Simulado para certificação Certificação AWS Solutions Architect Associate SAA-C03

Explicação: Análise de requisitos: Necessita de conectividade direta e segura de um cliente local para um cluster RDS, acessível somente quando estiver no escritório. VPC com sub-redes privadas: garante que o cluster RDS não seja acessível publicamente, aumentando a segurança. VPN site a site: fornece conexão segura e criptografada entre o escritório local e o AWS VPC. Implementação: crie uma VPC com duas sub-redes privadas. Inicie o cluster RDS nas sub-redes privadas. Configure uma conexão VPN site a site com um gateway do cliente no escritório. Conclusão: Esta configuração garante conectividade segura e direta com exposição mínima, atendendo aos requisitos de acesso seguro a partir do escritório. Referência AWS Site-to-Site VPN:Documentação do AWS Site-to-Site VPN Amazon RDS:Documentação do Amazon RDS

Explicação: A melhor solução é usar o Amazon SQS para receber atualizações do aplicativo móvel e processá-las com uma função AWS Lambda. A função Lambda pode reescrever o corpo da mensagem conforme necessário para cada remetente e depois publicar as atualizações no tópico SNS apropriado para distribuição. Essa configuração garante que cada remetente receba apenas os dados relevantes e minimiza a sobrecarga operacional usando serviços gerenciados. Opção A (política de filtro SNS): o SNS não tem a capacidade de reescrever o corpo das mensagens antes de encaminhá-las. Opção C (Segundo tópico SNS): Usar um tópico SNS adicional adiciona complexidade desnecessária sem resolver o requisito de reescrita de mensagens. Opção D (EventBridge Pipes): EventBridge Pipes é mais complexo do que o necessário para este caso de uso e o Lambda pode lidar com a lógica com mais eficiência. Referência da AWS: Amazon SQS Amazon SNS com Lambda

Explicação: Amazon CloudWatch Container Insights foi projetado para monitorar ambientes em contêineres como EKS. Ele fornece suporte nativo para coleta e visualização de métricas e logs em um local centralizado por meio de painéis do CloudWatch, oferecendo a solução operacionalmente mais eficiente. Opção A: O uso do agente CloudWatch fornece métricas básicas, mas não possui os insights específicos necessários para aplicativos em contêineres. Opção B: Kinesis Data Streams e Firehose adicionam complexidade desnecessária para este caso de uso. A opção C:CloudTrail é para auditoria de atividades de API e não foi projetada para métricas de aplicativos e agregação de logs. Referência da documentação da AWS: Amazon CloudWatch Container Insights

Explicação: Funções IAM para contas de serviço (IRSA): IRSA permite associar uma função IAM a uma conta de serviço Kubernetes. Isso permite que os pods assumam a função do IAM e acessem os recursos da AWS com segurança. Anotando contas de serviço: ao anotar contas de serviço do Kubernetes com o ARN da função IAM, você estabelece a associação necessária para IRSA. Provedor de identidade OIDC: os clusters EKS usam OpenID Connect (OIDC) para autenticar contas de serviço. Configurar uma relação de confiança entre a função IAM e o provedor OIDC permite que a conta de serviço do Kubernetes assuma a função IAM.

Explicação: O AWS Global Accelerator é um serviço que melhora a disponibilidade e o desempenho de aplicativos globais usando a rede global da AWS. Ele oferece suporte aos protocolos TCP e UDP e fornece roteamento otimizado e menor latência para aplicações em tempo real, como VoIP, independentemente de onde o usuário esteja localizado globalmente. Extrato de documentação da AWS: "O AWS Global Accelerator usa a rede global da AWS para otimizar o caminho para os endpoints do seu aplicativo, melhorando o desempenho do tráfego TCP e UDP, como VoIP." (Fonte: documentação do AWS Global Accelerator) B: O CloudFront acelera conteúdo HTTP/S, não TCP/UDP. C: O roteamento de geoproximidade Route 53 é para roteamento baseado em DNS, não para aceleração de tráfego. D: Os balanceadores de carga de rede oferecem suporte a TCP/UDP, mas não abordam a latência global nem fornecem aceleração. Referência: Guia de estudo oficial do AWS Certified Solutions Architect, Otimização de rede.

Explicação: Para melhorar a disponibilidade e a tolerância a falhas de uma instância do Amazon RDS, a abordagem recomendada é configurar uma implantação Multi-AZ. As implantações Multi-AZ para RDS replicam automaticamente os dados para uma instância de espera em uma zona de disponibilidade (AZ) diferente. Se ocorrer uma falha na AZ primária (devido a hardware, rede ou energia), o RDS fará failover automaticamente para a instância em espera com tempo de inatividade mínimo, sem intervenção administrativa. Este é um recurso gerenciado pela AWS e não requer modificação do aplicativo. Não fornece escalabilidade ou balanceamento de carga; ele foi projetado para alta disponibilidade e resiliência. As opções A, B e D estão incorretas: A refere-se a várias regiões, que é usada para recuperação de desastres, não para alta disponibilidade. B e D com SQS não abordam a alta disponibilidade diretamente para a instância RDS; as filas ajudam a desacoplar os sistemas, mas não tornam o banco de dados mais resiliente. Referência: implantações Amazon RDS Multi-AZ

Explicação: O armazenamento durável de pedidos recebidos com buffer e capacidade de lidar com surtos é exatamente o objetivo do Amazon SQS. O SQS fornece filas altamente duráveis ​​e escalonáveis ​​que separam produtores de consumidores. O rastreamento centralizado das etapas do fluxo de trabalho é um caso de uso central do AWS Step Functions, que fornece um fluxo de trabalho visual e uma máquina de estado, rastreia o estado de cada pedido e pode orquestrar chamadas para vários microsserviços (neste caso, funções Lambda). A combinação de SQS + Step Functions + Lambda fornece: Enfileiramento durável para pedidos (SQS). Acoplamento fraco e tratamento de surtos (desacoplamento SQS + escalonamento automático Lambda). Orquestração central e rastreamento de etapas de processamento de pedidos (Step Functions). Por que as outras opções não estão corretas: R: O SNS é um serviço de publicação/assinatura, não uma fila de trabalho durável, e não foi projetado para cargas de trabalho do tipo "armazenar e tentar novamente até ser processado" da mesma forma que o SQS. C: SQS + EventBridge fornece dissociação, mas nenhum rastreamento de fluxo de trabalho central e com estado; EventBridge é roteamento de eventos, não orquestração de fluxo de trabalho. D: SNS + EventBridge ainda carece de armazenamento durável de pedidos e fluxo de trabalho centralizado explícito/rastreamento de estado.

Explicação: À medida que o número de VPCs aumenta, o gerenciamento de conexões VPC individuais se torna complexo e não escalonável. O AWS Transit Gateway foi projetado especificamente para atuar como um hub central que conecta várias VPCs e redes locais por meio do Direct Connect. A opção B simplifica a arquitetura de rede, permitindo que centenas ou milhares de VPCs se conectem por meio de um único gateway, reduzindo a complexidade do roteamento e a sobrecarga operacional. O Transit Gateway oferece suporte a roteamento escalável, inspeção centralizada e expansão simplificada. As outras opções não abordam a conectividade de rede ou os desafios de escalabilidade. Portanto, B é a solução correta.

Explicação: O melhor design é desacoplar os dois estágios com filas SQS e dimensionar cada grupo do Auto Scaling com base na profundidade da fila. O Amazon SQS fornece armazenamento durável de mensagens, para que os pedidos não sejam perdidos se uma camada de processamento for dimensionada lentamente ou ficar temporariamente para trás. A AWS recomenda o escalonamento baseado em fila quando produtores e consumidores operam em velocidades diferentes. O monitoramento da CPU por si só não reflete com precisão o backlog de negócios, mas o comprimento da fila representa diretamente o trabalho pendente. O uso de duas filas também permite que a empresa dimensione a coleta e o atendimento de forma independente, o que é importante porque o atendimento leva mais tempo do que a coleta. Este é o padrão mais resiliente e escalável para tráfego de pedidos variáveis. ============

Explicação: Amazon Neptune: Neptune é um serviço de banco de dados gráfico totalmente gerenciado, otimizado para armazenar e consultar dados altamente conectados. Ele oferece suporte a modelos de gráficos de propriedades e gráficos RDF, tornando-o adequado para aplicativos que precisam analisar relacionamentos entre entidades de dados. Neptune Streams: Neptune Streams captura alterações no gráfico e transmite essas alterações para outros serviços da AWS. Isso é útil para aplicativos que precisam monitorar e responder a mudanças em tempo real, como fornecer recomendações com base nas interações e relacionamentos do usuário. Menor sobrecarga operacional: usar o Neptune Streams diretamente com o Amazon Neptune garante que a solução seja totalmente integrada, reduzindo a necessidade de componentes adicionais e minimizando a sobrecarga operacional. Essa integração simplifica a arquitetura, eliminando a necessidade de um serviço separado como o Kinesis para processamento de alterações. Referência: Documentação do Amazon Neptune Documentação do Neptune Streams

Explicação: Para um aplicativo que requer comunicação TCP e alta disponibilidade: O Network Load Balancer (NLB) é a melhor opção para balanceamento de carga do tráfego TCP porque foi projetado para lidar com conexões de alto rendimento e baixa latência. O grupo Auto Scaling garante que o aplicativo possa escalar automaticamente com base na demanda, adicionando ou removendo instâncias do EC2 conforme necessário, o que é crucial para lidar com o crescimento do usuário. Opção C (Application Load Balancer): ALB é principalmente para tráfego HTTP/HTTPS, não é ideal para TCP. Opção D (escalonamento manual): adicionar instâncias manualmente não fornece a automação ou escalabilidade necessária. Opção E (Gateway Load Balancer): GLB é usado para dispositivos virtuais de terceiros, não para balanceamento de carga direto de aplicativos. Referência da AWS: Grupo de Auto Scaling do Network Load Balancer

Explicação: A rotação automática de chaves do AWS KMS é a solução mais simples e operacionalmente mais eficiente. A ativação da rotação automática de chaves garante que o KMS gere automaticamente novo material de chave para a chave todos os anos, sem exigir intervenção manual. Opção B: Configurar alertas para rotação de chaves introduz sobrecarga operacional, pois a rotação real ainda deve ser gerenciada manualmente. Opção C: programar uma função Lambda para girar chaves adiciona complexidade desnecessária em comparação com a ativação da rotação automática de chaves. Opção D: usar uma pilha CloudFormation para executar uma função Lambda para rotação de chaves aumenta a sobrecarga operacional e a complexidade desnecessariamente. Referência da documentação da AWS: Rotação de chaves do AWS KMS usando chaves gerenciadas pelo cliente com Amazon RDS

Explicação: Para cargas de trabalho em que as tarefas são independentes e podem ser processadas em paralelo e em que minimizar a sobrecarga de gerenciamento é uma prioridade, uma arquitetura sem servidor usando AWS Lambda é ideal. O AWS Lambda permite executar código sem provisionar ou gerenciar servidores. Ele dimensiona automaticamente seu aplicativo executando código em resposta a cada gatilho. Processamento paralelo: as funções Lambda podem processar várias tarefas simultaneamente, tornando-as adequadas para cargas de trabalho paralelas. Escalabilidade automática: o Lambda escala automaticamente executando código em resposta a cada evento, escalando precisamente com o tamanho da carga de trabalho. Despesas mínimas de gerenciamento: com o Lambda, não há necessidade de gerenciar a infraestrutura subjacente, reduzindo a complexidade operacional.Referência da Wikipedia: AWS Lambda Execute código sem pensar em servidores Práticas recomendadas para projetar e arquitetar com AWS Lambda

Explicação: R: O Amazon Macie pode verificar buckets S3 em busca de dados confidenciais e identificar PII. C: A retenção legal do S3 Object Lock impede a exclusão do objeto até que uma revisão seja concluída, atendendo aos requisitos de conformidade. E: O EventBridge pode acionar a função Lambda automaticamente quando o Macie detecta dados confidenciais, criando um fluxo de trabalho automatizado. Extrato de documentação da AWS: "O Amazon Macie descobre, classifica e protege automaticamente dados confidenciais na AWS. Você pode usar o EventBridge para invocar uma função Lambda para pós-processamento, como aplicar retenção legal de bloqueio de objeto a objetos sinalizados." (Fonte: documentação do AWS Macie e S3 Object Lock) B, D: Migrar para o Glacier Deep Archive ou aplicar retenção no modo de governança não é específico para prevenção de exclusão com revisão pendente. F: MFA Delete adiciona uma camada de segurança, mas não automatiza a retenção de objetos para PII sinalizados. Referência: Guia de estudo oficial do AWS Certified Solutions Architect, conformidade com S3 e proteção de dados.

Explicação: A melhor solução para consultar e filtrar dados do S3 diretamente, sem fazer download do objeto completo, é usar o Amazon Athena. O Amazon Athena é um serviço de consulta interativo que permite usar SQL para analisar dados estruturados, semiestruturados e não estruturados diretamente no Amazon S3, sem a necessidade de mover ou transformar os dados. Ele oferece suporte a formatos como CSV, JSON, ORC, Parquet e Avro e integra-se ao AWS Glue Data Catalog para gerenciamento de esquemas. O Athena não tem servidor, o que significa que não há infraestrutura para gerenciar, e é cobrado por consulta, o que o mantém econômico. A opção B (EMR) é mais pesada e requer o gerenciamento de um cluster. A opção C (API Gateway) não é adequada para consultar conjuntos de dados S3. A opção D (ElastiCache) é um armazenamento de memória, não um mecanismo de consulta. Referência: O que é Amazon Athena?