AWS SAP-C02

Questions and Answers

1. Una empresa necesita diseñar una solución DNS híbrida. Esta solución utilizará una zona alojada privada de Amazon Route 53 para el dominio cloud.example.com para los recursos almacenados dentro de las VPCs. La empresa tiene los siguientes requisitos de resolución DNS: Los sistemas locales deben poder resolver y conectarse a cloud.example.com. Todas las VPCs deben poder resolver cloud.example.com. Ya existe una conexión AWS Direct Connect entre la red corporativa local y AWS Transit Gateway. ¿Qué arquitectura debe usar la empresa para cumplir con estos requisitos con el MAYOR rendimiento?

Asocia la zona alojada privada a todas las VPCs. Crea un resolutor entrante de Route 53 en la VPC de servicios compartidos. Conecta todas las VPCs al transit gateway y crea reglas de reenvío en el servidor DNS local para cloud.example.com que apunten al resolutor entrante. (correct)

Asocia la zona alojada privada a todas las VPCs. Implementa un reenviador condicional de Amazon EC2 en la VPC de servicios compartidos. Conecta todas las VPCs al transit gateway y crea reglas de reenvío en el servidor DNS local para cloud.example.com que apunten al reenviador condicional.

Asocia la zona alojada privada a la VPC de servicios compartidos. Crea un resolutor saliente de Route 53 en la VPC de servicios compartidos. Conecta todas las VPCs al transit gateway y crea reglas de reenvío en el servidor DNS local para cloud.example.com que apunten al resolutor saliente.

Asocia la zona alojada privada a la VPC de servicios compartidos. Crea un resolutor entrante de Route 53 en la VPC de servicios compartidos. Conecta la VPC de servicios compartidos al transit gateway y crea reglas de reenvío en el servidor DNS local para cloud.example.com que apunten al resolutor entrante.

Una empresa está proporcionando datos meteorológicos a través de una API basada en REST a varios clientes. La API está alojada por Amazon API Gateway e integrada con diferentes funciones AWS Lambda para cada operación de la API. La empresa usa Amazon Route 53 para DNS y ha creado un registro de recursos de weather.example.com. La empresa almacena datos para la API en tablas de Amazon DynamoDB. La empresa necesita una solución que permita que la API cambie a otra Región de AWS en caso de fallo.

Implementa un nuevo conjunto de funciones Lambda en una nueva Región. Actualiza la API de API Gateway para usar un endpoint de API optimizado para el borde con funciones Lambda de ambas Regiones como objetivos. Convierte las tablas de DynamoDB en tablas globales.

Implementa una nueva API de API Gateway y funciones Lambda en otra Región. Cambia el registro DNS de Route 53 a una respuesta de múltiples valores. Añade ambas APIs de API Gateway a la respuesta. Habilita la monitorización de salud del objetivo. Convierte las tablas de DynamoDB en tablas globales.

Implementa una nueva API de API Gateway en una nueva Región. Cambia las funciones Lambda a funciones globales. Cambia el registro DNS de Route 53 a una respuesta de múltiples valores. Añade ambas APIs de API Gateway a la respuesta. Habilita la monitorización de salud del objetivo. Convierte las tablas de DynamoDB en tablas globales.

C. Desplegar una nueva API de API Gateway y funciones Lambda en otra región. Cambiar el registro DNS de Route 53 a un registro de conmutación por error. Habilitar la monitorización de salud de los objetivos. Convertir las tablas de DynamoDB en tablas globales. (correct)

Una empresa utiliza AWS Organizations con una única OU llamada Producción para gestionar múltiples cuentas. Todas las cuentas son miembros de la OU Producción. Los administradores utilizan SCPs (políticas de control de servicios) de lista de denegación en la raíz de la organización para gestionar el acceso a servicios restringidos. La empresa adquirió recientemente una nueva unidad de negocio e invitó la cuenta de AWS existente de la nueva unidad a la organización. Una vez incorporados, los administradores de la nueva unidad de negocio descubrieron que no pueden actualizar las reglas de AWS Config existentes para cumplir con las políticas de la empresa.

¿Qué opción permitirá a los administradores realizar cambios y seguir aplicando las políticas actuales sin introducir mantenimiento adicional a largo plazo?

Elimina las SCPs de la raíz de la organización que limitan el acceso a AWS Config. Crea productos de AWS Service Catalog para las reglas estándar de AWS Config de la empresa y despliégalos en toda la organización, incluida la nueva cuenta.

Crear una OU temporal llamada Onboarding para la nueva cuenta. Aplicar un SCP a la OU de Onboarding para permitir acciones de AWS Config. Mover la nueva cuenta a la OU de Producción cuando los ajustes a AWS Config se completen. (correct)

Convertir los SCPs de la raíz de la organización de lista de denegación a lista de permitidos para permitir solo los servicios requeridos. Aplicar temporalmente un SCP a la raíz de la organización que permita acciones de AWS Config solo para los principales en la nueva cuenta.

Crear una OU temporal llamada Onboarding para la nueva cuenta. Aplicar un SCP a la OU de Onboarding para permitir acciones de AWS Config. Mover el SCP de la raíz de la organización a la OU de Producción. Mover la nueva cuenta a la OU de Producción cuando los ajustes a AWS Config se completen

Una empresa está ejecutando una aplicación basada en web de dos niveles en un centro de datos local. La capa de aplicación consiste en un único servidor que ejecuta una aplicación con estado. La aplicación se conecta a una base de datos PostgreSQL que se ejecuta en un servidor separado. Se espera que la base de usuarios de la aplicación crezca significativamente, por lo que la empresa está migrando la aplicación y la base de datos a AWS. La solución utilizará Amazon Aurora PostgreSQL, Amazon EC2 Auto Scaling y Elastic Load Balancing.

Habilitar Aurora Auto Scaling para réplicas de Aurora. Usar un Application Load Balancer con el enrutamiento round robin y sesiones persistentes habilitadas.

Una empresa utiliza un servicio para recopilar metadatos de aplicaciones que la empresa aloja en las instalaciones. Dispositivos de consumo como televisores y radios por internet acceden a las aplicaciones. Muchos dispositivos antiguos no admiten ciertos encabezados HTTP y presentan errores cuando estos encabezados están presentes en las respuestas. La empresa ha configurado un balanceador de carga local para eliminar los encabezados no admitidos de las respuestas enviadas a dispositivos antiguos, que la empresa identificó mediante los encabezados User-Agent. La empresa quiere migrar el servicio a AWS, adoptar tecnologías sin servidor y conservar la capacidad de soportar los dispositivos antiguos. La empresa ya ha migrado las aplicaciones a un conjunto de funciones AWS Lambda.

¿Qué solución cumplirá con estos requisitos?

Crear una distribución de Amazon CloudFront para el servicio de metadatos. Crear un Application Load Balancer (ALB). Configurar la distribución de CloudFront para reenviar solicitudes al ALB. Configurar el ALB para invocar la función Lambda correcta para cada tipo de solicitud. Crear una función Lambda@Edge que eliminará los encabezados problemáticos en respuesta a las solicitudes de los usuarios según el valor del encabezado User-Agent.

Una empresa minorista necesita proporcionar una serie de archivos de datos a otra empresa, que es su socio comercial. Estos archivos se guardan en un bucket de Amazon S3 bajo la Cuenta A, que pertenece a la empresa minorista. La empresa socia quiere que uno de sus usuarios de IAM, User_DataProcessor, acceda a los archivos desde su propia cuenta de AWS (Cuenta B). ¿Qué combinación de pasos deben seguir las empresas para que User_DataProcessor pueda acceder al bucket de S3 con éxito? (Elige dos).

En la Cuenta B, establecer los permisos de User_DataProcessor de la siguiente manera: { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::AccountABucketName/*" }

json Copiar código { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::AccountABucketName/*" }

Una empresa está ejecutando una aplicación web tradicional en instancias de Amazon EC2. La empresa necesita refactorizar la aplicación como microservicios que se ejecutan en contenedores. Existen versiones separadas de la aplicación en dos entornos distintos: producción y pruebas. La carga de la aplicación es variable, pero se conocen la carga mínima y la máxima. Un arquitecto de soluciones necesita diseñar la aplicación actualizada con una arquitectura sin servidor que minimice la complejidad operativa. ¿Qué solución cumplirá con estos requisitos de manera MÁS rentable?

Cargar las imágenes de los contenedores en Amazon Elastic Container Registry (Amazon ECR). Configurar dos clústeres de Amazon Elastic Container Service (Amazon ECS) con el tipo de lanzamiento Fargate para manejar la carga esperada. Implementar tareas desde las imágenes de ECR. Configurar dos Application Load Balancers separados para dirigir el tráfico a los clústeres de ECS.

Una empresa tiene una aplicación web de múltiples niveles que se ejecuta en una flota de instancias Amazon EC2 detrás de un Application Load Balancer (ALB). Las instancias están en un grupo de Auto Scaling. El ALB y el grupo de Auto Scaling se replican en una Región AWS de respaldo. El valor mínimo y máximo para el grupo de Auto Scaling están configurados en cero. Una instancia DB Multi-AZ de Amazon RDS almacena los datos de la aplicación. La instancia DB tiene una réplica de lectura en la Región de respaldo. La aplicación presenta un punto de enlace a los usuarios finales mediante un registro Amazon Route 53. La empresa necesita reducir su RTO a menos de 15 minutos dando a la aplicación la capacidad de fallar automáticamente a la Región de respaldo. La empresa no tiene un presupuesto lo suficientemente grande para una estrategia activa-activa. ¿Qué debería recomendar un arquitecto de soluciones para cumplir con estos requisitos?

Crear una función AWS Lambda en la Región de respaldo para promover la réplica de lectura y modificar los valores del grupo de Auto Scaling. Configurar Route 53 con un chequeo de salud que monitorea la aplicación web y envía una notificación de Amazon Simple Notification Service (Amazon SNS) a la función Lambda cuando el estado del chequeo de salud es no saludable. Actualizar el registro Route 53 de la aplicación con una política de conmutación por error que enruta el tráfico al ALB en la Región de respaldo cuando ocurre una falla en el chequeo de salud.

Una empresa aloja una aplicación crítica en una única instancia Amazon EC2. La aplicación utiliza un clúster de nodo único Amazon ElastiCache for Redis para un almacén de datos en memoria. La aplicación utiliza una instancia DB Amazon RDS for MariaDB para una base de datos relacional. Para que la aplicación funcione, cada componente de la infraestructura debe estar en buen estado y debe estar en un estado activo. Un arquitecto de soluciones necesita mejorar la arquitectura de la aplicación para que la infraestructura pueda recuperarse automáticamente de fallas con el menor tiempo de inactividad posible. ¿Qué combinación de pasos cumplirá con estos requisitos? (Elija tres.)

Use un Elastic Load Balancer para distribuir el tráfico entre múltiples instancias EC2. Asegúrese de que las instancias EC2 sean parte de un grupo de Auto Scaling que tenga una capacidad mínima de dos instancias.

Una empresa minorista opera su aplicación de comercio electrónico en AWS. La aplicación se ejecuta en instancias Amazon EC2 detrás de un Application Load Balancer (ALB). La empresa usa una instancia DB de Amazon RDS como backend de la base de datos. Amazon CloudFront está configurado con un origen que apunta al ALB. El contenido estático está en caché. Amazon Route 53 se utiliza para alojar todas las zonas públicas. Después de una actualización de la aplicación, el ALB ocasionalmente devuelve un código de estado 502 (Bad Gateway). La causa raíz son los encabezados HTTP malformados que se devuelven al ALB. La página web vuelve con éxito cuando un arquitecto de soluciones recarga la página web inmediatamente después de que ocurre el error. Mientras la empresa trabaja en el problema, el arquitecto de soluciones necesita proporcionar una página de error personalizada en lugar de la página de error estándar del ALB a los visitantes. ¿Qué combinación de pasos cumplirá con este requisito con la menor cantidad de sobrecarga operativa? (Elija dos.)

Agregar una respuesta de error personalizada configurando una página de error personalizada en CloudFront. Modificar los registros DNS para apuntar a una página web públicamente accesible.

Una empresa tiene muchas cuentas de AWS y utiliza AWS Organizations para gestionarlas todas. Un arquitecto de soluciones debe implementar una solución para que la empresa pueda compartir una red común entre múltiples cuentas. El equipo de infraestructura de la empresa tiene una cuenta dedicada de infraestructura que tiene una VPC. El equipo de infraestructura debe usar esta cuenta para gestionar la red. Las cuentas individuales no pueden tener la capacidad de gestionar sus propias redes. Sin embargo, las cuentas individuales deben poder crear recursos de AWS dentro de las subredes. ¿Qué combinación de acciones debe realizar el arquitecto de soluciones para cumplir con estos requisitos? (Elija dos.)

Crear un recurso compartido en AWS Resource Access Manager en la cuenta de infraestructura. Seleccionar la unidad organizativa específica de AWS Organizations que usará la red compartida. Seleccionar cada lista de prefijos para asociar con el recurso compartido.

Una empresa quiere usar una aplicación de software como servicio (SaaS) de terceros. La aplicación SaaS de terceros se consume a través de varias llamadas API. La aplicación SaaS de terceros también se ejecuta en AWS dentro de una VPC. La empresa consumirá la aplicación SaaS de terceros desde dentro de una VPC. La empresa tiene políticas de seguridad internas que mandatan el uso de conectividad privada que no atraviese Internet. Ningún recurso que se ejecute en la VPC de la empresa puede ser accesado desde fuera de la VPC de la empresa. Todos los permisos deben conformarse a los principios de privilegio mínimo. ¿Qué solución cumple con estos requisitos?

Crear un punto de enlace de interfaz AWS PrivateLink. Conectar este punto de enlace al servicio de punto de enlace que proporciona la aplicación SaaS de terceros. Crear un grupo de seguridad para limitar el acceso al punto de enlace. Asociar el grupo de seguridad con el punto de enlace.

Una empresa necesita implementar un proceso de parcheo para sus servidores. Los servidores on-premises y las instancias Amazon EC2 utilizan una variedad de herramientas para realizar el parcheo. La administración requiere un solo informe que muestre el estado de los parches de todos los servidores e instancias. ¿Qué conjunto de acciones debe tomar un arquitecto de soluciones para cumplir con estos requisitos?

Usar AWS Systems Manager para gestionar los parches en los servidores on-premises y las instancias EC2. Utilizar Systems Manager para generar informes de cumplimiento de parches.

Una empresa está ejecutando una aplicación en varias instancias Amazon EC2 en un grupo de Auto Scaling detrás de un Application Load Balancer. La carga en la aplicación varía durante todo el día y las instancias EC2 se escalan hacia adentro y hacia afuera de manera regular. Los archivos de registro de las instancias EC2 se copian a un bucket central de Amazon S3 cada 15 minutos. El equipo de seguridad descubre que los archivos de registro faltan en algunas de las instancias EC2 terminadas. ¿Qué conjunto de acciones asegurará que los archivos de registro se copien al bucket central de S3 desde las instancias EC2 terminadas?

Crear un documento de AWS Systems Manager con un script para copiar archivos de registro a Amazon S3. Crear un Auto Scaling lifecycle hook y una regla de Amazon EventBridge para detectar eventos de ciclo de vida del grupo de Auto Scaling. Invocar una función AWS Lambda en la transición autoscaling EC2_INSTANCE_TERMINATIN para llamar a la operación SendCommand de la API de AWS Systems Manager para ejecutar el documento y copiar los archivos de registro y enviar CONTINUE al grupo de Auto Scaling para terminar la instancia.

Una empresa está utilizando múltiples cuentas de AWS. Los registros DNS se almacenan en una zona hospedada privada para Amazon Route 53 en la Cuenta A. Las aplicaciones y bases de datos de la empresa se ejecutan en la Cuenta B. Un arquitecto de soluciones implementará una aplicación de dos niveles en una nueva VPC. Para simplificar la configuración, el registro CNAME db.example.com para el endpoint de Amazon RDS se creó en una zona hospedada privada para Amazon Route 53. Durante la implementación, la aplicación no se inició. La resolución de problemas reveló que db.example.com no se puede resolver en la instancia Amazon EC2. El arquitecto de soluciones confirmó que el conjunto de registros se creó correctamente en Route 53. ¿Qué combinación de pasos debe realizar el arquitecto de soluciones para resolver este problema? (Elija dos.)

Crear una autorización para asociar la zona hospedada privada en la Cuenta A con la nueva VPC en la Cuenta B

Una empresa utilizó instancias Amazon EC2 para implementar una flota web para alojar un sitio de blogs. Las instancias EC2 están detrás de un Application Load Balancer (ALB) y configuradas en un grupo de Auto Scaling. La aplicación web almacena todo el contenido del blog en un volumen Amazon EFS. La empresa añadió recientemente una función para que los bloggers añadan video a sus publicaciones, atrayendo 10 veces el tráfico de usuarios anterior. En los momentos de mayor tráfico del día, los usuarios reportan problemas de buffering y timeout al intentar acceder al sitio o ver videos. ¿Cuál es la implementación más rentable y escalable que resolverá los problemas para los usuarios?

Configurar una distribución de Amazon CloudFront. Apuntar la distribución a un bucket S3 y migrar los videos de EFS a Amazon S3.

Una empresa con oficinas globales tiene una conexión AWS Direct Connect de 1 Gbps a una sola región de AWS. La red on-premises de la empresa utiliza la conexión para comunicarse con los recursos de la empresa en la nube de AWS. La conexión tiene una única interfaz virtual privada que se conecta a una sola VPC. Un arquitecto de soluciones debe implementar una solución que agregue una conexión redundante de Direct Connect en la misma región. La solución también debe proporcionar conectividad a otras regiones a través del mismo par de conexiones de Direct Connect a medida que la empresa se expande a otras regiones. ¿Qué solución cumple con estos requisitos?

Provisionar un Direct Connect gateway. Eliminar la interfaz virtual privada existente de la conexión actual. Crear la segunda conexión de Direct Connect. Crear una nueva interfaz virtual privada en cada conexión, y conectar ambas interfaces virtuales privadas al gateway de Direct Connect. Conectar el gateway de Direct Connect a la única VPC.

Una empresa tiene una aplicación web que permite a los usuarios subir videos cortos. Los videos se almacenan en volúmenes Amazon EBS y se analizan mediante software de reconocimiento personalizado para su categorización. El sitio web contiene contenido estático que tiene tráfico variable con picos en ciertos meses. La arquitectura consiste en instancias Amazon EC2 ejecutándose en un grupo de Auto Scaling para la aplicación web y en instancias EC2 ejecutándose en un grupo de Auto Scaling para procesar una cola Amazon SQS. La empresa quiere re-arquitecturar la aplicación para reducir la sobrecarga operativa utilizando servicios administrados de AWS siempre que sea posible y eliminar dependencias de software de terceros. ¿Qué solución cumple con estos requisitos?

Alojar la aplicación web en Amazon S3. Almacenar los videos subidos en Amazon S3. Usar notificaciones de eventos de S3 para publicar eventos en la cola SQS. Procesar la cola SQS con una función AWS Lambda que llama a la API de Amazon Rekognition para categorizar los videos.

Una empresa tiene una aplicación serverless compuesta por Amazon CloudFront, Amazon API Gateway y funciones AWS Lambda. El proceso de despliegue actual del código de la aplicación es crear un nuevo número de versión de la función Lambda y ejecutar un script AWS CLI para actualizar. Si la nueva versión de la función tiene errores, otro script CLI revierte implementando la versión de trabajo anterior de la función. La empresa desea disminuir el tiempo para desplegar nuevas versiones de la lógica de la aplicación proporcionada por las funciones Lambda y también reducir el tiempo para detectar y revertir cuando se identifican errores. ¿Cómo se puede lograr esto?

Usar AWS SAM y AWS CodeDeploy integrado para desplegar la nueva versión de Lambda, desviar gradualmente el tráfico a la nueva versión y utilizar funciones de prueba antes y después del tráfico para verificar el código. Reversión si se activan alarmas de Amazon CloudWatch.

Una empresa está planeando almacenar una gran cantidad de documentos archivados y hacer que los documentos estén disponibles para los empleados a través de la intranet corporativa. Los empleados accederán al sistema conectándose a través de un servicio de VPN cliente que está adjunto a una VPC. Los datos no deben ser accesibles al público. Los documentos que la empresa está almacenando son copias de datos que se encuentran en medios físicos en otro lugar. El número de solicitudes será bajo. La disponibilidad y la velocidad de recuperación no son preocupaciones de la empresa. ¿Qué solución cumplirá con estos requisitos al menor costo?

Crear un bucket de Amazon S3. Configurar el bucket de S3 para usar la clase de almacenamiento S3 Glacier Deep Archive como predeterminada. Configurar el bucket de S3 para alojamiento de sitios web. Crear un endpoint de interfaz S3. Configurar el bucket de S3 para permitir acceso solo a través de ese endpoint.

Una empresa está utilizando un servicio de Active Directory on-premises para la autenticación de usuarios. La empresa quiere usar el mismo servicio de autenticación para iniciar sesión en las cuentas de AWS de la empresa, que están utilizando AWS Organizations. Ya existe conectividad de AWS Site-to-Site VPN entre el entorno on-premises y todas las cuentas de AWS de la empresa. La política de seguridad de la empresa requiere acceso condicional a las cuentas basado en grupos y roles de usuarios. Las identidades de los usuarios deben ser gestionadas en una única ubicación. ¿Qué solución cumplirá con estos requisitos?

Configurar AWS IAM Identity Center (AWS Single Sign-On) para conectar con Active Directory mediante SAML 2.0. Habilitar el aprovisionamiento automático utilizando el protocolo System for Cross-domain Identity Management (SCIM) v2.0. Otorgar acceso a las cuentas de AWS utilizando controles de acceso basados en atributos (ABACs)

Una empresa de software ha implementado una aplicación que consume una API REST utilizando Amazon API Gateway, funciones AWS Lambda y una tabla Amazon DynamoDB. La aplicación está mostrando un aumento en el número de errores durante las solicitudes PUT. La mayoría de las llamadas PUT provienen de un pequeño número de clientes autenticados con claves API específicas. Un arquitecto de soluciones ha identificado que un gran número de las solicitudes PUT se originan de un cliente. La API no es crítica y los clientes pueden tolerar reintentos de llamadas fallidas. Sin embargo, los errores se muestran a los clientes y están causando daño a la reputación de la API. ¿Qué debería recomendar el arquitecto de soluciones para mejorar la experiencia del cliente?

Implementar limitación de API (throttling) mediante un plan de uso a nivel de API Gateway. Asegurarse de que la aplicación del cliente maneje las respuestas de código 429 sin error.

Una empresa está ejecutando una aplicación intensiva en datos en AWS. La aplicación se ejecuta en un clúster de cientos de instancias Amazon EC2. Un sistema de archivos compartido también se ejecuta en varias instancias EC2 que almacenan 200 TB de datos. La aplicación lee y modifica los datos en el sistema de archivos compartido y genera un informe. El trabajo se ejecuta una vez al mes, lee un subconjunto de los archivos del sistema de archivos compartido y tarda unas 72 horas en completarse. Las instancias de cómputo escalan en un grupo de Auto Scaling, pero las instancias que alojan el sistema de archivos compartido se ejecutan continuamente. Las instancias de cómputo y almacenamiento están todas en la misma región de AWS. Un arquitecto de soluciones necesita reducir costos reemplazando las instancias del sistema de archivos compartido. El sistema de archivos debe proporcionar acceso de alto rendimiento a los datos necesarios durante la duración de la ejecución de 72 horas. ¿Qué solución proporcionará la mayor reducción de costos manteniendo estos requisitos?

Migrar los datos del sistema de archivos compartido existente a un bucket de Amazon S3 que utilice la clase de almacenamiento S3 Intelligent-Tiering. Antes de que el trabajo se ejecute cada mes, usar Amazon FSx for Lustre para crear un nuevo sistema de archivos con los datos de Amazon S3 utilizando carga diferida. Usar el nuevo sistema de archivos como el almacenamiento compartido durante la duración del trabajo. Eliminar el sistema de archivos cuando el trabajo esté completo.

Una empresa está desarrollando un nuevo servicio que será accesado usando TCP en un puerto estático. Un arquitecto de soluciones debe asegurarse de que el servicio sea altamente disponible, tenga redundancia a través de Zonas de Disponibilidad y sea accesible utilizando el nombre DNS my.service.com, el cual es públicamente accesible. El servicio debe usar asignaciones de direcciones fijas para que otras empresas puedan agregar las direcciones a sus listas de permitidos.

Crear instancias Amazon EC2 para el servicio. Crear una dirección IP elástica para cada Zona de Disponibilidad. Crear un Network Load Balancer (NLB) y exponer el puerto TCP asignado. Asignar las direcciones IP elásticas al NLB para cada Zona de Disponibilidad. Crear un grupo de destino y registrar las instancias EC2 con el NLB. Crear un nuevo conjunto de registros A (alias) llamado my.service.com, y asignar el nombre DNS del NLB al conjunto de registros.

Una empresa utiliza una plataforma de análisis de datos on-premises. El sistema es altamente disponible en una configuración totalmente redundante a través de 12 servidores en el centro de datos de la empresa. El sistema ejecuta trabajos programados, tanto cada hora como diariamente, además de solicitudes únicas de los usuarios. Los trabajos programados pueden tardar entre 20 minutos y 2 horas en completarse y tienen acuerdos de nivel de servicio (SLA) estrictos. Los trabajos programados representan el 65% del uso del sistema. Los trabajos de usuario típicamente terminan en menos de 5 minutos y no tienen SLA. Los trabajos de usuario representan el 35% del uso del sistema. Durante fallas del sistema, los trabajos programados deben continuar cumpliendo con los SLA. Sin embargo, los trabajos de usuario pueden retrasarse. Un arquitecto de soluciones necesita mover el sistema a instancias Amazon EC2 y adoptar un modelo basado en consumo para reducir costos sin compromisos a largo plazo. La solución debe mantener alta disponibilidad y no debe afectar los SLA. ¿Qué solución cumplirá con estos requisitos de manera más rentable?

Dividir las 12 instancias entre tres Zonas de Disponibilidad en la región de AWS elegida. Ejecutar dos instancias en cada Zona de Disponibilidad como instancias bajo demanda con un Plan de Ahorro. Ejecutar dos instancias en cada Zona de Disponibilidad como instancias Spot

Un ingeniero de seguridad determinó que una aplicación existente recupera credenciales para una base de datos Amazon RDS para MySQL desde un archivo cifrado en Amazon S3. Para la próxima versión de la aplicación, el ingeniero de seguridad quiere implementar los siguientes cambios de diseño para mejorar la seguridad: La base de datos debe usar contraseñas fuertes, generadas aleatoriamente y almacenadas en un servicio gestionado seguro de AWS. Los recursos de la aplicación deben desplegarse a través de AWS CloudFormation. La aplicación debe rotar las credenciales para la base de datos cada 90 días. Un arquitecto de soluciones generará una plantilla de CloudFormation para desplegar la aplicación. ¿Qué recursos especificados en la plantilla de CloudFormation cumplirán con los requisitos del ingeniero de seguridad con la menor cantidad de sobrecarga operativa?

Generar la contraseña de la base de datos como un recurso secreto usando AWS Secrets Manager. Crear un recurso de función AWS Lambda para rotar la contraseña de la base de datos. Especificar un recurso Secrets Manager RotationSchedule para rotar la contraseña de la base de datos cada 90 días.

Una empresa está almacenando datos en varias tablas de Amazon DynamoDB. Un arquitecto de soluciones debe usar una arquitectura serverless para hacer que los datos sean accesibles públicamente a través de una API simple sobre HTTPS. La solución debe escalar automáticamente en respuesta a la demanda. ¿Qué soluciones cumplen con estos requisitos? (Elija dos).

Crear una API HTTP de Amazon API Gateway. Configurar esta API con integraciones a funciones AWS Lambda que devuelvan datos de las tablas de DynamoDB.

Una empresa ha registrado 10 nuevos nombres de dominio. La empresa usa los dominios para marketing en línea. La empresa necesita una solución que redirija a los visitantes en línea a una URL específica para cada dominio. Todos los dominios y URLs de destino están definidos en un documento JSON. Todos los registros DNS son gestionados por Amazon Route 53. Un arquitecto de soluciones debe implementar un servicio de redirección que acepte solicitudes HTTP y HTTPS. ¿Qué combinación de pasos debe tomar el arquitecto de soluciones para cumplir con estos requisitos con la menor cantidad de esfuerzo operativo? (Elija tres).

Crear un Application Load Balancer que incluya listeners HTTP y HTTPS.

Una empresa que tiene múltiples cuentas de AWS está utilizando AWS Organizations. Las cuentas de AWS de la empresa alojan VPCs, instancias Amazon EC2 y contenedores. El equipo de cumplimiento de la empresa ha desplegado una herramienta de seguridad en cada VPC donde la empresa tiene implementaciones. Las herramientas de seguridad se ejecutan en instancias EC2 y envían información a la cuenta de AWS dedicada para el equipo de cumplimiento. La empresa ha etiquetado todos los recursos relacionados con el cumplimiento con una clave de "costCenter" y un valor de "compliance". La empresa quiere identificar el costo de las herramientas de seguridad que están ejecutándose en las instancias EC2 para que la empresa pueda cobrar a la cuenta de AWS del equipo de cumplimiento. El cálculo del costo debe ser lo más preciso posible. ¿Qué debería hacer un arquitecto de soluciones para cumplir con estos requisitos?

En la cuenta de gestión de la organización, activar la etiqueta definida por el usuario costCenter. Configurar los informes mensuales de AWS Cost and Usage Reports para guardar en un bucket de Amazon S3 en la cuenta de gestión. Utilizar el desglose de etiquetas en el informe para obtener el costo total de los recursos etiquetados con costCenter.

Una empresa tiene 50 cuentas de AWS que son miembros de una organización en AWS Organizations. Cada cuenta contiene múltiples VPCs. La empresa quiere usar AWS Transit Gateway para establecer conectividad entre las VPCs en cada cuenta miembro. Cada vez que se crea una nueva cuenta miembro, la empresa quiere automatizar el proceso de crear una nueva VPC y un adjunto de Transit Gateway. ¿Qué combinación de pasos cumplirá con estos requisitos? (Elija dos).

Desde la cuenta de gestión, compartir el Transit Gateway con las cuentas miembro utilizando AWS Resource Access Manager.

Una empresa desea permitir que sus desarrolladores compren software de terceros a través de AWS Marketplace. La empresa usa una cuenta de AWS Organizations con todas las funciones habilitadas, y tiene una cuenta de servicios compartidos en cada unidad organizacional (OU) que será utilizada por los gerentes de compras. La política del equipo de adquisiciones indica que los desarrolladores deben poder obtener software de terceros de una lista aprobada y usar el Private Marketplace en AWS Marketplace para cumplir con este requisito. El equipo de adquisiciones quiere que la administración de Private Marketplace se restrinja a un rol llamado "procurement-manager-role", que podría ser asumido por los gerentes de compras. Otros usuarios IAM, grupos, roles y administradores de cuentas en la empresa deben tener denegado el acceso administrativo a Private Marketplace. ¿Cuál es la manera más eficiente de diseñar una arquitectura para cumplir con estos requisitos?

Crear un rol IAM llamado procurement-manager-role en todas las cuentas de servicios compartidos en la organización. Agregar la política administrada AWSPrivateMarketplaceAdminFullAccess al rol. Crear una SCP a nivel de raíz de la organización para denegar permisos para administrar Private Marketplace a todos excepto el rol llamado procurement-manager-role. Crear otra SCP a nivel de raíz de la organización para denegar permisos para crear un rol IAM llamado procurement-manager-role a todos en la organización.

Una empresa está en el proceso de implementar AWS Organizations para restringir a sus desarrolladores el uso solo de Amazon EC2, Amazon S3 y Amazon DynamoDB. La cuenta de los desarrolladores reside en una unidad organizativa (OU) dedicada. El arquitecto de soluciones ha implementado el siguiente SCP (Service Control Policy) en la cuenta de los desarrolladores: { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowEC2", "Effect": "Allow", "Action": "ec2:", "Resource": "" }, { "Sid": "AllowDynamoDB", "Effect": "Allow", "Action": "dynamodb:", "Resource": "" }, { "Sid": "AllowS3", "Effect": "Allow", "Action": "s3:", "Resource": "" } ] }

Cuando se despliega esta política, los usuarios de IAM en la cuenta de desarrolladores todavía pueden usar servicios de AWS que no están listados en la política. ¿Qué debería hacer el arquitecto de soluciones para eliminar la capacidad de los desarrolladores de usar servicios fuera del alcance de esta política?

Eliminar la política FullAWSAccess SCP de la unidad organizativa de la cuenta de los desarrolladores.

Una empresa está alojando una API monolítica basada en REST para una aplicación móvil en cinco instancias Amazon EC2 en subredes públicas de una VPC. Los clientes móviles se conectan a la API utilizando un nombre de dominio que está alojado en Amazon Route 53. La empresa ha creado una política de enrutamiento de respuestas multivalor en Route 53 con las direcciones IP de todas las instancias EC2. Recientemente, la aplicación ha sido abrumada por grandes y repentinos aumentos de tráfico. La aplicación no ha podido mantenerse al día con el tráfico. Un arquitecto de soluciones necesita implementar una solución para que la aplicación pueda manejar la nueva y variada carga. ¿Cuál solución cumplirá con estos requisitos con la menor sobrecarga operativa?

Crear un Application Load Balancer (ALB) delante de la API. Mover las instancias EC2 a subredes privadas en la VPC. Añadir las instancias EC2 como objetivos para el ALB. Actualizar el registro de Route 53 para apuntar al ALB

Una empresa ha creado una OU en AWS Organizations para cada uno de sus equipos de ingeniería. Cada OU posee múltiples cuentas de AWS. La organización tiene cientos de cuentas de AWS. Un arquitecto de soluciones debe diseñar una solución para que cada OU pueda ver un desglose de los costos de uso en sus cuentas de AWS. ¿Qué solución cumple con estos requisitos?

Crear un AWS Cost and Usage Report (CUR) desde la cuenta de gestión de AWS Organizations. Permitir que cada equipo visualice el CUR a través de un dashboard de Amazon QuickSight.

Una empresa está almacenando datos on-premises en un servidor de archivos de Windows. La empresa produce 5 GB de nuevos datos diariamente. La empresa migró parte de su carga de trabajo basada en Windows a AWS y necesita que los datos estén disponibles en un sistema de archivos en la nube. La empresa ya ha establecido una conexión AWS Direct Connect entre la red on-premises y AWS. ¿Qué estrategia de migración de datos debería usar la empresa?

Usar AWS DataSync para programar una tarea diaria que replique datos entre el servidor de archivos de Windows on-premises y Amazon FSx.

Un arquitecto de soluciones de una empresa está revisando una aplicación web que se ejecuta en AWS. La aplicación hace referencia a activos estáticos en un bucket de Amazon S3 en la región us-east-1. La empresa necesita resiliencia en múltiples regiones de AWS. La empresa ya ha creado un bucket S3 en una segunda región. ¿Qué solución cumplirá con estos requisitos con la menor sobrecarga operativa?

Configurar la replicación en el bucket S3 en us-east-1 para replicar objetos en el bucket S3 en la segunda región. Configurar una distribución Amazon CloudFront con un grupo de origen que contenga los dos buckets S3 como orígenes.

Una empresa está alojando una aplicación web de tres niveles en un entorno on-premises. Debido a un reciente aumento en el tráfico que resultó en tiempo de inactividad e impacto financiero significativo, la gerencia de la empresa ordenó que la aplicación se trasladara a AWS. La aplicación está escrita en .NET y tiene una dependencia en una base de datos MySQL. Un arquitecto de soluciones debe diseñar una solución escalable y altamente disponible para satisfacer la demanda de 200,000 usuarios diarios. ¿Qué pasos debe seguir el arquitecto de soluciones para diseñar una solución apropiada?

Usar AWS CloudFormation para lanzar un stack que contenga un Application Load Balancer (ALB) frente a un grupo de Auto Scaling de Amazon EC2 que abarque tres Zonas de Disponibilidad. El stack debe lanzar una implementación Multi-AZ de un clúster de base de datos Amazon Aurora MySQL con una política de retención de eliminación. Usar un registro alias de Amazon Route 53 para enrutar el tráfico desde el dominio de la empresa al ALB.

Una empresa está utilizando AWS Organizations para gestionar múltiples cuentas de AWS. Por razones de seguridad, la empresa requiere la creación de un tema Amazon Simple Notification Service (Amazon SNS) que permita la integración con un sistema de alerta de terceros en todas las cuentas miembro de la organización. Un arquitecto de soluciones utilizó una plantilla de AWS CloudFormation para crear el tema SNS y conjuntos de stacks para automatizar el despliegue de stacks de CloudFormation. Se ha habilitado el acceso confiable en Organizations. ¿Qué debe hacer el arquitecto de soluciones para desplegar los CloudFormation StackSets en todas las cuentas de AWS?

Crear un stack set en la cuenta de gestión de Organizations. Usar permisos gestionados por el servicio. Configurar las opciones de despliegue para desplegar en la organización. Habilitar el despliegue automático de CloudFormation StackSets

Una empresa quiere migrar sus cargas de trabajo desde sus instalaciones a AWS. Las cargas de trabajo se ejecutan en Linux y Windows. La empresa tiene una gran infraestructura on-premises que consta de máquinas físicas y máquinas virtuales que alojan numerosas aplicaciones. La empresa debe capturar detalles sobre la configuración del sistema, el rendimiento del sistema, los procesos en ejecución y las conexiones de red de sus cargas de trabajo on-premises. La empresa también debe dividir las aplicaciones on-premises en grupos para las migraciones a AWS. La empresa necesita recomendaciones sobre los tipos de instancias de Amazon EC2 para que pueda ejecutar sus cargas de trabajo en AWS de la manera más rentable. ¿Qué combinación de pasos debe seguir un arquitecto de soluciones para cumplir con estos requisitos? (Elija tres).

Evaluar las aplicaciones existentes instalando AWS Systems Manager Agent en las máquinas físicas y virtuales.

Una empresa está alojando un servicio de procesamiento de imágenes en AWS en una VPC. La VPC se extiende a través de dos Zonas de Disponibilidad. Cada Zona de Disponibilidad contiene una subred pública y una subred privada.

El servicio se ejecuta en instancias Amazon EC2 en las subredes privadas. Un Application Load Balancer en las subredes públicas está frente al servicio. El servicio necesita comunicarse con Internet y lo hace a través de dos NAT gateways. El servicio usa Amazon S3 para almacenamiento de imágenes. Las instancias EC2 recuperan aproximadamente 1 TB de datos de un bucket S3 cada día.

La empresa ha promocionado el servicio como altamente seguro. Un arquitecto de soluciones debe reducir los gastos en la nube tanto como sea posible sin comprometer la postura de seguridad del servicio o aumentar el tiempo dedicado a las operaciones continuas.

¿Qué solución cumplirá con estos requisitos?

Configurar un S3 gateway VPC endpoint en la VPC. Adjuntar una política de endpoint al endpoint para permitir las acciones requeridas en el bucket S3

Una empresa recientemente implementó una aplicación en AWS. La aplicación utiliza Amazon DynamoDB. La empresa midió la carga de la aplicación y configuró los RCUs y WCUs en la tabla DynamoDB para igualar la carga máxima esperada. La carga máxima ocurre una vez a la semana durante un período de 4 horas y es el doble de la carga promedio. La carga de la aplicación es cercana a la carga promedio durante el resto de la semana. El patrón de acceso incluye muchas más escrituras en la tabla que lecturas. Un arquitecto de soluciones necesita implementar una solución para minimizar el costo de la tabla. ¿Qué solución cumplirá con estos requisitos?

Configurar DynamoDB Accelerator (DAX) delante de la tabla. Configurar el modo de capacidad bajo demanda para la tabla

Un arquitecto de soluciones necesita asesorar a una empresa sobre cómo migrar su aplicación de procesamiento de datos on-premises a la nube de AWS. Actualmente, los usuarios suben archivos de entrada a través de un portal web. El servidor web almacena los archivos subidos en un NAS y envía mensajes al servidor de procesamiento a través de una cola de mensajes. Cada archivo multimedia puede tardar hasta 1 hora en procesarse. La empresa ha determinado que el número de archivos multimedia en espera de procesamiento es significativamente mayor durante las horas laborales, con un rápido descenso después del horario laboral. ¿Cuál es la recomendación de migración más rentable?

Crear una cola utilizando Amazon SQS. Configurar el servidor web existente para publicar en la nueva cola. Utilizar instancias Amazon EC2 en un grupo de Auto Scaling de EC2 para extraer las solicitudes de la cola y procesar los archivos. Escalar las instancias EC2 según la longitud de la cola SQS. Almacenar los archivos procesados en un bucket de Amazon S3.

Una empresa está utilizando Amazon OpenSearch Service para analizar datos. La empresa carga datos en un clúster de OpenSearch Service con 10 nodos de datos desde un bucket de Amazon S3 que utiliza almacenamiento estándar S3. Los datos residen en el clúster durante 1 mes solo para análisis de solo lectura. Después de 1 mes, la empresa elimina el índice que contiene los datos del clúster. Por razones de cumplimiento, la empresa debe conservar una copia de todos los datos de entrada. La empresa está preocupada por los costos continuos y pide a un arquitecto de soluciones que recomiende una nueva solución. ¿Cuál solución cumplirá con estos requisitos de la manera más rentable?

Reducir el número de nodos de datos en el clúster a 2. Añadir nodos UltraWarm para manejar la capacidad esperada. Configurar los índices para que se transicionen a UltraWarm cuando OpenSearch Service ingiera los datos. Transicionar los datos de entrada a S3 Glacier Deep Archive después de 1 mes usando una política de ciclo de vida de S3.

Una empresa tiene 10 cuentas que son parte de una organización en AWS Organizations. AWS Config está configurado en cada cuenta. Todas las cuentas pertenecen a la OU de Producción (Prod OU) o a la OU de No Producción (NonProd OU). La empresa ha configurado una regla de Amazon EventBridge en cada cuenta de AWS para notificar a un tema de Amazon Simple Notification Service (Amazon SNS) cuando se crea una regla de entrada de grupo de seguridad de Amazon EC2 con 0.0.0.0/0 como origen. El equipo de seguridad de la empresa está suscrito al tema SNS. Para todas las cuentas en la NonProd OU, el equipo de seguridad necesita eliminar la capacidad de crear una regla de entrada de grupo de seguridad que incluya 0.0.0.0/0 como origen. ¿Cuál solución cumplirá con este requisito con el menor esfuerzo operativo?

Configurar una SCP para permitir la acción ec2:AuthorizeSecurityGroupIngress
cuando el valor aws:SourceIp de la clave de condición no sea 0.0.0.0/0. Aplicar la SCP a la NonProd OU.

Una empresa aloja un repositorio Git en un centro de datos on-premises. La empresa utiliza webhooks para invocar funcionalidades que se ejecutan en la nube de AWS. La empresa aloja la lógica del webhook en un conjunto de instancias Amazon EC2 en un grupo de Auto Scaling que la empresa configuró como un objetivo para un Application Load Balancer (ALB). El servidor Git llama al ALB para los webhooks configurados. La empresa quiere mover la solución a una arquitectura sin servidor. ¿Cuál solución cumplirá con estos requisitos con el menor esfuerzo operativo?

Crear una API HTTP de Amazon API Gateway. Implementar cada lógica de webhook en una función AWS Lambda separada. Actualizar los servidores Git para llamar al endpoint de API Gateway.

Una empresa planea migrar 1,000 servidores on-premises a AWS. Los servidores se ejecutan en varios clústeres VMware en el centro de datos de la empresa. Como parte del plan de migración, la empresa quiere recopilar métricas del servidor como detalles de CPU, uso de RAM, información del sistema operativo y procesos en ejecución. La empresa luego quiere consultar y analizar los datos. ¿Cuál solución cumplirá con estos requisitos?

Implementar el AWS Application Discovery Agent en cada servidor on-premises. Configurar Data Exploration en AWS Migration Hub. Utilizar Amazon Athena para ejecutar consultas predefinidas sobre los datos en Amazon S3.

Una empresa está construyendo una aplicación sin servidor que se ejecuta en una función AWS Lambda que está asociada a un VPC. La empresa necesita integrar la aplicación con un nuevo servicio de un proveedor externo. El proveedor externo solo acepta solicitudes que provengan de direcciones IPv4 públicas que están en una lista de permitidos. La empresa debe proporcionar una única dirección IP pública al proveedor externo antes de que la aplicación pueda comenzar a usar el nuevo servicio. ¿Cuál solución dará a la aplicación la capacidad de acceder al nuevo servicio?

Implementar un NAT gateway. Asociar una dirección IP elástica con el NAT gateway. Configurar el VPC para usar el NAT gateway.

Un arquitecto de soluciones ha desarrollado una aplicación web que utiliza un endpoint regional de Amazon API Gateway y una función AWS Lambda. Los consumidores de la aplicación web están todos cerca de la región AWS donde se implementará la aplicación. La función Lambda solo consulta una base de datos Amazon Aurora MySQL. El arquitecto de soluciones ha configurado la base de datos con tres réplicas de lectura. Durante las pruebas, la aplicación no cumple con los requisitos de rendimiento. Bajo alta carga, la aplicación abre un gran número de conexiones a la base de datos. El arquitecto de soluciones debe mejorar el rendimiento de la aplicación. ¿Qué acciones debe tomar el arquitecto de soluciones para cumplir con estos requisitos? (Elija dos).

Usar RDS Proxy para configurar un pool de conexiones al endpoint de lectura de la base de datos Aurora.

Una empresa planea alojar una aplicación web en AWS y quiere balancear la carga del tráfico entre un grupo de instancias Amazon EC2. Uno de los requisitos de seguridad es habilitar el cifrado de extremo a extremo en tránsito entre el cliente y el servidor web. ¿Cuál solución cumplirá con este requisito?

Colocar las instancias EC2 detrás de un Application Load Balancer (ALB). Aprovisionar un certificado SSL utilizando AWS Certificate Manager (ACM) y asociar el certificado SSL con el ALB. Aprovisionar un certificado SSL de terceros e instalarlo en cada instancia EC2. Configurar el ALB para escuchar en el puerto 443 y para reenviar el tráfico al puerto 443 en las instancias.

Una empresa quiere migrar su entorno de análisis de datos desde las instalaciones a AWS. El entorno consta de dos aplicaciones Node.js simples. Una de las aplicaciones recopila datos de sensores y los carga en una base de datos MySQL. La otra aplicación agrega los datos en informes. Cuando se ejecutan los trabajos de agregación, algunos de los trabajos de carga fallan.

La empresa debe resolver el problema de carga de datos. La empresa también necesita que la migración ocurra sin interrupciones o cambios para los clientes de la empresa.

¿Qué debería hacer un arquitecto de soluciones para cumplir con estos requisitos?

Configurar una base de datos Amazon Aurora MySQL. Utilizar AWS Database Migration Service (AWS DMS) para realizar la replicación continua de datos desde la base de datos local a Aurora. Crear una réplica Aurora para la base de datos Aurora MySQL y mover los trabajos de agregación para que se ejecuten contra la réplica Aurora. Configurar puntos finales de recopilación como funciones AWS Lambda detrás de un Application Load Balancer (ALB) y usar Amazon RDS Proxy para escribir en la base de datos Aurora MySQL. Cuando las bases de datos estén sincronizadas, apuntar el registro DNS del colector al ALB. Desactivar la tarea de sincronización de AWS DMS después de la transición de las instalaciones a AWS.

Una compañía de seguros de salud almacena información de identificación personal (PII) en un bucket de Amazon S3. La compañía usa cifrado del lado del servidor con claves de cifrado administradas por S3 (SSE-S3) para cifrar los objetos. Según un nuevo requisito, todos los objetos actuales y futuros en el bucket de S3 deben ser cifrados con claves que administra el equipo de seguridad de la compañía. El bucket de S3 no tiene habilitada la versionado.

¿Qué solución cumplirá con estos requisitos?

En las propiedades del bucket de S3, cambiar el cifrado predeterminado a cifrado del lado del servidor con claves de cifrado administradas por AWS KMS (SSE-KMS). Configurar una política de bucket de S3 para denegar solicitudes PutObject no cifradas. Usar la AWS CLI para volver a cargar todos los objetos en el bucket de S3

Una empresa está ejecutando una aplicación web en la nube de AWS. La aplicación consiste en contenido dinámico que se crea en un conjunto de instancias de Amazon EC2. Las instancias de EC2 se ejecutan en un grupo de Auto Scaling que está configurado como un grupo de destino para un Application Load Balancer (ALB).

La empresa está utilizando una distribución de Amazon CloudFront para distribuir la aplicación globalmente. La distribución de CloudFront utiliza el ALB como un origen. La empresa utiliza Amazon Route 53 para DNS y ha creado un registro A de www.example.com para la distribución de CloudFront.

Un arquitecto de soluciones debe configurar la aplicación para que sea altamente disponible y tolerante a fallos.

¿Qué solución cumple con estos requisitos?

Provisionar un ALB, un grupo de Auto Scaling y instancias de EC2 en una región de AWS diferente. Actualice la distribución de CloudFront y cree un segundo origen para el nuevo ALB. Cree un grupo de orígenes para los dos orígenes. Configure un origen como primario y un origen como secundario.

Una empresa tiene una organización en AWS Organizations que tiene una gran cantidad de cuentas de AWS. Una de las cuentas de AWS está designada como una cuenta de tránsito y tiene una transit gateway que se comparte con todas las demás cuentas de AWS. Las conexiones AWS Site-to-Site VPN están configuradas entre todas las oficinas globales de la empresa y la cuenta de tránsito. La empresa tiene AWS Config habilitado en todas sus cuentas. El equipo de redes de la empresa necesita gestionar centralmente una lista de rangos de direcciones IP internas que pertenecen a las oficinas globales. Los desarrolladores referenciarán esta lista para obtener acceso a sus aplicaciones de manera segura.

¿Qué solución cumple con estos requisitos con la MENOR cantidad de sobrecarga operativa?

En la cuenta de tránsito, crear una lista de prefijos de VPC con todos los rangos de direcciones IP internas. Usar AWS Resource Access Manager para compartir la lista de prefijos con todas las demás cuentas. Usar la lista de prefijos compartida para configurar las reglas de los grupos de seguridad en las otras cuentas.

Una empresa ejecuta una nueva aplicación como un sitio web estático en Amazon S3. La empresa ha desplegado la aplicación en una cuenta de AWS de producción y utiliza Amazon CloudFront para entregar el sitio web. El sitio web llama a una API REST de Amazon API Gateway. Una función de AWS Lambda respalda cada método API.

La empresa quiere crear un informe CSV cada 2 semanas para mostrar la memoria configurada recomendada de cada función Lambda de la API, el costo recomendado y la diferencia de precio entre las configuraciones actuales y las recomendaciones. La empresa almacenará los informes en un bucket de S3.

¿Cuál solución cumplirá estos requisitos con el menor tiempo de desarrollo?

Optar por AWS Compute Optimizer. Crear una función Lambda que llame a la operación ExportLambdaFunctionRecommendations. Exportar el archivo .csv a un bucket de S3. Crear una regla de Amazon EventBridge para programar la ejecución de la función Lambda cada 2 semanas.

Las aplicaciones de fábrica y automatización de una empresa están ejecutándose en una única VPC. Más de 20 aplicaciones se ejecutan en una combinación de Amazon EC2, Amazon Elastic Container Service (Amazon ECS) y Amazon RDS.

La empresa tiene ingenieros de software distribuidos en tres equipos. Uno de los tres equipos posee cada aplicación, y cada equipo es responsable del costo y rendimiento de todas sus aplicaciones. Los recursos del equipo tienen etiquetas que representan su aplicación y equipo. Los equipos usan acceso IAM para actividades diarias.

La empresa necesita determinar qué costos en la factura mensual de AWS son atribuibles a cada aplicación o equipo. La empresa también debe poder crear informes para comparar los costos de los últimos 12 meses y ayudar a prever costos para los próximos 12 meses. Un arquitecto de soluciones debe recomendar una solución de AWS Billing and Cost Management que proporcione estos informes de costos.

¿Qué combinación de acciones cumplirá con estos requisitos? (Elija tres.)

Activar las etiquetas de asignación de costos definidas por el usuario que representan la aplicación y el equipo.

Un cliente de AWS tiene una aplicación web que se ejecuta en las instalaciones. La aplicación web obtiene datos de una API de terceros que está detrás de un firewall. El tercero solo acepta un único bloque CIDR público en la lista de permitidos de cada cliente.

El cliente quiere migrar su aplicación web a la nube de AWS. La aplicación se alojará en un conjunto de instancias de Amazon EC2 detrás de un Application Load Balancer (ALB) en una VPC. El ALB se encuentra en subredes públicas. Las instancias EC2 se encuentran en subredes privadas. Las gateways NAT proporcionan acceso a internet a las subredes privadas.

¿Cómo debe un arquitecto de soluciones asegurarse de que la aplicación web pueda seguir llamando a la API de terceros después de la migración?

B. Registrar un bloque de direcciones IP públicas propiedad del cliente en la cuenta de AWS. Crear direcciones IP elásticas a partir del bloque de direcciones y asignarlas a las gateways NAT en la VPC.

Una empresa con varias cuentas de AWS está utilizando AWS Organizations y políticas de control de servicios (SCPs). Un administrador creó la siguiente SCP y la ha adjuntado a una unidad organizativa (OU) que contiene la cuenta de AWS 1111-1111-1111: { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsAllActions", "Effect": "Allow", "Action": "", "Resource": "" }, { "Sid": "DenyCloudTrail", "Effect": "Deny", "Action": "cloudtrail:", "Resource": "" } ] }

Los desarrolladores que trabajan en la cuenta 1111-1111-1111 se quejan de que no pueden crear buckets de Amazon S3. ¿Cómo debería el administrador abordar este problema?

Instruir a los desarrolladores a agregar permisos de Amazon S3 a sus entidades de IAM.

Una empresa tiene una aplicación monolítica que es crítica para su negocio. La empresa aloja la aplicación en una instancia de Amazon EC2 que ejecuta Amazon Linux 2. El equipo de la aplicación recibe una directiva del departamento legal para realizar copias de seguridad de los datos del volumen de Amazon Elastic Block Store (Amazon EBS) cifrado de la instancia en un bucket de Amazon S3. El equipo de la aplicación no tiene la clave SSH administrativa para la instancia, pero la aplicación debe seguir funcionando sin interrupciones.

¿Cuál solución cumplirá con estos requisitos?

Adjuntar un rol a la instancia con permiso para escribir en Amazon S3. Usar la opción de AWS Systems Manager Session Manager para obtener acceso a la instancia y ejecutar comandos para copiar los datos a Amazon S3.

Un arquitecto de soluciones necesita copiar datos de un bucket de Amazon S3 en una cuenta de AWS a un nuevo bucket de S3 en otra cuenta de AWS. El arquitecto de soluciones debe implementar una solución que utilice la AWS CLI.

¿Cuál combinación de pasos copiará los datos correctamente? (Elija tres).

Crear una política de bucket para permitir que el bucket de origen liste su contenido y coloque objetos, así como establecer ACLs de objetos en el bucket de destino. Adjuntar la política al bucket de destino.

Una empresa construyó una aplicación basada en AWS Lambda implementada en un stack de AWS CloudFormation. La última versión de producción de la aplicación web introdujo un problema que resultó en una interrupción que duró varios minutos. Un arquitecto de soluciones debe ajustar el proceso de implementación para admitir una implementación canary.

¿Cuál solución cumplirá con estos requisitos?

Crear un alias para cada nueva versión implementada de la función Lambda. Usar el comando update-alias de AWS CLI con el parámetro routing-config para distribuir la carga. Esta opción es la correcta, ya que AWS Lambda admite implementaciones canary nativas mediante el uso de alias y el parámetro routing-config. Esto permite distribuir el tráfico gradualmente entre diferentes versiones de la función Lambda, lo que minimiza el riesgo de interrupciones.

Una empresa financiera aloja un data lake en Amazon S3. La empresa recibe registros de datos financieros a través de SFTP cada noche desde varios terceros. La empresa ejecuta su propio servidor SFTP en una instancia de Amazon EC2 en una subred pública de una VPC. Después de que se suben los archivos, se mueven al data lake mediante un trabajo cron que se ejecuta en la misma instancia. El servidor SFTP es accesible a través de DNS con el nombre sftp.example.com mediante el uso de Amazon Route 53.

¿Qué debe hacer un arquitecto de soluciones para mejorar la confiabilidad y escalabilidad de la solución SFTP?

Migrar el servidor SFTP a AWS Transfer for SFTP. Actualizar el registro DNS sftp.example.com en Route 53 para apuntar al nombre de host del servidor.

Una empresa desea migrar una aplicación a Amazon EC2 desde una infraestructura VMware que se ejecuta en un centro de datos on-premises. Un arquitecto de soluciones debe preservar el software y la configuración durante la migración.

¿Qué debe hacer el arquitecto de soluciones para cumplir con estos requisitos?

Crear una activación de instancia gestionada para un entorno híbrido en AWS Systems Manager. Descargar e instalar el agente de Systems Manager en la VM on-premises. Registrar la VM con Systems Manager para que sea una instancia gestionada. Usar AWS Backup para crear una instantánea de la VM y crear una AMI. Lanzar una instancia EC2 basada en la AMI.

Una empresa de procesamiento de videos tiene una aplicación que descarga imágenes desde un bucket de Amazon S3, procesa las imágenes, almacena una imagen transformada en un segundo bucket de S3 y actualiza los metadatos de la imagen en una tabla de Amazon DynamoDB. La aplicación está escrita en Node.js y se ejecuta usando una función AWS Lambda, que se invoca cuando se carga una nueva imagen en Amazon S3.

La aplicación funcionaba sin problemas, pero el tamaño de las imágenes ha crecido significativamente. La función Lambda ahora falla con frecuencia debido a errores de timeout. El tiempo de espera de la función está configurado en su valor máximo. Un arquitecto de soluciones necesita refactorizar la arquitectura de la aplicación para evitar fallos en las invocaciones. La empresa no quiere gestionar la infraestructura subyacente.

¿Qué combinación de pasos debe tomar el arquitecto de soluciones para cumplir con estos requisitos? (Elija dos).

Crear una nueva definición de tarea de Amazon Elastic Container Service (Amazon ECS) con un tipo de compatibilidad de AWS Fargate. Configurar la definición de tarea para usar la nueva imagen en Amazon ECR. Ajustar la función Lambda para invocar una tarea de ECS utilizando la definición de tarea de ECS cuando llegue un nuevo archivo a Amazon S3.

Una empresa tiene una organización en AWS Organizations y está utilizando AWS Control Tower para implementar una landing zone para la organización. La empresa quiere implementar gobernanza y enforcement de políticas. Deben implementar una política que detecte instancias de Amazon RDS que no estén cifradas en reposo en la unidad organizativa (OU) de producción de la empresa.

¿Qué solución cumplirá con este requisito?

Habilitar la guardrail adecuada de la lista de guardrails fuertemente recomendadas en AWS Control Tower. Aplicar la guardrail a la OU de producción. Las guardrails fuertemente recomendadas en AWS Control Tower incluyen políticas relacionadas con el cifrado en reposo de los recursos, lo que cumple con los requisitos de detección de instancias RDS no cifradas.

Una empresa emergente aloja un grupo de instancias de Amazon EC2 en subredes privadas usando la última AMI de Amazon Linux 2. Los ingenieros de la empresa dependen en gran medida del acceso SSH a las instancias para la resolución de problemas. La arquitectura existente de la empresa incluye lo siguiente: Una VPC con subredes privadas y públicas, y una gateway NAT. Conectividad con el entorno on-premises a través de una VPN Site-to-Site. Grupos de seguridad EC2 con acceso SSH directo desde el entorno on-premises. La empresa necesita aumentar los controles de seguridad alrededor del acceso SSH y proporcionar auditoría de los comandos ejecutados por los ingenieros. ¿Qué estrategia debería usar un arquitecto de soluciones?

Crear un rol IAM con la política administrada AmazonSSMManagedInstanceCore adjunta. Adjuntar el rol IAM a todas las instancias EC2. Eliminar todas las reglas de grupos de seguridad adjuntas a las instancias EC2 que permitan TCP entrante en el puerto 22. Pedir a los ingenieros que instalen el complemento de AWS Systems Manager Session Manager en sus dispositivos y que accedan remotamente a las instancias usando la llamada API start-session de Systems Manager.

Una empresa que usa AWS Organizations permite a los desarrolladores experimentar en AWS. Como parte de la landing zone que la empresa ha implementado, los desarrolladores usan su correo electrónico corporativo para solicitar una cuenta. La empresa quiere asegurarse de que los desarrolladores no estén lanzando servicios costosos o ejecutando servicios innecesarios. La empresa debe otorgar a los desarrolladores un presupuesto mensual fijo para limitar sus costos en AWS.

¿Cuál combinación de pasos cumplirá con estos requisitos? (Elija tres).

Usar AWS Budgets para crear un presupuesto mensual fijo para cada cuenta de desarrollador como parte del proceso de creación de cuentas.

Una empresa tiene aplicaciones en una cuenta de AWS llamada Source. La cuenta está en una organización en AWS Organizations. Una de las aplicaciones usa funciones de AWS Lambda y almacena datos de inventario en una base de datos de Amazon Aurora. La aplicación implementa las funciones Lambda utilizando un paquete de implementación. La empresa ha configurado copias de seguridad automáticas para Aurora.

La empresa desea migrar las funciones Lambda y la base de datos Aurora a una nueva cuenta de AWS llamada Target. La aplicación procesa datos críticos, por lo que la empresa debe minimizar el tiempo de inactividad.

¿Cuál solución cumplirá con estos requisitos?

Usar AWS Resource Access Manager (AWS RAM) para compartir las funciones Lambda y el clúster Aurora con la cuenta Target. Conceder permiso a la cuenta Target para clonar el clúster Aurora.

Una empresa ejecuta un script de Python en una instancia de Amazon EC2 para procesar datos. El script se ejecuta cada 10 minutos, ingiere archivos desde un bucket de Amazon S3 y los procesa. En promedio, el script tarda aproximadamente 5 minutos en procesar cada archivo y no reprocesa archivos ya procesados.

La empresa revisó las métricas de Amazon CloudWatch y notó que la instancia EC2 está inactiva el 40% del tiempo debido a la velocidad de procesamiento. La empresa quiere que la carga de trabajo sea altamente disponible y escalable, además de reducir la sobrecarga de administración a largo plazo.

¿Cuál solución cumplirá con estos requisitos de la manera más rentable?

Migrar el script de procesamiento de datos a una función de AWS Lambda. Usar una notificación de evento S3 para invocar la función Lambda y procesar los objetos cuando la empresa cargue los objetos.

Una empresa de servicios financieros en Norteamérica planea lanzar una nueva aplicación web en línea para sus clientes en AWS. La empresa lanzará la aplicación en la región us-east-1 en instancias de Amazon EC2. La aplicación debe ser altamente disponible y escalar dinámicamente para satisfacer el tráfico de usuarios. La empresa también desea implementar un entorno de recuperación ante desastres para la aplicación en la región us-west-1 utilizando un modelo de conmutación por error activo-pasivo.

¿Cuál solución cumplirá con estos requisitos?

Crear una VPC en us-east-1 y una VPC en us-west-1. En la VPC de us-east-1, crear un ALB que se extienda por múltiples Zonas de Disponibilidad en esa VPC. Crear un grupo de Auto Scaling que implemente las instancias EC2 en múltiples Zonas de Disponibilidad en la VPC de us-east-1. Configurar lo mismo en la región us-west-1. Crear una zona hospedada en Amazon Route 53. Crear registros separados para cada ALB. Habilitar verificaciones de estado y configurar una política de enrutamiento de conmutación por error para cada registro

Una empresa tiene un entorno con una sola cuenta de AWS. Un arquitecto de soluciones está revisando el entorno para recomendar mejoras específicamente en términos de acceso a la Consola de Administración de AWS. Actualmente, los trabajadores de soporte de TI acceden a la consola para tareas administrativas, autenticándose con usuarios IAM asignados a sus roles laborales.

Los trabajadores de soporte de TI ya no quieren mantener sus cuentas de Active Directory y de usuario IAM. Desean acceder a la consola usando sus credenciales existentes de Active Directory. El arquitecto de soluciones está utilizando AWS IAM Identity Center (AWS Single Sign-On) para implementar esta funcionalidad.

¿Cuál solución cumplirá con estos requisitos de la manera más rentable?

Crear una organización en AWS Organizations. Activar todas las características de la organización. Crear y configurar un AD Connector para conectarse al Active Directory local de la empresa. Configurar IAM Identity Center y seleccionar el AD Connector como la fuente de identidad. Crear permisos y asignarlos a los grupos existentes dentro del Active Directory de la empresa.

Una empresa de transmisión de video lanzó recientemente una aplicación móvil para compartir videos. La aplicación carga varios archivos a un bucket de Amazon S3 en la región us-east-1. Los archivos varían en tamaño de 1 GB a 10 GB.

Los usuarios que acceden a la aplicación desde Australia han experimentado tiempos prolongados de carga y, a veces, las cargas fallan. Un arquitecto de soluciones debe mejorar el rendimiento de la aplicación para estas cargas.

¿Cuáles soluciones cumplirán con estos requisitos? (Elija dos).

Habilitar S3 Transfer Acceleration en el bucket de S3. Configurar la aplicación para usar el endpoint de Transfer Acceleration para las cargas.

Una aplicación está utilizando una instancia de Amazon RDS para MySQL Multi-AZ en la región us-east-1. Después de una prueba de conmutación por error (failover), la aplicación perdió las conexiones a la base de datos y no pudo restablecerlas. Después de reiniciar la aplicación, las conexiones se restablecieron.

Un arquitecto de soluciones debe implementar una solución para que la aplicación pueda restablecer las conexiones a la base de datos sin requerir un reinicio.

¿Cuál solución cumplirá con estos requisitos?

Crear un RDS proxy. Configurar el endpoint de RDS existente como un objetivo. Actualizar la configuración de conexión en la aplicación para que apunte al endpoint del RDS proxy.

Una empresa está construyendo una solución en la nube de AWS. Miles de dispositivos se conectarán a la solución y enviarán datos. Cada dispositivo necesita enviar y recibir datos en tiempo real utilizando el protocolo MQTT. Cada dispositivo debe autenticarse usando un certificado X.509 único.

¿Cuál solución cumplirá con estos requisitos con la menor sobrecarga operativa?

Configurar AWS IoT Core. Para cada dispositivo, crear un AWS IoT thing correspondiente y aprovisionar un certificado. Conectar cada dispositivo a AWS IoT Core.

Una empresa está ejecutando varias cargas de trabajo en una sola cuenta de AWS. Una nueva política de la empresa establece que los ingenieros solo pueden aprovisionar recursos aprobados y deben utilizar AWS CloudFormation para aprovisionarlos. Un arquitecto de soluciones debe crear una solución para hacer cumplir esta nueva restricción en el rol de IAM que los ingenieros utilizan para acceder.

¿Cuál es la mejor solución para cumplir con estos requisitos?

Actualizar la política de IAM para el rol de los ingenieros con permisos para permitir solo el aprovisionamiento de recursos aprobados y el uso de AWS CloudFormation. Usar plantillas de CloudFormation para crear pilas con recursos aprobados.

Un arquitecto de soluciones está diseñando la arquitectura de almacenamiento y recuperación de datos para una nueva aplicación que una empresa lanzará próximamente. La aplicación está diseñada para ingerir millones de registros pequeños por minuto desde dispositivos de todo el mundo. Cada registro tiene menos de 4 KB de tamaño y debe almacenarse en un lugar duradero donde se pueda recuperar con baja latencia. Los datos son efímeros, y la empresa está obligada a almacenarlos durante solo 120 días, después de lo cual se pueden eliminar.

El arquitecto de soluciones calcula que, durante el transcurso de un año, los requisitos de almacenamiento serían de aproximadamente 10-15 TB.

¿Cuál estrategia de almacenamiento es la más rentable y cumple con los requisitos de diseño?

Diseñar la aplicación para almacenar cada registro entrante en una tabla de Amazon DynamoDB configurada correctamente para la escala. Configurar la función Time to Live (TTL) de DynamoDB para eliminar los registros de más de 120 días.