AWS Certified Developer Associate
Zuletzt überprüft: Mai 2026
Eine übersichtliche Referenz der Architekturmuster, die in der DVA-C02-Prüfung getestet werden. Von oben nach unten lesen oder zu einem Abschnitt springen.
Stabiles Aufrufziel, während Sie neuen Lambda-Code bereitstellen.
Veröffentlichen Sie nummerierte, unveränderliche Versionen; legen Sie einen Alias offen, der auf eine Version verweist. Aufrufer rufen den Alias ARN auf.
Warum: Versionen sind eingefrorene Snapshots von Code + Konfiguration; Aliase bieten eine Indirektion, sodass Aufrufer niemals `$LATEST` direkt aufrufen.
Schrittweise Einführung einer neuen Lambda-Version mit automatischem Rollback bei Fehlern.
Alias mit gewichtetem Versions-Routing (z.B. 90/10). CodeDeploy `LambdaCanary10Percent5Minutes` oder `LambdaLinear*` verschiebt den Traffic und überwacht CloudWatch-Alarme.
Warum: Die integrierte Traffic-Verschiebung + alarmgesteuertes Rollback eliminieren handcodierte Canary-Logik.
Konfiguration (DB-URL, Feature-Flags) ohne erneute Bereitstellung injizieren.
Lambda-Umgebungsvariablen. Ruhend KMS-verschlüsselt; verweisen Sie auf einen benutzerdefinierten CMK für zusätzliche Verschlüsselung während der Übertragung beim Abruf.
NumPy / pandas / gemeinsame Laufzeit über viele Lambdas hinweg teilen.
Als Lambda Layer paketieren; bis zu 5 Layer pro Funktion, insgesamt 250 MB entpackt. Versionierter ARN pro Layer.
Latenzempfindliche synchrone Lambda — keine Kaltstarts erlaubt.
Bereitgestellte Parallelität (Provisioned Concurrency) auf dem Alias. Initialisiert N Ausführungsumgebungen vorab; Bezahlung pro GB-Sekunde.
Warum: Eliminiert Kaltstarts zu vorhersehbaren Kosten. Konfigurieren Sie die Anwendungs-Auto-Skalierung auf dem Alias, um sich an die Last anzupassen.
Java- oder Python-Lambda mit aufwendigem Initialisierungscode; schneller Kaltstart erforderlich, ohne für Provisioned Concurrency zu bezahlen.
SnapStart für eine veröffentlichte Version aktivieren. AWS erstellt einen Snapshot der initialisierten Laufzeit und setzt von dort fort.
Warum: Kostenlos für Java; Kosten pro Wiederherstellung für Python/.NET. Reduziert Kaltstarts von Sekunden auf <1s ohne Leerlaufkosten.
Lambda muss einen Kinesis-Stream / DynamoDB Stream / SQS-Warteschlange / MSK-Topic konsumieren.
Ereignisquellen-Mapping (Pull-basiert). Lambda pollt; Batch-Größe + maximales Batching-Fenster optimieren Durchsatz vs. Latenz. Fehler → DLQ über On-Failure-Ziel.
Warum: Für Pull-Quellen kann der Dienst Lambda nicht direkt aufrufen; das Mapping ist Lambdas Polling-Adapter.
Asynchrones Lambda-Erfolgs-/Fehler-Routing ohne Lambda DLQ.
OnSuccess / OnFailure Ziele an der Funktion. Ziele: SNS, SQS, EventBridge, eine andere Lambda. Enthält den Aufrufkontext.
Warum: Ziele erfassen das vollständige Ereignis + die Antwort; die alte DLQ erfasst nur die Ereignis-Payload.
Wählen Sie den API Gateway-Typ für eine neue REST-API aus.
HTTP API: günstiger, schneller, JWT-Authentifizierung integriert, einfacher. REST API: volle Funktionalität (Mapping-Vorlagen, Anfrage-Validatoren, WAF, private Endpunkte, X-Ray, API-Caching).
Warum: Standardmäßig HTTP API verwenden, es sei denn, Sie benötigen eine reine REST-Funktion. WebSocket APIs sind ein separates Produkt für zustandsbehaftete Echtzeit-Anwendungen.
API-Änderungen von Entwicklung → Test → Produktion befördern, ohne separate APIs erneut bereitzustellen.
Stages auf einer einzigen API. Eine Stage bereitstellen, um sie zu veröffentlichen; Stage-Variablen speichern umgebungsspezifische Werte wie Lambda-Aliasnamen.
Backend Lambda erwartet eine andere Form als das, was der Client sendet.
Anfrage-/Antwort-Mapping-Vorlage (nur REST API). VTL mit `$input`, `$context`, `$util` zur JSON-Transformation.
Warum: Mapping-Vorlagen laufen in API Gateway – kein zusätzlicher Lambda-Hop, keine zusätzliche Latenz oder Kosten.
Ein benutzerdefiniertes Token (nicht Cognito, nicht IAM) validieren, bevor die Anfrage weitergeleitet wird.
Lambda-Authorizer. TOKEN-Typ liest einen Header; REQUEST-Typ liest den vollständigen Anfragekontext. Gibt IAM-Richtlinie + principalId zurück. Pro Identität für TTL gecacht.
Ein Cognito User Pool JWT bei jeder Anfrage validieren.
Cognito User Pool Authorizer (REST) oder JWT-Authorizer (HTTP). API Gateway validiert das Token; kein Lambda erforderlich.
Warum: Native Validierung ist billiger und schneller als ein Lambda-Authorizer für den gängigen JWT-Fall.
Drosselung/Kontingentierung eines Partner-API-Konsumenten.
Nutzungsplan + API-Schlüssel. Der Plan verknüpft Schlüssel mit einer Stage mit Ratenbegrenzung (Anfragen/Sekunde) + Burst + Kontingent (Anfragen/Tag oder Monat).
Backend-Last für wiederholte GET-Anfragen reduzieren.
Cache auf Stage-Ebene (REST API). TTL konfigurierbar; Cache-Schlüssel abgeleitet von Methode + Pfad + ausgewählten Abfrage-/Header-Parametern.
Ein Element nur aktualisieren, wenn eine Vorbedingung erfüllt ist (z.B. status == "PENDING").
PutItem/UpdateItem mit `ConditionExpression`. Fehler führt zu `ConditionalCheckFailedException`.
Warum: Serverseitige Überprüfung vermeidet Read-Modify-Write-Race Conditions ohne Sperren.
Alles-oder-Nichts über mehrere DynamoDB-Elemente hinweg.
`TransactWriteItems` / `TransactGetItems`. Bis zu 100 Elemente / 4 MB; 2× die WCU/RCU-Kosten normaler Schreib-/Leseoperationen.
Einen Zähler inkrementieren, ohne Read-Modify-Write.
UpdateExpression `ADD count :inc`. Der Server wendet das Delta atomar an.
Einen großen Abfrage-/Scan-Ergebnissatz durchlaufen.
`LastEvaluatedKey` aus der Antwort → `ExclusiveStartKey` beim nächsten Aufruf, bis nicht mehr vorhanden. Begrenzung über den `Limit`-Parameter.
Zusätzliches Zugriffsmuster über den Primärschlüssel hinaus erforderlich.
GSI: alternativer Partition + Sortierschlüssel, eventually consistent, separate Kapazität, kann jederzeit hinzugefügt werden. LSI: gleicher Partitionsschlüssel, alternativer Sortierschlüssel, Option für starke Konsistenz, muss bei der Tabellenerstellung erstellt werden.
Nur Elemente indizieren, die ein bestimmtes Attribut haben (z.B. nur ACTIVE Bestellungen).
Sparse-Index: das Attribut bei Elementen weglassen, die ausgeschlossen werden sollen. Elemente ohne das indizierte Attribut erscheinen nicht im GSI/LSI.
Viele Elemente in großen Mengen lesen/schreiben.
`BatchGetItem` (bis zu 100 Elemente / 16 MB) und `BatchWriteItem` (bis zu 25 Elemente / 16 MB). Nicht atomar; Teilerfolge werden in `UnprocessedItems` zurückgegeben.
Verhinderung von verlorenen Aktualisierungen durch gleichzeitige Schreiber.
Versionsattribut + `ConditionExpression: version = :v`. Fehlgeschlagene Schreibvorgänge versuchen es durch erneutes Lesen erneut.
Downstream-Aktionen bei jeder DynamoDB-Änderung auslösen.
DynamoDB Streams + Lambda-Ereignisquellen-Mapping. Stream-Ansicht: NEW_IMAGE / OLD_IMAGE / NEW_AND_OLD_IMAGES / KEYS_ONLY.
Browser lädt/herunterlädt direkt zu S3, ohne dass Ihr Server Bytes proxyt.
SDK `getSignedUrl` für GET oder PUT. Ablauf bis zu 7 Tage, wenn vom IAM-Benutzer signiert (sigv4); kürzer für rollenbasierte Sitzungen.
Warum: Entlastet Bandbreite von Ihrem Backend; URL ist eine temporäre Fähigkeit, die auf ein Objekt + Methode beschränkt ist.
Eine große Datei (≫100 MB) zuverlässig vom SDK hochladen.
`CreateMultipartUpload` → parallel `UploadPart` → `CompleteMultipartUpload`. Der High-Level-Transfer-Manager des SDK handhabt die Teilgröße automatisch.
Warum: Erforderlich >5 GB; empfohlen ≥100 MB. Fehlgeschlagene Teile werden unabhängig erneut hochgeladen. Legen Sie den Lebenszyklus fest, um unvollständige Multi-Part-Uploads abzubrechen und Speicherplatz zurückzugewinnen.
Code ausführen, wenn ein Objekt in S3 erstellt/gelöscht wird.
S3-Ereignisbenachrichtigungen → Lambda / SNS / SQS / EventBridge. Nach Präfix und Suffix filtern.
Browser-App ruft von S3 über verschiedene Ursprünge ab (`fetch('https://bucket.s3...')`); CORS-Preflight schlägt fehl.
CORS-Regeln für den Bucket konfigurieren: erlaubte Ursprünge, Methoden (GET/PUT), Header und offengelegte Header.
Zeilen aus einem 50 GB CSV-/JSON-/Parquet-Objekt filtern, ohne es herunterzuladen.
S3 Select mit SQL. Gibt nur übereinstimmende Zeilen zurück; Bezahlung für Scan + zurückgegebene Bytes.
Einen Benutzer von einem öffentlichen Mobil-/Web-Client anmelden, ohne das Passwort zu senden.
Cognito User Pool mit `USER_SRP_AUTH`-Fluss. Client berechnet SRP-Nachweis; Backend sieht das Passwort nie. Gibt ID + Zugriffs- + Refresh-Tokens zurück.
Verbundener Benutzer (Google/Apple/Cognito UP) benötigt temporäre AWS-Anmeldeinformationen, um AWS-APIs direkt von einer mobilen App aufzurufen.
Cognito Identity Pool. Tauscht Identitätsprovider-Token → IAM-Rolle → temporäre AWS-Anmeldeinformationen über STS.
Warum: User Pools authentifizieren Benutzer; Identity Pools autorisieren sie für AWS-Ressourcen.
Wählen Sie einen Step Functions-Workflow-Typ aus.
Standard: langlaufend (≤1 Jahr), genau einmal, 0,025 $/1k Übergänge, vollständige Historie. Express: ≤5 Min., mindestens einmal oder höchstens einmal, Abrechnung pro Anfrage + Dauer; für hohe Volumina ETL/Streaming.
Workflow-Schritt schlägt fehl; Wiederholung mit Backoff und Weiterleitung an einen Wiederherstellungszustand erwünscht.
`Retry`-Array (pro Zustand, mit `BackoffRate` + `MaxAttempts`) und `Catch` für die Weiterleitung bei terminalem Fehler. Abgleich nach `ErrorEquals` (z.B. `States.TaskFailed`, benutzerdefinierte Fehlernamen).
Den gleichen Workflow auf jedes Element in einem Array anwenden, mit Parallelitätsbegrenzung.
Map-Zustand mit `ItemsPath` und `MaxConcurrency`. Distributed Map verarbeitet mehr als 10.000 Elemente mit S3-gestützter Eingabe.
Lambda entweder nach einem Cron-Zeitplan oder passenden eingehenden Ereignissen auslösen.
EventBridge-Regel. Zeitplan: `rate(...)` oder `cron(...)`. Muster: JSON-Ereignisfilter; Abgleich nach Quelle, Detailtyp, Detailfeldern.
Ereignisse von SQS / Kinesis / DynamoDB Streams / MSK an ein Ziel weiterleiten, mit optionalem Filter + Transformation.
EventBridge Pipes. Quelle → Filter → Anreicherung (Lambda/Step Functions) → Ziel. Kein Lambda für die einfachen Fälle erforderlich.
Nachrichten streng in der Reihenfolge pro Kunde verarbeiten, mit Deduplizierung.
SQS FIFO-Warteschlange. `MessageGroupId` partitioniert die Reihenfolge (Parallelität pro Gruppe); `MessageDeduplicationId` (oder inhaltsbasierte Deduplizierung) löscht Duplikate innerhalb von 5 Minuten.
Konsument ruft eine Nachricht ab, stürzt aber vor dem Löschen ab.
Nachricht für VisibilityTimeout Sekunden verborgen, dann zur erneuten Zustellung wieder sichtbar. Abgestimmt auf die längste erwartete Verarbeitungszeit + Puffer.
Warum: Zu kurz → doppelte Verarbeitung. Zu lang → langsame Wiederherstellung bei Absturz. ChangeMessageVisibility verlängert die In-Flight-Zeit bei Bedarf.
Ein Ereignis muss mehrere Konsumenten erreichen (Lambdas / SQS-Warteschlangen / HTTP-Endpunkte).
SNS-Topic mit mehreren Abonnenten. Abonnement-Filterrichtlinien leiten nur übereinstimmende Nachrichten pro Abonnent weiter.
Kinesis Data Streams-Kapazität für Schreibdurchsatz optimieren.
Jeder Shard = 1 MB/s oder 1000 Datensätze/s hinein, 2 MB/s heraus. Shards hinzufügen (teilen) oder On-Demand-Modus für Auto-Skalierung verwenden.
Code auf EC2 / ECS-Task / Lambda benötigt AWS-Zugriff — keine eingebetteten Schlüssel.
Eine IAM-Rolle über ein Instance Profile (EC2) oder eine Task-/Ausführungsrolle (ECS/Lambda) zuweisen. Das SDK ruft temporäre Anmeldeinformationen vom Metadaten-Dienst ab; rotiert automatisch.
Cross-Account-Zugriff vom App-Code oder CLI.
`sts:AssumeRole` vom aufrufenden Principal. Die Vertrauensrichtlinie der Zielrolle listet den Aufrufer als `Principal` auf. Gibt temporäre Anmeldeinformationen zurück (max. 12 Stunden).
Cross-Account AssumeRole schlägt fehl — Berechtigung scheint korrekt zu sein.
Beides muss gesetzt sein: Die Vertrauensrichtlinie der Zielrolle listet den Aufrufer als Principal auf; die Identitätsrichtlinie des Aufrufers erlaubt `sts:AssumeRole` auf dem Zielrollen-ARN.
Warum: Vertrauen = wer annehmen darf. Berechtigung = was sie tun können, sobald sie angenommen wurde. Wenn beides fehlt → AccessDenied.
Richtlinie, die Benutzern nur Zugriff auf ihren eigenen Ordner in S3 gewährt.
Verwenden Sie `${aws:username}` oder `${aws:PrincipalTag/X}` in Ressourcen-ARNs: `arn:aws:s3:::bucket/${aws:username}/*`.
Einem Team erlauben, IAM-Rollen selbst zu verwalten, aber die Berechtigungen, die sie vergeben können, begrenzen.
Berechtigungsbegrenzungsrichtlinie für die Erstellerrolle des Teams. Jede Rolle, die sie mit der Begrenzung erstellen, hat die Schnittmenge aus Identitätsrichtlinie + Begrenzung als effektive Berechtigungen.
Eine Aktion nach Quell-IP / VPC / Region / MFA einschränken.
Richtlinien `Condition`: `aws:SourceIp`, `aws:SourceVpc`, `aws:SourceVpce`, `aws:RequestedRegion`, `aws:MultiFactorAuthPresent`.
SPA / Mobilclient vs. serverseitiger Dienst, der Cognito aufruft.
Öffentliche Clients (SPA, mobil) → App-Client ohne Geheimnis. Vertrauliche Clients (Server) → App-Client mit Geheimnis; Client muss `SECRET_HASH` (HMAC von Benutzername + ClientId) enthalten.
Unterscheiden Sie Cognito ID Token vs. Access Token vs. Refresh Token.
ID = Benutzeridentitäts-Claims (auf dem Client konsumieren). Access = bereichsbezogene Autorisierung für APIs. Refresh = neue ID-/Access-Tokens erhalten. Alle JWTs außer Refresh.
Plug-in-Anmelde-/Registrierungs-UI ohne Formularerstellung.
Cognito Hosted UI. OAuth2-Autorisierungscode-Fluss: Umleitung zu `/oauth2/authorize` → Callback-URL mit `code` → Austausch bei `/oauth2/token`.
Ein kleines Geheimnis (≤4 KB) direkt mit KMS verschlüsseln.
`kms:Encrypt` gibt einen Chiffretext-Blob zurück, der den Schlüssel-ARN enthält. `kms:Decrypt` stellt den Klartext wieder her, wenn der Aufrufer die Berechtigung hat und (falls angegeben) der `EncryptionContext` übereinstimmt.
Große Daten mit KMS verschlüsseln, ohne das 4 KB direkte Verschlüsselungslimit zu erreichen.
Umschlagverschlüsselung (Envelope encryption). `GenerateDataKey` gibt Klartext + verschlüsselten DEK zurück; Daten lokal mit DEK verschlüsseln, verschlüsselten DEK daneben speichern, Klartext-DEK verwerfen.
Warum: KMS erzwingt Zugriffskontrolle auf den kleinen DEK; die Massenverschlüsselung erfolgt lokal mit Leitungsgeschwindigkeit.
Einem anderen Principal zeitlich begrenzten Zugriff auf einen CMK gewähren, ohne die Schlüsselrichtlinie zu bearbeiten.
Ein `kms:CreateGrant`-Grant erstellen, der Operationen + Empfänger festlegt. Mit `RetireGrant` widerrufen.
Einen KMS-Schlüssel indirekt referenzieren, damit der zugrunde liegende CMK ohne Codeänderungen rotiert werden kann.
Verwenden Sie `alias/my-key` (oder `arn:aws:kms:region:acct:alias/my-key`). Aktualisieren Sie den Alias, um auf einen neuen CMK zu zeigen; Konsumenten arbeiten weiter.
Wählen Sie einen Anmeldeinformationsspeicher.
Secrets Manager: integrierte Rotation, native RDS-/Redshift-/DocumentDB-Integration, 0,40 $/Geheimnis/Monat. Parameter Store SecureString: kostenlose Stufe (Standard), keine integrierte Rotation, geschichtete `/app/env/key`-Pfade.
RDS-Anmeldeinformationen automatisch rotieren.
Secrets Manager native Rotation (verwaltete Lambda) für Aurora/RDS/DocumentDB/Redshift. Das Master-/Benutzer-Muster verwendet ein separates Master-Geheimnis, um das Benutzer-Geheimnis zu rotieren.
Einen Konfigurationswert mit KMS-Verschlüsselung im Ruhezustand im Parameter Store speichern.
SecureString-Parametertyp. Geben Sie `--key-id` für einen benutzerdefinierten CMK an; andernfalls wird `aws/ssm` verwendet. Entschlüsseln erfordert `kms:Decrypt` auf dem CMK.
CloudFront-Zugriff auf authentifizierte Benutzer beschränken.
Signierte URLs (einzelne Ressource) oder signierte Cookies (mehrere Ressourcen, SPAs/Streaming). Signieren Sie mit einem CloudFront-Schlüsselpaar, das als öffentlicher Schlüssel in einer CloudFront-Schlüsselgruppe gespeichert ist.
Wählen Sie die S3-Serverseitige Verschlüsselung.
SSE-S3 (verwaltetes AES-256, Standard), SSE-KMS (CMK, Audit über CloudTrail, Schlüsselrichtlinie), SSE-C (vom Kunden bereitgestellte Schlüssel, Sie verwalten), DSSE-KMS (Doppelschicht für hohe Compliance).
Rollen/Richtlinien finden, die Zugriff außerhalb des Kontos gewähren oder zu permissive sind.
IAM Access Analyzer. Ergebnisse zu externen Zugriffen; Richtliniengenerierung aus der CloudTrail-Historie für die Anpassung an das Least-Privilege-Prinzip.
Lambda-Umgebungsvariable enthält einen sensiblen Wert.
Lambda verschlüsselt Umgebungsvariablen standardmäßig im Ruhezustand mit KMS. Für die Steuerung während der Übertragung/Entschlüsselung konfigurieren Sie einen benutzerdefinierten CMK und verwenden Sie die Verschlüsselungshelfer in der Konsole, um vorab verschlüsselten Chiffretext zu versenden.
Browser → API Gateway mit `Authorization`-Header wird durch Preflight blockiert.
OPTIONS-Methode hinzufügen (Mock-Integration). `Authorization` in `Access-Control-Allow-Headers` erlauben; Aufrufer in `Access-Control-Allow-Origin` erlauben.
Eine benutzerdefinierte HTTP-Anfrage an einen AWS-Dienst von Nicht-SDK-Code signieren.
Sigv4: Signierschlüssel aus Geheimnis + Datum + Region + Dienst ableiten; Anfrage kanonisieren; signieren; `Authorization`, `X-Amz-Date`, `X-Amz-Security-Token`-Header hinzufügen.
Eine breite Rolle annehmen, aber für eine bestimmte Sitzung einschränken.
`AssumeRole` mit `Policy` (inline Sitzungsrichtlinie) schränkt die effektiven Berechtigungen weiter ein: Schnittmenge aus Rolle + Sitzungsrichtlinie.
S3-Zugriff verweigert, obwohl die IAM-Richtlinie dies erlaubt.
Sowohl Bucket-Richtlinie als auch Identitätsrichtlinie werden ausgewertet. Ein expliziter Deny an beliebiger Stelle gewinnt. Die Einstellungen für Block Public Access können auch ein Allow überschreiben.
Eine CI/CD-Pipeline aufbauen: Quellcode → Build → Test → Bereitstellung mit manueller Produktionsgenehmigung.
CodePipeline-Phasen, jede mit einer oder mehreren Aktionen. Manuelle Genehmigungsaktion zwischen Test und Bereitstellung. Quelle = CodeCommit / GitHub / S3 / ECR.
Build-Schritte für CodeBuild definieren.
`buildspec.yml` im Repo-Root. Phasen: `install`, `pre_build`, `build`, `post_build`. Ausgaben: `artifacts.files`, `cache.paths`. Umgebungsvariablen über `env.variables` oder Parameter Store/Secrets Manager-Referenzen.
Lambda-Traffic 10 % dann 100 % verschieben mit automatischem Rollback bei Alarmen.
CodeDeploy mit `LambdaCanary10Percent5Minutes` / `10Percent10Minutes` / `10Percent15Minutes` / `10Percent30Minutes`. CloudWatch-Alarme in der DeploymentGroup konfigurieren.
Schrittweise Lambda-Einführung in gleichen Schritten.
`LambdaLinear10PercentEvery1Minute` / `2Minutes` / `3Minutes` / `10Minutes`. Jede Inkrement verschiebt +10% bis 100%.
Blue/Green-Bereitstellung für einen ECS-Dienst hinter einem ALB.
CodeDeploy Compute Platform = ECS. Erstellt grünen Task-Set; ALB verschiebt Listener zur grünen Zielgruppe; optionale manuelle Genehmigung vor Traffic-Switch und vor dem Beenden von Blau.
Eine EC2-Flotte ohne vollständige Flotten-Downtime aktualisieren.
In-Place-Bereitstellung mit `OneAtATime` / `HalfAtATime` / `AllAtOnce`-Konfigurationen. Auto Scaling Group-Hooks pausieren neue Instance-Starts während der Bereitstellung.
Git-Repos innerhalb von AWS mit IAM-gesteuertem Zugriff hosten.
CodeCommit. Authentifizierung: SSH-Schlüssel pro IAM-Benutzer, HTTPS Git-Anmeldeinformationen pro IAM-Benutzer oder AWS CLI-Anmeldeinformationshelfer. Auslöser über SNS / Lambda bei Push.
Ein IaC-Tool für eine Serverless-App auswählen.
CDK: Programmiersprachen (TS/Python/Java/Go/.NET), vollständige App-Konstrukte, Multi-Ressourcen-Muster. SAM: YAML-Erweiterung von CFN, auf Serverless fokussiert, einfacher. Beide kompilieren zu CloudFormation.
Einen Lambda + API Gateway + DynamoDB-Stack mit minimalem YAML definieren.
`Transform: AWS::Serverless-2016-10-31`. Ressourcen: `AWS::Serverless::Function`, `Api`, `SimpleTable`. `sam build` → `sam deploy --guided`.
CDK-Code-Struktur erstellen.
`App` enthält einen oder mehrere `Stack`s. Jeder Stack enthält Konstrukte (L1/L2/L3). `cdk synth` → CFN-Vorlage. `cdk deploy` stellt über CFN bereit.
Wählen Sie das CDK-Konstrukt-Level.
L1 = rohes CFN (`CfnXxx`). L2 = kuratierte Wrapper mit sicheren Standardeinstellungen (am häufigsten). L3 = Muster, die mehrere Ressourcen für vollständige Architekturen kombinieren (z.B. `LambdaRestApi`).
Änderungen vor der Anwendung auf einen CloudFormation-Stack Vorschau anzeigen.
`create-change-set` → JSON von Ergänzungen/Modifikationen/Ersetzungen überprüfen → `execute-change-set`. Ersetzungsaktionen führen zur Neuerstellung von Ressourcen.
Stack-Update schlägt mitten im Prozess fehl.
CloudFormation führt ein automatisches Rollback durch, es sei denn `DisableRollback` ist true. Stecken geblieben in `UPDATE_ROLLBACK_FAILED`? Verwenden Sie `ContinueUpdateRollback` mit `ResourcesToSkip`.
Versehentliche Aktualisierung einer kritischen Ressource (z.B. RDS DB) während Stack-Updates verhindern.
Stack-Richtlinie: JSON, das `Update:Replace` und `Update:Delete` für die logische ID der Ressource verweigert. Umgehung durch explizites Überschreiben bei einer spezifischen Aktualisierung.
Infrastruktur über Stacks hinweg wiederverwenden.
Verschachtelte Stacks (`AWS::CloudFormation::Stack` mit `TemplateURL`) zur Wiederverwendung, die einem übergeordneten Element gehören. Cross-Stack über Outputs + `Fn::ImportValue` für eine engere Kopplung zwischen separaten Stacks.
Einen Parameter Store-Wert oder Secrets Manager-Geheimnis in eine CFN-Vorlage injizieren.
`{{resolve:ssm:/path/to/param}}`, `{{resolve:ssm-secure:/path}}`, `{{resolve:secretsmanager:secret-id:SecretString:json-key}}`. Zur Bereitstellungszeit aufgelöst.
Wählen Sie eine Elastic Beanstalk Bereitstellungsrichtlinie.
All-at-once (schnellste, Ausfallzeit), Rolling (keine zusätzlichen Instanzen, teilweise Kapazität), Rolling with additional batch (kein Kapazitätsverlust, zusätzliche Kosten), Immutable (neues ASG, am sichersten), Blue/Green (separate Umgebung, CNAMEs tauschen).
Elastic Beanstalk-Umgebung anpassen (Pakete, Dateien, Container-Befehle).
`.ebextensions/*.config` YAML im Quellpaket. Neuere Plattformen: `.platform/hooks/...` Shell-Skripte für den Prebuild-/Predeploy-/Postdeploy-Lebenszyklus.
Benötigt ein stabiles, sich niemals veränderndes Lambda-Artefakt.
Eine nummerierte Version veröffentlichen. Code + die meisten Konfigurationen (Speicher, Timeout, Umgebungsvariablen, Layer) frieren ein. `$LATEST` ist veränderlich; nummerierte Versionen sind es nicht.
Ein Docker-Image nach ECR für ECS / EKS / Lambda pushen.
`aws ecr get-login-password | docker login` → `docker tag` → `docker push`. Lambda-Container-Images: Image wird einmal beim Deploy gezogen; getaggtes Image muss in derselben Region sein.
Einen einmaligen Batch-Job vs. einen langlaufenden Webdienst auf ECS ausführen.
RunTask = einzelne Aufgabe, schließt ab und beendet sich. Service = hält N gewünschte Aufgaben aufrecht, startet Fehler neu, integriert sich mit ALB/NLB.
Rechenkosten für fehlertolerante ECS-Workloads senken.
Fargate Spot-Kapazitätsanbieter. Mischung mit regulärem Fargate über Gewichte und Basis. Aufgaben können mit einer 2-Minuten-Warnung unterbrochen werden.
Eine Anfrage nachverfolgen, die sich über Lambda → DynamoDB → externes HTTP verteilt.
X-Ray-Segmente pro Dienst-Hop, Subsegmente für Downstream-Aufrufe. Die Dienstkarte visualisiert Topologie + Latenz. Sampling-Regeln begrenzen das Volumen.
Durchsuchbare vs. Referenzdaten an einen X-Ray-Trace anhängen.
Annotationen: indiziert, in der Konsole filterbar (z.B. `customerId`, `tier`). Metadaten: nicht indiziert, Freitext (Anfragekörper, Antwortkörper zum Debuggen).
X-Ray-Kosten sind in der Produktion hoch.
Benutzerdefinierte Sampling-Regel. Standard: erste 1 Anfrage/s + 5% der zusätzlichen. Regeln stimmen nach Dienst / URL-Pfad / Methode überein.
Lambda-Logs nach Fehlern in der letzten Stunde abfragen, gruppiert nach 5-Minuten-Intervallen.
CloudWatch Logs Insights: `fields @timestamp, @message | filter @message like /ERROR/ | stats count() by bin(5m)`.
Eine benutzerdefinierte Metrik aus einem Log-Muster generieren (z.B. Anzahl von `OutOfMemoryError`).
Metrikfilter auf der Log-Gruppe. Das Muster gleicht Log-Ereignisse ab; der Filter erstellt eine benutzerdefinierte CloudWatch-Metrik, für die Sie einen Alarm einrichten können.
Benutzerdefinierte Metriken von Lambda ausgeben, ohne einen separaten `PutMetricData`-API-Aufruf.
Embedded Metric Format: strukturiertes JSON in stdout schreiben; CloudWatch parst Logs und erstellt Metriken. Günstiger und asynchron.
Warum: Entkoppelt den Metrikpfad vom Anfragepfad; keine API-Latenz oder zusätzliche IAM-Berechtigung.
Die App gibt jede Sekunde hochauflösende benutzerdefinierte Metriken aus.
`PutMetricData` mit `StorageResolution=1` für 1-Sekunden-Granularität. Die Standardauflösung beträgt 60 Sekunden; Hochauflösung kostet mehr.
Lambda-Kaltstarts erreichen die p99-Latenzziele.
Provisioned Concurrency für vorhersehbare Last. SnapStart für Java/Python-Code mit aufwendiger Initialisierung. Schlanke Abhängigkeiten, ARM/Graviton verwenden, aufwendige Initialisierung außerhalb des Handlers verschieben.
Lambda-Speicher für beste Kosten/Latenz auswählen.
Der Speicher skaliert auch CPU + Netzwerk. Verwenden Sie die AWS Lambda Power Tuning Zustandsmaschine, um den Speicher zu durchsuchen und den optimalen Punkt für Ihre Workload zu finden.
Langer Lambda-Aufruf erreicht das harte Limit von 15 Minuten.
In Step Functions zerlegen; auf Fargate (langlaufend) oder Batch (HPC) auslagern. Lambda-Maximalwert ist 900 Sekunden; nicht verhandelbar.
`TooManyRequestsException` von Lambda; Parallelitätslimit erreicht.
Reservierte Parallelität pro Funktion (Begrenzung + Reserven) oder Anforderung einer kontoweiten Limiterhöhung. Asynchrone Aufrufe werden in die Warteschlange gestellt und erneut versucht; synchrone Aufrufe verursachen einen Fehler.
DynamoDB gibt `ProvisionedThroughputExceededException` zurück.
CloudWatch `WriteThrottleEvents` / `ReadThrottleEvents`. Wechseln Sie in den On-Demand-Modus, erhöhen Sie die bereitgestellte Kapazität oder beheben Sie eine Hot Partition mit besserem Schlüsseldesign.
Ein Partitionsschlüssel erhält unverhältnismäßig viel Traffic; Drosselung unter geringer Gesamtlast.
Partitionsschlüssel mit hoher Kardinalität neu gestalten. Für Schreibvorgänge: Präfix mit zufälligem Shard (z.B. `shard#user`); für Lesevorgänge: Scatter-Gather über Shards hinweg.
Mikrosekunden-DynamoDB-Lese-Latenz ohne Änderung der Anwendungslogik erforderlich.
DAX-Cluster + DAX SDK als Drop-in für DynamoDB SDK. Lesevorgänge werden aus dem In-Memory-Cache bedient; Schreibvorgänge schreiben direkt in die Tabelle.
Caching-Strategie für ElastiCache / DAX auswählen.
Lazy Loading (Cache-Fehler → DB → Cache füllen): nur angeforderte Daten cachen, aber anfällig für Veralterung. Write-through (bei jedem Schreibvorgang in Cache + DB schreiben): immer aktuell, aber Schreibvorgänge verursachen zusätzliche Kosten. TTL begrenzt die Veralterung in beiden Fällen.
API Gateway gibt 429 Too Many Requests zurück.
Standard auf Kontoebene: 10.000 Anfragen/Sekunde + 5.000 Burst. Pro-Stage- und Pro-Methoden-Überschreibungen; Pro-Schlüssel-Drosselung über Nutzungspläne für die Partner-Ebene-Kontrolle.
Temporäre AWS-Dienstfehler bei hohem Traffic.
AWS SDK versucht automatisch mit exponentiellem Backoff + Jitter erneut. Konfigurieren Sie `RetryMode = adaptive` oder `standard`; stimmen Sie `maxAttempts` ab.
CloudFront liefert nach einem Deploy veraltete Inhalte aus.
Pfade invalidieren (`/index.html`, `/*`) — Abrechnung pro Pfad über 1000/Monat kostenlos hinaus. Besser: versionierte Dateinamen (`app.abc123.js`), sodass der Cache natürlich umgangen wird.
