前 言

任何参加过AWS 认证考试的人都会告诉你通过考试并不容易。对准备参加AWS Certified SysOps Administrator-Associate 考试的人来说，选择正确的学习资料至关重要。

为了通过考试，你必须了解AWS 生态系统中的各项服务，这些服务能够执行系统管理工作。《AWS 系统管理员学习指南(第2 版·SOA-C01)》是你认证之旅的绝佳资源。除本书外，Sybex 还提供了AWS Certified SysOps Administrator-Associate Exam Practice Tests。

该测试提供与本书资料相关甚至本书讨论范畴之外的各种内容，以确保充分备考。我推荐的其他资料是AWS 文档(通常以HTML 和PDF 格式提供)和常见问题解答(FAQ)。

在参加考试之前，你应当已经拥有AWS 的动手实践经验。本书中的练习将有助于将这些经验进一步应用于实践。第一次注册AWS 账户时，你可以获得12 个月的免费级别访问。这意味着，只要继续使用符合条件的免费功能，并且不超过指定的小时数或使用量，你就可以在AWS 中练习构建自己的基础架构。你可以通过控制台完成练习，也可以使用AWS 命令行界面(Command-Line Interface，CLI)进行练习。虽然你不需要成为AWS CLI 专家就可以通过考试，但你对它应该足够熟悉，了解常用AWSCLI 命令的格式。

我强烈建议你把这本书通读一遍。在每一章的结尾，暂停一下，花点时间复习内容，测试对所学内容的理解。读完此书以后，注册本书，充分利用网上提供的练习测试和抽认卡(flashcard)。这些学习助手将确保你具备通过考试所必需的知识。

注册考试时，可以选择PSI 或者Pearson Vue 考试中心。截至本书撰写时，助理考试的费用是150 美元。考试题一般是多选或多项回答题。应试者需要在130 分钟内完成考试。

在了解了基础知识和推荐的资源后，下面回顾一下本书的内容编排。

第Ⅰ部分：AWS 基础

本书的第Ⅰ部分首先介绍需要知道和理解的基本主题，然后深入讲解后续的内容。

这些主题包括责任共担模型(Shared Responsibility Model)和访问AWS 资源的各种方法。

第Ⅱ部分：监控和报告工具

本书的第Ⅱ部分集中描述AWS 的监控和报告工具。你将了解更多有关Amazon AWS 系统管理员学习指南(第2 版·SOA-C01)CloudWatch、AWS CloudTrail、AWS Config 和AWS Organizations 的内容。本部分的每一章都详细介绍了这些主题的内容。

第Ⅲ部分：高可用性

在本书的第Ⅲ部分，重点介绍高可用性服务和创建高可用性架构，还讨论AWS的数据库受管服务、Amazon Relational Database Service(关系数据库服务、RDS)和Auto Scaling(自动缩放)。

第Ⅳ部分：部署和供给

在本书的第Ⅳ部分，我们将介绍Virtual Private Cloud(虚拟私有云，VPC)伙伴节点(peering)和堡垒(bastion)主机。还将介绍AWS Systems Manager 的所有组件，这些组件使其成为一个有价值的部署和供给实用工具。

第Ⅴ部分：存储和数据管理

在本书的第Ⅴ部分，我们着眼于简单存储服务(Simple Storage Service，S3)、Glacier和Elastic Block Store(弹性块存储，EBS)。还将研究数据安全和加密以及数据生命周期管理。

第Ⅵ部分：安全性与合规性

在本书的第Ⅵ部分，重点介绍安全性和合规性主题。首先介绍身份和访问管理(Identity and Access Management，IAM)，然后从安全性和合规性角度介绍报告和日志记录。在这一部分的最后，将介绍备考所需了解的附加安全工具。

第Ⅶ部分：网络

本书的第Ⅶ部分讨论网络主题。首先介绍网络基础、Virtual Private Cloud(VPC)和网络地址转换(Network Address Translation，NAT)，最后介绍DNS 服务和Route 53。

第Ⅷ部分：自动化和优化

本部分也是最后一部分，讨论自动化和优化。我们将讨论基础设施即服务(Infrastructure as a Service)，并详细介绍AWS CloudFormation。Elastic Beanstalk，也就是AWS 的平台即服务(Platform as a Service，PaaS)功能，也会在该部分的讨论之列。

本书内容

本书涵盖备考AWS Certified SysOps Administrator-Associate 考试所需了解的以下主题。

● 第1 章“AWS 系统操作简介”：概述AWS 基本内容及其提供的服务。此外，还讨论系统操作以及与AWS 及其资源交互的各种方式。

● 第2 章“Amazon CloudWatch”：讨论如何在AWS 中使用Amazon CloudWatch进行监控。它讨论了监控和指标的类型，并阐述Amazon CloudWatch 是如何工作的。

● 第3 章“AWS Organizations”：讨论AWS Organizations 以及如何使用此功能集中管理AWS 账户的各个层面，包括AWS 多账户的集中计费。

● 第4 章“AWS Config”：讨论使用AWS Config 如何管理AWS 账户中资源的变更。

● 第5 章“AWS CloudTrail”：探讨AWS CloudTrail，并解释如何使用它监控AWS 账户中的API 调用。

● 第6 章“Amazon Relational Database Service”：讨论AWS 受管数据库服务。

除讨论支持的数据库引擎外，还讨论如何实现可扩展性和高可用性。

● 第7 章“自动缩放”：涵盖有关自动缩放的所有知识，包括如何指定EC2 以外的容量和服务，这些都可以利用自动缩放的优势。

● 第8 章“中央、分支和堡垒主机”：在该章中，你将学习VPC 伙伴节点的所有知识，包括使用中央和分支架构。你还将了解堡垒主机，包括它们的基础

功能以及可在哪些场景中使用它们。

● 第9 章“AWS Systems Manager”：介绍AWS Systems Manager 的组件，这些组件会成为你“兵器库”中非常有用的工具。该章还涵盖了Run 命令、补丁管理器、参数存储库、会话管理器和状态管理器。

● 第10 章“Amazon Simple Storage Service(S3)”：介绍S3 和Glacier、生命周期管理、加密和版本控制。还讨论存储网关以及在何种场景下使用它们。

● 第11 章“Elastic Block Store(EBS)”：阐述EBS 的功能以及EBS 的几种类型，还涵盖了EBS 卷的加密功能。

● 第12 章“Amazon Machine Image(AMI)”：讨论AMI、AMI 权限、AMI 存储，以及与AMI 相关的常见管理任务。

● 第13 章“IAM”：介绍AWS 的用户、组、角色和策略管理，还讨论了其他认证服务。

● 第14 章“报告和日志”：介绍AWS 各种报告、监控和日志工具。这包括更多关于CloudWatch、CloudTrail 和AWS Config 的内容。

● 第15 章“附加安全工具”：介绍考试中可能出现的其他安全工具，包括AWS 系统管理员学习指南(第2 版·SOA-C01)Amazon Inspector 和Amazon GuardDuty。

● 第16 章“虚拟私有云(VPC)”：介绍网络基础知识，然后讨论AWS 网络和路

由。

● 第17 章“Route 53”：讨论DNS、Route 53，以及由Route 53 提供的各种路由策略。

● 第18 章“CloudFormation”：讨论通过基础设施即服务实现自动化，以及AWS如何通过CloudFormation 模板和堆栈实现基础设施自动化。

● 第19 章“Elastic Beanstalk”：在该章中，你将学习Elastic Beanstalk，以及在不必关心网络和实例配置的情况下，如何运行自己的Web 应用。

交互式在线学习环境和试题库

一些开发好的工具可以帮助你通过Amazon Certified SysOps Administrator-Associate 考试。这些工具都是免费的，下载网址为www.wiley.com/go/sybextestprep。

只需要注册本书就可以获取以下电子资源。

● 练习考试：两套50 题的练习考试，供你考查所学的知识。这些问题与每章末尾的复习题不同。

● 抽认卡：有100 张抽认卡，可供你测试对AWS 术语和概念知识的理解。如果第一次没有正确回答，那就再试一次！这些卡片旨在强化书中所学的概念。

● 词汇表：在整本书中的关键术语放在了词汇表中。词汇表的最大优点就是可搜索！

考试目标

AWS Certified SysOps Administrator-Associate 考试是为系统管理员设计的，这些管理员至少已经拥有AWS 一年的工作经验。理想情况下，应试者应具备部署资源和管理现有资源的经验，以及执行基本操作任务(如故障排除、监控和使用报告工具)的经验。

通常来说，在参加这次考试之前，你应该具备以下技能。

● 至少一年的AWS 系统管理经验。

● 具有AWS实操经验，包括AWS Management Console、AWS CLI 和AWS SDK。

● 了解与AWS网络基础设施相关的网络概念和方法。

● 了解如何监控系统的性能和可用性。

● 了解基本的安全性和合规性要求，以及有助于审计和监控的AWS 内部工具。

● 能够在功能性的AWS 环境中解释架构文档。

目标图

下表提供了考试中每个知识点的列表、每个知识点的权重值，以及每个知识点内容所在的章节。

知识点 考试所占比例/% 章号

知识点1：监控和报告工具 22

1.1 使用AWS 监控服务创建和维护指标及警报 2, 3, 4, 5, 14

1.2 认识并区分性能和可用性指标 2, 14, 16

1.3 根据性能和可用性指标执行必要的修正步骤 2, 5, 14

知识点2：高可用性 8

2.1 基于用例实现可扩展性和弹性 1, 6, 7,12, 16, 17, 18, 19

2.2 认识和区分AWS 的高可用性和弹性环境 1, 6, 7, 10, 11, 12, 13,15, 16, 17, 18, 19

知识点3：部署和供给 14

3.1 确定并执行提供云资源所需的步骤 1, 6, 7, 10, 11, 12, 13,16, 17, 18, 19

3.2 确定并修正部署问题 4, 5, 6, 9, 11, 12, 14,16, 17, 18, 19

知识点4：存储和数据管理 12

4.1 创建和管理数据保留期 10, 11

4.2 确定并实施数据保护、加密和容量规划需求 10, 11, 12

知识点5：安全性与合规性 18

5.1 实施和管理AWS 安全策略 1, 4, 9, 13, 15

5.2 实施AWS 访问控制 1, 3, 4, 9, 10, 12, 13, 15

5.3 区分责任共担模型中的角色和职责 1, 13, 15

知识点6：网络 14

6.1 应用AWS 网络功能 1, 16, 17

6.2 实施AWS 连接服务 16, 17

6.3 收集和解释网络故障排除的相关信息 5, 14, 16

知识点7：自动化和优化 12

7.1 使用AWS 服务和特性来管理和评估资源利用率 1, 2, 7, 8, 14, 19

7.2 采用成本优化策略有效利用资源 3, 7, 11, 19

7.3 自动化手动或可重复的过程，以最小化管理开销 2, 4, 5, 7, 8, 9, 12, 18, 19评估考试

1. 判断题：可用性区域(Availability Zone，AZ)是AWS 环境中最大的地理区域。

A. 正确 B. 错误

2. 以下哪些不是AWS 的有效区域？

A. us-west-2 B. cn-north-1

C. ap-northeast-2 D. eu-northeast-1

3. 以下哪个选项是对CloudWatch 警报的最佳描述？

A. 当报告的事件超出定义的阈值时，发出警报

B. 当报告的指标超出定义的阈值时，发出警报

C. 应用关闭时会发出警报

D. 当AWS 服务出现问题时会发出警报

4. 以下哪些不是CloudWatch 事件的组件？

A. 事件 B. 规则 C. 指标 D. 目标

5. 在CloudWatch 中，用来描述收集相关指标的容器的术语是什么？

A. 命名空间 B. 存储桶 C. 指标容器 D. 容器主机

6. 以下哪些不是AWS Organizations 提供的好处？

A. 整合和部署安全策略 B. 整合用户管理

C. 整合账单 D. 整合Amazon EC2 实例

7. 对于AWS 和AWS Organizations，组织的最佳描述是什么？

A. IAM 用户账户集合 B. 内部互联网络的集合

C. 商业实体的集合 D. AWS 账户的集合

8. 在IAM 中，将用户账户分组到一个组中。在AWS Organizations 中，对以下哪些项目在AWS 账户中分组？

A. 容器 B. 组织单位 C. 安全组 D. 派发组

9. 哪个AWS 服务为AWS 系统和本地数据中心提供配置管理？

A. Amazon Inspector B. AWS Config

C. AWS Organizations D. AWS Systems Manager

10. 判断题：AWS Config 中的规则用于告诉AWS Config，如果配置不正确时该怎么做。

A. 正确 B. 错误

11. 在一个AWS 账户中可以为AWS Config 创建多少个自定义规则？

A. 25 B. 50 C. 75 D. 100

12. 在AWS CloudTrail 中的追踪(trail)有什么作用？

A. 告知AWS CloudTrail 需要记录哪些事件，但不说明这些事件日志的存放

地点

B. 告知AWS CloudTrail 需要记录哪些事件以及这些事件日志的存放地点

C. 告知AWS CloudTrail 记录所有事件

D. 告知AWS CloudTrail 在哪里存储日志

13. 你想要确保新的区域(region)自动启用AWS CloudTrail，同时你正在监控管理和数据事件。实现这一目标的最佳方法是什么？

A. 使用默认选项，即所有区域追踪，并选择要记录的事件

B. 启用所有区域追踪，而不是默认的单个区域追踪

C. 使用默认选项，即所有区域追踪和记录所有事件

D. 不能在区域级别设置AWS CloudTrail

14. 用户或管理员需要被授予哪些权限才能使用AWS CloudTrail？(选择两项)

A. AWSCloudTrailUser

B. AWSCloudTrailFullAccess

C. AWSCloudTrailAdmin

D. AWSCloudTrailReadOnlyAccess

15. 判断题：Amazon RDS 的默认设置具有成本效益。

A. 正确 B. 错误

16. 需要确保数据库能够在一个可用性区域发生故障时存活。满足这一要求的最佳解决方案是下列中的哪一项？

A. Amazon RDS 默认提供此功能，只需要为备用实例选择所需的可用性区域

B. Amazon RDS 默认提供此功能，无须做任何额外的事情

C. 在EC2 实例上安装DBMS 并启用Multi-AZ 配置

D. 使用具有Multi-AZ 配置的Amazon RDS

17. 判断题：Multi-AZ 用于灾难恢复，而读副本用于提高性能。

A. 正确 B. 错误

18. 自动缩放组中的实例何时进行健康检查？

A. 当实例正在运行状态

B. 当实例在预备状态

C. 当实例在服务中(InService)状态

D. 当实例在挂起状态

19. 以下哪个选项没有包含在启动配置中？

A. AMI 的ID B. 主机名

C. 实例类型 D. 一个或多个安全组

20. 判断题：VPC 伙伴节点使用转递信任。

A. 正确 B. 错误

21. 堡垒主机应该位于哪里？

A. 公有子网 B. 私有子网

C. 一个独立的子网 D. VPN 连接的后端

22. 为了使AWS Systems Manager 监控、安装软件和配置系统，以下哪项是正确的？

A. 系统必须是Linux B. 系统必须是Windows

C. 系统必须在AWS 环境中 D. 系统必须安装SSM 代理

23. 在AWS Systems Manager 中，以下哪个不是有效的文档类型？

A. 命令 B. 策略 C. 安全 D. 自动化

24. 以下哪些存储产品归类为对象存储？(选择两项)

A. Amazon EFS B. Amazon Glacier

C. Amazon S3 D. Amazon EBS

25. S3 中的对象大小的最大值是多少？

A. 500GB B. 1TB C. 5TB D. 无限大

26. s3.amazonaws.com 属于以下哪个区域？

A. us-east-1 B. us-east-2 C. us-west-1 D. us-west-2

27. 以下产品哪个是块存储解决方案？

A. Amazon EFS B. Amzon Glacier

C. Amazon S3 D. Amazon EBS

28. 终止EC2 实例时，如何确保根卷不会被删除？

A. 将有关卷的“终止时删除”标志设置为false

B. 将有关卷的“终止时删除”标志设置为true

C. 不需要执行任何操作，因为EC2 实例终止时根卷不会被删除

D. 无法阻止根卷被删除

29. 在不同类型的EBS 卷中，哪种类型的IOPS 最高？

A. 通用型SSD

B. 供给型IOPS SSD

C. 吞吐量优化型硬盘驱动器(HDD)

D. 冷HDD

30. 以下哪种类型的AMI 不是可访问类型？

A. 公有 B. 共享 C. 私有 D. 独立

31. 判断题：当需要确保在实例终止后数据保持持久性时，实例支持的AMI 是一个很好的解决方案。

A. 正确 B. 错误

32. 在IAM 中设置权限时，AWS 在大多数情况下推荐以下哪种策略？

A. 安全 B. 受管 C. 内联(inline) D. 网络

33. 为了创建允许用户安全连接AWS CLI 和AWS API 的访问密钥，应当使用AWS CLI 的什么命令？

A. aws iam create-security-key B. aws ec2 create-access-key

C. aws iam create-access-key D. aws ec2 create-security-key

34. 以下哪个产品可以用来监控AWS Lambda 函数的调用？

A. AWS CloudTrail B. Amazon CloudWatch

C. AWS Systems Manager D. Amazon GuardDuty

35. 以下哪一项不是Amazon CloudWatch 中的有效状态？

A. ALARM B. OK

C. STANDBY D. INSUFFICIENT_DATA

36. 如果在Amazon CloudWatch中缺少数据点，并且希望确保Amazon CloudWatch

不考虑未捕获的数据点，那么应该选择以下哪个设置？

A. NotBreaching B. Breaching C. Ignore D. Missing

37. 以下哪些选项是AWS Inspector 可以使用的评估方式？(选择两项)

A. 安全评估 B. 网络评估 C. 漏洞评估 D. 主机评估

38. 以下哪项不是Amazon GuardDuty 监控的活动类型？

A. 恶意内部攻击 B. 侦查 C. 实例泄露 D. 账户泄露

39. AWS 网络中最大且最基本的组件是什么？

A. 网络访问控制列表(NACL) B. 子网

C. Virtual Private Cloud(VPC) D. 安全组

40. 以下哪项是AWS 中IPv4 VPC 的有效CIDR 表示法？

A. /26 B. /8 C. /12 D. /29

41. 以下哪项是AWS 中IPv6 VPC 的有效CIDR 符号?

A. /64 B. /32 C. /28 D. /56

42. DNS 使用哪个网络端口进行查询？

A. 123 B. 389 C. 53 D. 88

43. 以下哪一项DNS 记录类型用于将IP 地址解析为主机名？

A. A B. PTR C. CNAME D. NS

44. 以下哪种类型的记录用于将流量路由到AWS 资源，如Amazon S3 存储桶？

A. Alias B. CNAME C. A D. PTR

45. 在CloudFormation 模板中使用了哪些语言？(选择两项)

A. XML B. JavaScript C. JSON D. YAML

46. 在CloudFormation 模板中，哪个组件是唯一必需的组件？

A. 描述 B. 资源

C. 元数据(metadata) D. 参数

47. 如果需要将用户数据传递到CloudFormation 模板中，需要以下哪个内置函数？

A. Fn::Cidr B. Fn::GetAtt

C. Fn::ImportValue D. Fn::Base64

48. 以下哪一个不是Elastic Beanstalk 的3 种架构模型之一？

A. 双实例部署 B. 单实例部署

C. 负载均衡器和自动缩放组 D. 仅自动缩放组

49. 建立Elastic Beanstalk 时，包含构建平台所需的所有配置文件和脚本的zip 文件的名称是什么？

A. 平台定义文件 B. 平台归档

C. 平台配置文件 D. platform.yaml

50. 判断题：平台定义文件的名称是packer.yaml。

A. 正确 B. 错误

评估考试答案

1. B. 区域是AWS 中最大的地理区域。区域可能包含两个或多个可用性区域。

2. D. eu-northeast-1 不是有效区域。欧洲地区只包括中部和西部。虽然不需要记

住考试中的所有区域，但你应该知道有效的名称是什么。us-west-2 是美国西部(俄勒冈州)，cn-north-1 是中国(北京)，ap-northeast-2 是亚太地区(悉尼)。

3. B. 当报告的指标超出定义的阈值时，将发出警报。警报并不一定是坏的，事实上，它们可以用来触发良好的事件。例如，当自动缩放事件中的CPU 使用率超过90%时。

4. C. 事件、规则和目标都是CloudWatch 事件的组件。指标用于衡量CloudWatch中的统计数据，但是CloudWatch 事件是CloudWatch 的一个单独产品。

5. A. 命名空间是在CloudWatch 中收集相关指标的容器。AWS 提供了许多服务，你可以创建自定义命名空间。存储桶使用在Amazon S3 而不是Amazon CloudWatch中。指标容器在AWS 中不是一个实际的东西。容器主机用于支持使用Docker 等软件的容器。

6. D. AWS Organizations 有很多功能。最常用的功能是统一的用户管理、计费以及存储和部署安全策略的中央仓库。它对整合Amazon EC2 实例没有提供帮助。

7. D. AWS Organizations 内部的组织是AWS 账户的集合。IAM 用户账户仍在IAM中管理。在这种情况下，组织不是相互关联的网络或业务的集合。

8. B. AWS 账户在AWS Organizations 中被分为组织单位。这些组织单位通常用于对相似资源(如生产OU 和开发OU)进行分组。

9. B. AWS Config 同时为AWS 系统和本地数据中心系统提供配置管理。Amazon Inspector 用于漏洞评估。AWS Organizations 用于合并账单、账户和策略。AWS Systems Manager 不执行配置管理，尽管它的确与AWS 配置有关联。

10. B. AWS Config 中的规则用于决定所需或允许的配置是什么。如果某个规则被破坏，则说明某些配置不正确。规则并未指定要采取的操作。

11. B. 在一个AWS 账户中，在AWS Config 中可创建多达50 个自定义规则。

12. B. 在AWS CloudTrail 中，追踪表示要记录哪些事件以及将它们存储在哪里。

日志通常存放在Amazon S3 存储桶中。

13. A. 默认情况下，所有区域追踪都是启用的。你可以对想要AWS CloudTrail追踪的内容进行更改，这些设置将应用于所有区域。默认情况下，AWS CloudTrail只记录管理事件，因此还需要选择记录数据事件。

14. B，D. 对于创建追踪的管理员需要AWSCloudTrailFullAccess 权限，需要查看追踪的用户和存储日志数据的S3 桶需要AWSCloudTrailReadOnlyAccess 权限。

15. B. Amazon RDS 的默认设置不一定具备成本效益。最好调整设置以满足你的具体用例。

16. D. Amazon RDS 包含一个支持Multi-AZ 的配置选项。它在另一个可用性区域中创建一个备用实例，在主实例出现故障时可以接管该实例。创建数据库时必须选择它。

17. A. Multi-AZ 用于灾难恢复，因为备用实例不会占用任何数据流量，除非主实例发生意外。读副本用于提高读取性能。

18. C. 当自动缩放组中的实例处于服务中状态时，会对这些实例进行健康检查。

19. B. 启动配置没有设置主机名。启动配置通常包含用于实例的AMI ID、实例类型、连接实例所需的密钥对、实例的安全组以及需要连接的存储驱动器。

20. B. VPC 伙伴节点使用非转递信任。信任必须在VPC 之间通过手动设置。

21. A. 堡垒主机必须由互联网访问，因此它必须位于公有子网中。

22. D. 为了让AWS Systems Manager 监控、安装软件或配置系统，必须在系统上安装SSM 代理。除了AWS 系统以外的本地系统上的Windows 和Linux 都受支持。

23. C. AWS 系统管理器有3 种有效的文档类型：命令、策略和自动化。

24. B, C. Amazon Glacier 和Amazon S3 都是对象存储的类型。对象存储将条目存储为对象，这些对象都可以通过API 访问。

25. C. 存储在S3 中的对象大小可达5 TB。

26. A. 美国东部(北弗吉尼亚州)被称为us-east-1，它使用的是s3.amazonaws.com的区域。所有其他区域都在s3 URL 中明确标识。例如，us-east-2 使用URL s3.us-east-2.amazonaws.com。

27. D. Amazon EBS 是AWS 提供的块存储解决方案。

28. A. 要防止在EC2 实例终止时删除根卷(默认行为)，必须将“终止时删除”标志设置为假(false)。

29. B. 在所有EBS 存储选项中， 供给型IOPS SSD(固态硬盘)提供了最高数量的IOPS。

30. D. AMI 有3 种可访问性类型：公有、共享和私有。公有可供所有人使用，共享可供已被授予访问权限的AWS 账户使用，私有仅可供AMI 所在的AWS 账户使用。

31. B. 实例支持的AMI 适用于短期工作负载。实例终止时存储将被销毁。当需要在实例终止后保持存储时，使用EBS 支持的AMI。

32. B. AWS 建议可用于多个用户、组和/或角色的受管策略。

33. C. 在AWS CLI 中，可以使用命令aws iam create-access-key 为用户创建访问密钥。

34. A. AWS CloudTrail 可用于监控AWS Lambda 事件，包括函数调用。

35. C. Amazon CloudWatch 有3 种有效的报警状态。它们是ALARM、OK、AWS 系统管理员学习指南(第2 版·SOA-C01)INSUFFICIENT_DATA。

36. D. 如果使用了“Missing”，Amazon CloudWatch 在决定是否应更改报警状态时，不会考虑丢失的数据点。

37. B, D. AWS Inspector 提供网络评估和主机评估。网络评估不需要安装代理；但是，主机评估需要安装Amazon Inspector 代理。

38. A. AmazonGuardDuty 对恶意内部攻击不进行监控，但会识别特定的可疑活动，如病毒安装。Amazon GuardDuty 监控侦查活动、实例泄露和账户泄露。

39. C. Virtual Private Cloud(VPC)是AWS 网络最大且最基本的组成部分。VPC 中包含子网、NACL 和安全组。

40. A. IPv4 VPC 地址介于/16 和/28 之间。

41. D. 虽然IPv4 VPC 可以使用不同网络大小的范围，但IPv6 VPC 只能使用/56。

42. C. 正常的DNS 查询使用UDP/53，而IPv6 或DNSSEC 签名查询使用TCP/53。

123 是NTP 的端口，389 是LDAP 端口，88 是Kerberos 端口。

43. B. PTR 记录用于将IP 地址解析为主机名。

44. A. 在AWS 中，别名记录用于将数据流路由到AWS 资源。它很容易与CNAME记录混淆，在AWS 中，它们执行两个独立的功能。

45. C, D. CloudFormation 模板可以用JSON 或YAML 编写。

46. B. 虽然在CloudFormation 模板中可以使用多个组件，但只有资源是唯一必需的组件。

47. D. 当用户数据传递到CloudFormation 模板时，它必须以Base64 进行编码。

因此需要使用Fn::Base64 函数。

48. A. 双实例部署与Elastic Beanstalk 架构模型不能一起使用。

49. B. 平台归档文件是一个zip 文件，它包含在Elastic Beanstalk 中构建平台所需

的所有配置文件和脚本。

50. B. 平台定义文件名为platform.yaml。