一家零售公司运营全球电商网站,静态图片放在 S3,动态 API 跑在多个 AZ 的 ALB 后方。最近促销期间亚洲和欧洲用户抱怨页面加载很慢,安全团队同时要求防范常见 Web 攻击,且不得让用户直接绕过 CDN 访问 S3 origin。
AWS SAA-C03 情景练习 01
一个数据处理集群位于 private subnets,每天会大量读写同一 Region 的 S3 bucket。流量目前经过 NAT Gateway,账单显示 NAT data processing cost 快速上升。安全团队也要求数据流量不要经过 public internet。
一家公司维护可搜索商品库,数据存放在 Amazon RDS for MySQL,table 超过 1,000 万列,数据库使用 2 TB General Purpose SSD。每天有数百万次更新,部分 insert 操作开始超过 10 秒。公司判定瓶颈在 storage performance。
一家电商在促销期间订单 API 流量突然暴增。前端必須快速回应用户,库存扣减和发邮件可以异步处理,但任何订单都不能丢失,且 worker 需要水平扩展。
一家公司运营关键订单系統,目前部署在单一 Region 的多个 AZ。业务要求 Region failure 时能在数分钟内恢复,且愿意支付较高成本维持第二个 Region 的缩小版环境持续运行。
一家公司有多个 AWS accounts。安全团队要求集中记录所有账号的 API 活动,防止普通管理员修改审计日志,并能在事件后查询谁改动了资源。哪些做法最符合这些需求?(选两个)
一家公司有 containerized web service,目前跑在 EC2 上,团队不想管理 EC2 capacity,但仍希望依 HTTP traffic 自动扩缩容,并将 tasks 放在 private subnets。
一家媒体公司保存大量原始视频。视频上传后 30 天内常被剪辑,90 天后很少读取,但偶尔需要在几分钟内取回。公司希望自动降低 storage cost,并保留数据耐久性。
一个购物车服务需要低延迟 key-value 访问,流量高峰高,数据模型可以用 partition key 和 sort key 表示。团队不想管理 server,并希望自动扩展。
一家企业要把本地机房数据中心連到 AWS VPC。网络需求长期稳定、流量大,且需要比 VPN 更一致的 latency。初期仍希望保留加密通道作为备援。
一个生产系統的 EC2 使用量长期稳定,高峰会由 Auto Scaling 暫时補容量。公司希望降低基准 compute cost,但不想对短期高峰过度承诺。
一个微服务平台使用 ECS、ALB、RDS 和 SQS。运营团队需要在 error rate 上升或 queue backlog 过高时自动通知 on-call,并保留 logs 供 incident investigation。哪些做法最符合这些需求?(选两个)
一家公司有上百名工程师需要依职责访问多个 AWS accounts。公司使用企业 IdP,希望集中管理登录、群组和短期凭证,避免建立大量 IAM users。
一个行动 App 后端需要 HTTPS API、用户身份验证、短时间 compute、NoSQL 存储和事件通知。团队希望完全 managed,并能依流量自动扩展。
一家公司提供视频教学平台,用户分布在北美、欧洲和亚太地区。视频片段存放在 S3,登录后会调用区域 API。公司希望降低下载延迟、保护 origin,并保留 API 的私有子网设计。
一家金融公司把批处理报表 EC2 放在 private subnet。报表要读 DynamoDB table 与 S3 历史档,但不能使用 public IP。公司希望最小化 NAT 成本并保留 IAM 控制。
一个訂票系統使用 RDS PostgreSQL,读取流量在活动开售时暴增,但写入量相对稳定。公司希望降低 primary DB CPU 压力,查询可以接受短暫 replication lag。
一个图片处理平台接收用户上传到 S3 的文件。系統要自动产生缩略图、写入 DynamoDB metadata,并在失败时可以重試。高峰时上传量很高。哪些做法最符合这些需求?(选两个)
一家新創公司的内部系統可以接受数小时 RTO,平时流量低,DR 成本必須最低。团队只需要在災難时能还原数据并重建基礎設施。
一个应用需要读取 database password。公司禁止在代码和 AMI 中存放明文 secret,并要求定期轮换,同时 EC2 / Lambda 必須使用短期凭证访问。
一个 API 每天只有零星请求,但高峰时会短时间衝高。公司希望不管理 server,并只为实际请求和执行时间付费。API 需要授权、限流和观测。
一家公司需要 Windows 文件共享,应用使用 SMB protocol,并且要整合 Active Directory 权限。工作负载需要 managed file system,而不是自行维护 file server。
一家公司需要存储用户社交关系,查询常常是找朋友的朋友、共同关系和最短路径。数据之間的 connected relationship 是主要查询模式。
一家公司要将数百 TB 的本地文件移到 S3,网络频宽有限,通过网络传输会花太久。数据需要安全运送并汇入 AWS。哪些做法最符合这些需求?(选两个)
一组 private subnet EC2 大量下载 S3 物件,NAT Gateway 成本明显高于預期。公司希望维持 private subnet,不增加公网暴露。
一家公司需要追踪 application request 在 API Gateway、Lambda、DynamoDB 之間的 latency,并找出哪个下游服务造成 timeout。
一个 EC2 application 需要读 S3 bucket 和写 CloudWatch Logs。安全团队要求不使用 long-term access keys,权限必須最小化且可轮换。
一家公司要建立图像上传服务。用户上传后需扫描惡意内容、产生缩略图、保存 metadata,并通过 CDN 提供下载。所有处理都要可重試。
一家新聞网站有大量匿名读取流量,后端 CMS 只在单一 Region 更新内容,内容同步到 S3。公司要求全球读取低延迟、降低 S3 request 压力,并能封鎖特定國家与惡意 HTTP pattern。
一个 Lambda function 連到 VPC 内的 RDS,同时需要调用 Secrets Manager 和 CloudWatch Logs。安全团队不希望 function 流量经过 NAT Gateway,并要求访问 AWS 服务时留在私有路径。哪些做法最符合这些需求?(选两个)
一家医疗平台的 RDS database 必須在 AZ failure 时自动故障转移,应用不可手动改 connection string。读取扩展不是主要需求,RPO 要尽量低。
一家 SaaS 公司需要将账单事件同时送到发邮件服务、数据仓储和风控服务。各消费方处理速度不同,新增消费方时不希望修改 producer。
一个金融 API 需要跨 AZ 高可用,数据库不能因单一 AZ 故障中断,且 DNS 层要能检测 endpoint health 进行切换。公司目前还不需要跨 Region 双活。
一家企业要求 S3 bucket 中的敏感数据被自动发现,security team 需要知道哪些 bucket 可能含有个人信息。公司已經使用 Organizations 管理多账号。
一个机器学习批处理工作需要大量 CPU,任务可中断、可重跑,数据输入输出在 S3。公司希望用最低成本处理大量 job,并可在高峰时快速扩展。
一个 HPC 工作负载需要高吞吐 file system,会读取 S3 中的大型数据集进行短期分析。分析結束后输出結果回到 S3,团队不想长期保留高成本 file system。哪些做法最符合这些需求?(选两个)
一个工业 IoT 平台每秒写入設备测量值,查询通常依时间范围聚合。团队希望使用 managed time-series database,而不是自行维护分区 table。
一家公司已有本地 VMware workload,短期要做 lift-and-shift 到 AWS,但仍需要与本地网络互通并分阶段遷移。
一个开發测試环境只在上班时間使用。团队常忘記关闭 EC2 和 RDS,造成闲置成本。公司希望自动化关闭并保留必要数据。
数据平台使用 Kinesis、Lambda 和 S3。最近数据延迟增加,团队需要知道 iterator age、Lambda error、throttle 和 S3 delivery failure。
一家公司要让第三方 SaaS 安全地访问指定 AWS account 中的部分资源。安全团队希望避免分享 long-term key,并能限制信任关係与 external ID。
一个 B2B 报表平台每天从多个客户 SFTP 汇入文件,转换后存入 data lake,并提供 Athena 查询。公司要求数据加密、权限分离和失败告警。哪些做法最符合这些需求?(选两个)
一个 SaaS 前端是 React SPA,部署在 S3。后端 API 通过 ALB 进入 ECS 服务。公司希望前端部署后全球用户快速取得新版本,同时 API 需要防 SQL injection 和 rate-based attack。
一家公司有多个 VPC 需要私下调用中央账号提供的内部付款 API。客户 VPC CIDR 可能重疊,公司不希望建立完整 VPC routing,也不想暴露服务到公网。
一家公司需要 MySQL 兼容数据库,高峰读取流量很高,还希望跨 Region 提供低延迟读取与灾难恢复。团队可接受使用 AWS managed database engine。
一个貸款审核流程包含文件檢查、风险評分、人工审核和結果通知。每一步需要状态追踪、错误重試和条件分支,流程可能執行数小时。
一家全球服务要求跨 Region active-active NoSQL 写入,用户应写入最近 Region,数据要自动同步,且应用不想自行管理 replication conflict 的底层机制。
一家公司要保护公开 ALB 后方的 Web application。近期攻击包含 SQL injection、cross-site scripting 和大量相同 IP 的 HTTP requests。团队希望在 Layer 7 擋掉流量。哪些做法最符合这些需求?(选两个)
一家企业既有 Java application 需要快速搬到 AWS,团队希望先少改程式、保留 OS 控制和自定义 agent,之后再逐步现代化。
一家公司有 on-premises application 需要繼续用 NFS 访问文件,但数据希望逐步移到 AWS 并降低本地存储容量。应用短期内不能大改。
一个应用使用 DynamoDB,但读取热门商品数据时 latency 仍偏高且重複读取很多。数据可以接受短时间 stale,团队希望降低 table read pressure。
一家跨國公司使用多个账号和多个 VPC,还有本地机房需要共享 DNS resolution。团队希望内部服务名称可在 VPC 和 on-premises 之間解析。
一个 S3 data lake 的 access pattern 不明确,部分数据常读,部分数据长期不用。团队不想手动分类每个 prefix,但希望自动降低 storage cost。
一家公司需要在多账号环境中持续檢查资源設定是否符合政策,例如 S3 bucket 不可公开、EBS 必須加密、Security Group 不可开放危险 port。哪些做法最符合这些需求?(选两个)
一个 Lambda function 需要解密 KMS 加密的 S3 物件,并把結果写入 DynamoDB。安全团队要求精准限制 function 可以使用的 key 和 table。
一个线上交易系統需要低延迟 API、交易数据持久化、异步通知和完整审计。系統必須跨 AZ 高可用,且任何一个通知服务故障不能阻塞交易提交。
一家遊戲公司有全球玩家下载 patch 文件,文件在發布后前 24 小时流量最高。安全团队要求文件不能直接由公开 S3 URL 下载,运营团队希望 origin 不被高峰流量打爆。
某企业采用 hub-and-spoke network,多个业务 VPC 需要連到共同的 inspection VPC 与 on-premises network。团队希望避免大量 peering mesh,并集中管理路由。
一个内部报表系統使用 RDS,月底查询会拖慢线上交易。公司希望将分析型查询移出 OLTP database,并保留生产数据库处理交易。
一家公司要处理 IoT 设备每秒送來的大量 telemetry,需要即时分析、短期保留串流数据,并将結果落到 S3 供后续分析。哪些做法最符合这些需求?(选两个)
一家公司使用 Amazon Aurora PostgreSQL 支援全球读取。主要写入在美國,欧洲用户需要低延迟读取,且公司希望 Region failure 时有更快的 database recovery path。
安全团队希望检测账号中可疑 API 行为、异常数据访问和可能被盗用的 IAM credentials,并把 findings 汇总到中央安全账号。
一个 Kubernetes 团队已經有 Helm、operator 和 admission controller 流程。公司希望在 AWS 上使用 managed control plane,但 worker capacity 仍要能与 VPC、IAM 和 ALB 整合。
一个 S3 bucket 保存法规数据,要求 retention period 内不可删除或覆写。数据团队也想保留 object version 以复原误操作。
一家公司需要 SQL transaction、外键约束和 PostgreSQL 兼容性,但流量不规律,高峰和低谷差距很大。团队希望降低容量管理负担。