使用 NoEcho 隐藏敏感数据

仍不提供自动轮换或集中管理
❌ 不够安全

C. 将密码存储在 AWS Storage Gateway

用于本地到云的存储集成

不用于安全管理密码
❌ 不适用

D. 在 AWS Secrets Manager 中存储密码 ✅

专门用于安全管理 凭证和敏感信息

提供 加密、访问控制、自动轮换、审计日志
✅ 完全符合安全存储密码的最佳实践

• 一家公司需要在特定地理区域托管一个应用程序，以符合法规要求。
  AWS 全球基础架构的哪项功能可以帮助该公司满足这一要求？

A. 可扩展性
B. 全球足迹
C. 可用性
D. 性能

A. 可扩展性 (Scalability)

指系统可以根据需求自动扩展或缩减资源

与地理位置无关
❌ 不符合要求

B. 全球足迹 (Global Footprint) ✅

指 AWS 在全球的 区域（Region）和可用区（AZ）分布

可以选择特定区域来部署应用，满足法规和数据驻留要求
✅ 符合需求

C. 可用性 (Availability)

指系统或服务持续可用的能力

与选择特定地理区域无关
❌ 不符合要求

D. 性能 (Performance)

指应用响应速度和吞吐量

与特定区域的法规合规无直接关系
❌ 不符合要求

• 哪种 AWS 解决方案能让公司使用 NFS 等协议在 Amazon S3 中存储和检索对象？

A. 亚马逊 FSx for Lustre
B. AWS 存储网关卷网关
C. AWS 存储网关文件网关
D. 亚马逊弹性文件系统（亚马逊 EFS）

A. Amazon FSx for Lustre

高性能文件系统，用于 HPC 工作负载

可与 S3 集成，但主要是 POSIX 文件系统，不直接作为通用 NFS 网关
❌ 不完全符合

B. AWS Storage Gateway – Volume Gateway

提供块存储接口（iSCSI）

不支持 NFS/SMB 协议访问 S3
❌ 不符合

C. AWS Storage Gateway – File Gateway ✅

提供 NFS 和 SMB 接口

将文件映射到 Amazon S3 对象存储

支持将 S3 用作后端存储，同时可用标准文件协议访问
✅ 完全符合要求

D. Amazon EFS

提供 NFS 文件系统，但存储在 EFS 中，而不是 S3
❌ 不符合要求

• 某用户已获准更改自己的 IAM 用户密码。
  用户可以使用哪些 AWS 服务来更改密码？（选择两项）

A. AWS 命令行界面 (AWS CLI)
B. AWS 密钥管理 (AWS KMS)
C. AWS 管理控制台
D. AWS 资源访问管理器（AWS RAM）
E. AWS 秘密管理器

A. AWS CLI（命令行界面） ✅

用户可以通过命令行运行 aws iam change-password 命令更改密码
✅ 正确

B. AWS KMS（密钥管理）

用于管理加密密钥
❌ 不涉及用户密码管理

C. AWS 管理控制台 ✅

用户可以登录 AWS 控制台，在 My Security Credentials 页面修改密码
✅ 正确

D. AWS RAM（资源访问管理器）

用于共享 AWS 资源
❌ 不涉及密码更改

E. AWS Secrets Manager

用于管理数据库、API 密钥等凭证
❌ IAM 用户密码管理不适用

• AWS 完善架构框架的可靠性支柱包括哪些设计原则？(请选择两项）。

A. 自动从故障中恢复。
B. 授予每个人增加 AWS 服务配额的权限。
C. 停止猜测容量。
D. 将应用程序设计为在单个可用区中运行。
E. 计划首先在辅助 AWS 区域中增加 AWS 服务配额

靠性支柱的关键设计原则：

自动从故障中恢复

系统应能应对组件或服务失败

停止猜测容量

基于需求和指标进行容量规划，而非估算

分散风险

不依赖单一可用区

动态伸缩

自动调整资源以满足负载变化

选项分析：

A. 自动从故障中恢复 ✅

可靠性核心原则之一

B. 授予每个人增加 AWS 服务配额的权限 ❌

与可靠性无关，且不安全

C. 停止猜测容量 ✅

确保容量规划可靠，避免系统过载

D. 将应用程序设计为在单个可用区中运行 ❌

会增加单点故障风险，违反可靠性原则

E. 计划首先在辅助 AWS 区域中增加 AWS 服务配额 ❌

并非核心设计原则

• 一位 AWS 新用户需要使用 API 调用与 AWS 支持进行交互。
  哪种 AWS 支持计划最经济高效地满足这一要求？

A. AWS 基本支持
B. AWS 开发人员支持
C. AWS 业务支持
D. AWS 企业支持

A. AWS 基本支持 ❌

免费，但仅提供论坛和文档支持

不支持 API 调用

B. AWS 开发人员支持 ✅

付费最低的支持计划

提供 API 访问支持案例

适合开发或测试环境
✅ 满足经济和功能要求

C. AWS 业务支持 ❌

支持生产工作负载

成本较高

D. AWS 企业支持 ❌

高级支持计划

成本最高

• 一家公司希望集中管理员工对多个 AWS 账户的访问。
  该公司应使用哪种 AWS 服务或功能来满足这一要求？

A. AWS 身份和访问管理访问分析器
B. AWS Secrets Manager
C. AWS IAM 身份中心
D. AWS 安全令牌服务（AWS STS）

需求分析：

目标：集中管理员工对 多个 AWS 账户的访问

要求：提供统一身份认证和权限管理

选项分析：

A. AWS IAM Access Analyzer

用于分析资源策略，发现外部访问权限
❌ 不用于集中管理用户访问

B. AWS Secrets Manager

用于安全存储凭证和密钥
❌ 不管理多账户访问

C. AWS IAM Identity Center (原 AWS SSO) ✅

提供 集中式身份管理

支持跨多个 AWS 账户的单点登录和权限分配
✅ 完全符合需求

D. AWS Security Token Service (STS)

提供临时安全凭证

可配合其他服务使用，但 不提供集中管理控制台
❌ 不完全符合需求

• 哪项 AWS 服务可帮助用户计划和跟踪其服务器和应用程序库存迁移到 AWS 的数据？

A. 亚马逊云观察
B. AWS DataSync
C. AWS 迁移枢纽
D. AWS 应用程序迁移服务

A. Amazon CloudWatch ❌

用于监控资源和指标

不管理迁移计划

B. AWS DataSync ❌

用于快速传输数据到 AWS

不跟踪整个迁移项目

C. AWS Migration Hub ✅

集中跟踪多种迁移工具的迁移进度

帮助管理服务器和应用程序迁移的 库存、状态和进度
✅ 完全符合需求

D. AWS Application Migration Service (MGN) ❌

主要用于 实际迁移服务器到 AWS

不负责整体迁移规划和库存跟踪

• AWS 云开发工具包 (AWS CDK) 目前支持哪些编程语言？(请选择两种）。

A. Python
B. Swift
C. TypeScript
D. Ruby
E. PHP

支持的编程语言：

A. Python ✅

AWS CDK 官方支持 Python，用于定义云基础设施。

B. Swift ❌

暂不支持。

C. TypeScript ✅

AWS CDK 的原生语言，首选语言。

D. Ruby ❌

暂不支持。

E. PHP ❌

暂不支持。

本文标签： 中文 概念 重点 内容 aws