AWS Certified Developer Associate
अंतिम समीक्षा: मई 2026
DVA-C02 परीक्षा द्वारा परखे जाने वाले architectural patterns का स्कैन-योग्य संदर्भ। ऊपर से नीचे पढ़ें या किसी section पर जाएं।
जब आप नया Lambda कोड पुश करते हैं तो स्थिर आह्वान लक्ष्य।
संख्यात्मक, अपरिवर्तनीय संस्करण प्रकाशित करें; एक उपनाम को उजागर करें जो एक संस्करण की ओर इशारा करता है। कॉलर्स उपनाम ARN का आह्वान करते हैं।
क्यों: संस्करण कोड + कॉन्फ़िग के स्थिर स्नैपशॉट होते हैं; उपनाम अप्रत्यक्षता प्रदान करते हैं ताकि कॉलर्स कभी भी `$LATEST` को सीधे आह्वान न करें।
त्रुटियों पर ऑटो-रोलबैक के साथ एक नए Lambda संस्करण का क्रमिक रोलआउट।
भारित संस्करण रूटिंग (जैसे 90/10) के साथ उपनाम। CodeDeploy `LambdaCanary10Percent5Minutes` या `LambdaLinear*` ट्रैफिक को शिफ्ट करता है और CloudWatch अलार्म देखता है।
क्यों: बिल्ट-इन ट्रैफिक शिफ्टिंग + अलार्म-चालित रोलबैक हाथ से कोड किए गए कैनरी लॉजिक को हटा देता है।
पुनः डिप्लॉय किए बिना कॉन्फ़िग (DB URL, फ़ीचर फ़्लैग्स) इंजेक्ट करें।
Lambda पर्यावरण चर। बाकी पर KMS-एन्क्रिप्टेड; पुनर्प्राप्ति पर अतिरिक्त एन्क्रिप्शन-इन-ट्रांज़िट के लिए एक कस्टम CMK को संदर्भित करें।
कई Lambdas में NumPy / pandas / सामान्य रनटाइम साझा करें।
एक Lambda Layer के रूप में पैकेज करें; प्रति फ़ंक्शन 5 लेयर तक, कुल 250 MB अनज़िप्ड। प्रति लेयर संस्करणित ARN।
विलंबता-संवेदनशील सिंक्रोनस Lambda — कोई कोल्ड स्टार्ट की अनुमति नहीं।
उपनाम पर प्रोविजन्ड कंकरेंसी। N निष्पादन वातावरण को पूर्व-प्रारंभ करता है; प्रति GB-सेकंड भुगतान करें।
क्यों: पूर्वानुमेय लागत पर कोल्ड स्टार्ट को समाप्त करता है। लोड के साथ फ्लेक्स करने के लिए उपनाम पर एप्लिकेशन ऑटो-स्केलिंग सेट करें।
जावा या पायथन Lambda भारी इनिशियलाइजेशन कोड के साथ; प्रोविजन्ड कंकरेंसी के लिए भुगतान किए बिना तेज़ कोल्ड स्टार्ट की आवश्यकता है।
प्रकाशित संस्करण पर SnapStart सक्षम करें। AWS आरंभ किए गए रनटाइम का स्नैपशॉट लेता है और उससे फिर से शुरू होता है।
क्यों: जावा के लिए मुफ्त; पायथन/.NET के लिए प्रति पुनर्स्थापना शुल्क लिया जाता है। निष्क्रिय लागत के बिना कोल्ड स्टार्ट को सेकंड से <1s तक कम कर देता है।
Lambda को एक Kinesis स्ट्रीम / DynamoDB स्ट्रीम / SQS कतार / MSK टॉपिक का उपभोग करने की आवश्यकता है।
इवेंट स्रोत मैपिंग (पुल-आधारित)। Lambda पोल करता है; बैच आकार + अधिकतम बैचिंग विंडो थ्रूपुट बनाम विलंबता को ट्यून करती है। विफलता → ऑन-फेल्योर डेस्टिनेशन के माध्यम से DLQ।
क्यों: पुल स्रोतों के लिए, सेवा सीधे Lambda को आह्वान नहीं कर सकती; मैपिंग Lambda का पोलिंग एडाप्टर है।
Lambda DLQ के बिना अतुल्यकालिक Lambda सफलता/विफलता रूटिंग।
फ़ंक्शन पर ऑनसक्सेस / ऑनफेल्योर डेस्टिनेशंस। लक्ष्य: SNS, SQS, EventBridge, एक और Lambda। आह्वान संदर्भ शामिल है।
क्यों: डेस्टिनेशंस पूर्ण इवेंट + प्रतिक्रिया को कैप्चर करते हैं; लेगेसी DLQ केवल इवेंट पेलोड को कैप्चर करता है।
एक नई REST API के लिए API Gateway प्रकार चुनें।
HTTP API: सस्ता, तेज़, JWT प्रमाणीकरण अंतर्निहित, सरल। REST API: पूर्ण सुविधाएँ (मैपिंग टेम्पलेट्स, रिक्वेस्ट वैलिडेटर्स, WAF, निजी एंडपॉइंट्स, X-Ray, API कैशिंग)।
क्यों: डिफ़ॉल्ट रूप से HTTP API का उपयोग करें जब तक कि आपको REST-ओनली सुविधा की आवश्यकता न हो। WebSocket APIs स्टेटफुल रीयल-टाइम के लिए एक अलग उत्पाद हैं।
अलग-अलग APIs को पुनः डिप्लॉय किए बिना API परिवर्तनों को dev → test → prod में बढ़ावा दें।
एकल API पर स्टेज। प्रकाशित करने के लिए एक स्टेज को डिप्लॉय करें; स्टेज वैरिएबल पर्यावरण-विशिष्ट मानों को धारण करते हैं जैसे Lambda उपनाम नाम।
बैकएंड Lambda क्लाइंट द्वारा भेजे गए से एक अलग आकार की अपेक्षा करता है।
रिक्वेस्ट/रिस्पॉन्स मैपिंग टेम्पलेट (केवल REST API)। JSON को रूपांतरित करने के लिए `$input`, `$context`, `$util` के साथ VTL।
क्यों: मैपिंग टेम्पलेट API Gateway में चलते हैं — कोई अतिरिक्त Lambda हॉप नहीं, कोई अतिरिक्त विलंबता या लागत नहीं।
रिक्वेस्ट को रूट करने से पहले एक कस्टम टोकन (Cognito नहीं, IAM नहीं) को मान्य करें।
Lambda authorizer। TOKEN प्रकार एक हेडर पढ़ता है; REQUEST प्रकार पूर्ण रिक्वेस्ट संदर्भ पढ़ता है। IAM नीति + principalId लौटाता है। TTL के लिए प्रति पहचान कैश किया जाता है।
प्रत्येक रिक्वेस्ट पर एक Cognito User Pool JWT को मान्य करें।
Cognito User Pool authorizer (REST) या JWT authorizer (HTTP)। API Gateway टोकन को मान्य करता है; Lambda की आवश्यकता नहीं है।
क्यों: सामान्य JWT मामले के लिए नेटिव सत्यापन Lambda authorizer की तुलना में सस्ता और तेज़ होता है।
एक पार्टनर API उपभोक्ता को थ्रॉटल/कोटा करें।
उपयोग योजना + API कुंजी। योजना एक स्टेज को दर सीमा (req/sec) + बर्स्ट + कोटा (req/day या month) के साथ कुंजियों से जोड़ती है।
बार-बार GET रिक्वेस्ट के लिए बैकएंड लोड कम करें।
स्टेज-स्तर कैश (REST API)। TTL कॉन्फ़िगर करने योग्य; कैश कुंजी विधि + पथ + चयनित क्वेरी/हेडर मापदंडों से प्राप्त होती है।
किसी आइटम को तभी अपडेट करें जब कोई पूर्व शर्त सही हो (जैसे status == "PENDING")।
`ConditionExpression` के साथ PutItem/UpdateItem। विफलता `ConditionalCheckFailedException` उत्पन्न करती है।
क्यों: सर्वर-साइड चेक बिना लॉकिंग के रीड-मॉडिफ़ाई-राइट रेस से बचाता है।
कई DynamoDB आइटमों में ऑल-ऑर-नथिंग।
`TransactWriteItems` / `TransactGetItems`। 100 आइटम / 4 MB तक; सामान्य राइट्स/रीड्स की WCU/RCU लागत का 2 गुना।
रीड-मॉडिफ़ाई-राइट के बिना एक काउंटर बढ़ाएँ।
UpdateExpression `ADD count :inc`। सर्वर डेल्टा को परमाणु रूप से लागू करता है।
एक बड़े क्वेरी/स्कैन परिणाम सेट को पुनरावृत करें।
`LastEvaluatedKey` प्रतिक्रिया से → अगले कॉल पर `ExclusiveStartKey` जब तक अनुपस्थित न हो। `Limit` पैरामीटर के माध्यम से सीमा।
प्राथमिक कुंजी के अलावा एक अतिरिक्त एक्सेस पैटर्न की आवश्यकता है।
GSI: वैकल्पिक विभाजन + सॉर्ट कुंजी, अंततः सुसंगत, अलग क्षमता, कभी भी जोड़ा जा सकता है। LSI: समान विभाजन कुंजी, वैकल्पिक सॉर्ट कुंजी, मजबूत-संगति विकल्प, तालिका निर्माण के समय बनाया जाना चाहिए।
केवल उन्हीं आइटमों को इंडेक्स करें जिनमें एक विशेष विशेषता हो (जैसे केवल ACTIVE ऑर्डर)।
विरल इंडेक्स: जिन आइटमों को आप बाहर करना चाहते हैं, उन पर विशेषता छोड़ दें। इंडेक्स की गई विशेषता के बिना आइटम GSI/LSI में दिखाई नहीं देते हैं।
कई आइटमों को थोक में पढ़ें/लिखें।
`BatchGetItem` (100 आइटम / 16 MB तक) और `BatchWriteItem` (25 आइटम / 16 MB तक)। परमाणु नहीं; `UnprocessedItems` में आंशिक विफलताएँ वापस की जाती हैं।
समवर्ती लेखकों से खोए हुए अपडेट को रोकें।
संस्करण विशेषता + `ConditionExpression: version = :v`। असफल राइट्स पुनः पढ़ने द्वारा पुनः प्रयास करते हैं।
प्रत्येक DynamoDB परिवर्तन पर डाउनस्ट्रीम क्रियाओं को ट्रिगर करें।
DynamoDB Streams + Lambda इवेंट स्रोत मैपिंग। स्ट्रीम दृश्य: NEW_IMAGE / OLD_IMAGE / NEW_AND_OLD_IMAGES / KEYS_ONLY।
ब्राउज़र आपके सर्वर के माध्यम से बाइट्स को प्रॉक्सी किए बिना सीधे S3 पर अपलोड/डाउनलोड करता है।
GET या PUT के लिए SDK `getSignedUrl`। IAM उपयोगकर्ता (sigv4) द्वारा हस्ताक्षरित होने पर 7 दिनों तक की समाप्ति; भूमिका-व्युत्पन्न सत्रों के लिए कम।
क्यों: आपके बैकएंड से बैंडविड्थ कम करता है; URL एक अस्थायी क्षमता है जो एक वस्तु + विधि के लिए सीमित है।
SDK से एक बड़ी फ़ाइल (≫100 MB) को मज़बूती से अपलोड करें।
`CreateMultipartUpload` → समानांतर `UploadPart` → `CompleteMultipartUpload`। SDK उच्च-स्तरीय ट्रांसफर मैनेजर स्वचालित रूप से भाग के आकार को संभालता है।
क्यों: >5 GB आवश्यक; ≥100 MB अनुशंसित। असफल भागों को स्वतंत्र रूप से पुनः अपलोड करें। अपूर्ण मल्टीपार्ट्स को रद्द करने के लिए जीवनचक्र सेट करें ताकि संग्रहण पुनः प्राप्त हो सके।
जब S3 में कोई वस्तु बनाई/हटाई जाती है तो कोड चलाएँ।
S3 इवेंट नोटिफ़िकेशन → Lambda / SNS / SQS / EventBridge। उपसर्ग और प्रत्यय द्वारा फ़िल्टर करें।
ब्राउज़र ऐप S3 से विभिन्न मूलों (`fetch('https://bucket.s3...')`) से फ़ेच करता है; CORS प्रीफ़्लाइट विफल रहता है।
बकेट CORS नियम कॉन्फ़िगर करें: अनुमत मूल, विधियाँ (GET/PUT), हेडर और उजागर हेडर।
एक 50 GB CSV/JSON/Parquet ऑब्जेक्ट से पंक्तियों को डाउनलोड किए बिना फ़िल्टर करें।
SQL के साथ S3 Select। केवल मिलान वाली पंक्तियाँ लौटाता है; स्कैन + वापसी बाइट्स के लिए भुगतान करें।
सार्वजनिक मोबाइल/वेब क्लाइंट से पासवर्ड भेजे बिना उपयोगकर्ता को साइन इन करें।
`USER_SRP_AUTH` प्रवाह के साथ Cognito User Pool। क्लाइंट SRP प्रूफ की गणना करता है; बैकएंड कभी पासवर्ड नहीं देखता। ID + एक्सेस + रिफ्रेश टोकन लौटाता है।
फ़ेडरेटेड उपयोगकर्ता (Google/Apple/Cognito UP) को मोबाइल ऐप से सीधे AWS APIs को कॉल करने के लिए अस्थायी AWS क्रेडेंशियल की आवश्यकता है।
Cognito Identity Pool। STS के माध्यम से पहचान प्रदाता टोकन → IAM भूमिका → अस्थायी AWS क्रेडेंशियल का आदान-प्रदान करता है।
क्यों: User Pools उपयोगकर्ताओं को प्रमाणित करते हैं; Identity Pools उन्हें AWS संसाधनों के लिए अधिकृत करते हैं।
एक Step Functions वर्कफ़्लो प्रकार चुनें।
Standard: लंबे समय तक चलने वाला (≤1 वर्ष), ठीक-एक-बार, $0.025/1k ट्रांज़िशन, पूर्ण इतिहास। Express: ≤5 मिनट, कम से कम-एक-बार या अधिक से अधिक-एक-बार, प्रति रिक्वेस्ट + अवधि बिल किया जाता है; उच्च-मात्रा ETL/स्ट्रीमिंग के लिए।
वर्कफ़्लो चरण विफल हो जाता है; बैकऑफ़ के साथ पुनः प्रयास करना चाहते हैं और रिकवरी स्थिति में रूट करना चाहते हैं।
`Retry` सरणी (प्रति-स्थिति, `BackoffRate` + `MaxAttempts` के साथ) और टर्मिनल विफलता रूटिंग के लिए `Catch`। `ErrorEquals` (जैसे `States.TaskFailed`, कस्टम त्रुटि नाम) द्वारा मिलान करें।
एक सरणी में प्रत्येक आइटम पर समान वर्कफ़्लो लागू करें, समवर्ती कैप के साथ।
`ItemsPath` और `MaxConcurrency` के साथ Map स्थिति। डिस्ट्रीब्यूटेड मैप S3-समर्थित इनपुट के साथ 10k+ आइटम को संभालता है।
एक cron शेड्यूल पर या आने वाली घटनाओं से Lambda को ट्रिगर करें।
EventBridge नियम। शेड्यूल: `rate(...)` या `cron(...)`। पैटर्न: JSON इवेंट फ़िल्टर; स्रोत, विवरण-प्रकार, विवरण फ़ील्ड पर मिलान करें।
SQS / Kinesis / DynamoDB Streams / MSK से वैकल्पिक फ़िल्टर + रूपांतरण के साथ एक लक्ष्य पर घटनाओं को रूट करें।
EventBridge Pipes। स्रोत → फ़िल्टर → संवर्धन (Lambda/Step Functions) → लक्ष्य। सरल मामलों के लिए Lambda की आवश्यकता नहीं है।
संदेशों को ग्राहक के अनुसार कड़ाई से क्रम में संसाधित करें, डुप्लीकेशन के साथ।
SQS FIFO कतार। `MessageGroupId` आदेश (प्रति समूह समानता) को विभाजित करता है; `MessageDeduplicationId` (या सामग्री-आधारित डेडुप) 5 मिनट के भीतर डुप्लिकेट हटाता है।
उपभोक्ता एक संदेश खींचता है लेकिन उसे हटाने से पहले क्रैश हो जाता है।
संदेश VisibilityTimeout सेकंड के लिए छिपा रहता है, फिर पुनः वितरण के लिए फिर से प्रकट होता है। सबसे लंबे अपेक्षित प्रसंस्करण समय + बफर के लिए ट्यून करें।
क्यों: बहुत कम → डुप्लिकेट प्रसंस्करण। बहुत लंबा → क्रैश पर धीमी रिकवरी। यदि आवश्यक हो तो ChangeMessageVisibility इन-फ़्लाइट को बढ़ाता है।
एक इवेंट को कई उपभोक्ताओं (Lambdas / SQS कतारें / HTTP एंडपॉइंट्स) तक पहुंचना चाहिए।
कई सब्सक्राइबर्स के साथ SNS टॉपिक। सब्सक्रिप्शन फ़िल्टर नीतियाँ प्रति सब्सक्राइबर केवल मिलान वाले संदेशों को रूट करती हैं।
राइट थ्रूपुट के लिए Kinesis Data Streams क्षमता को ट्यून करें।
प्रत्येक शार्ड = 1 MB/s या 1000 रिकॉर्ड/s अंदर, 2 MB/s बाहर। शार्ड जोड़ें (स्प्लिट करें) या ऑटो-स्केलिंग के लिए ऑन-डिमांड मोड का उपयोग करें।
EC2 / ECS टास्क / Lambda पर कोड को AWS एक्सेस की आवश्यकता है — कोई एम्बेडेड कुंजी नहीं।
इंस्टेंस प्रोफ़ाइल (EC2) या टास्क/एक्ज़ीक्यूशन भूमिका (ECS/Lambda) के माध्यम से एक IAM भूमिका संलग्न करें। SDK मेटाडेटा सेवा से अस्थायी क्रेडेंशियल खींचता है; ऑटो-रोटेट होता है।
ऐप कोड या CLI से क्रॉस-अकाउंट एक्सेस।
कॉलर प्रिंसिपल से `sts:AssumeRole`। लक्ष्य भूमिका की ट्रस्ट नीति कॉलर को `Principal` के रूप में सूचीबद्ध करती है। अस्थायी क्रेडेंशियल लौटाता है (अधिकतम 12 घंटे)।
क्रॉस-अकाउंट AssumeRole विफल हो रहा है — अनुमति सही प्रतीत होती है।
दोनों को सेट किया जाना चाहिए: लक्ष्य भूमिका पर ट्रस्ट नीति कॉलर को प्रिंसिपल के रूप में सूचीबद्ध करती है; कॉलर की पहचान नीति लक्ष्य भूमिका ARN पर `sts:AssumeRole` की अनुमति देती है।
क्यों: ट्रस्ट = कौन मान सकता है। अनुमति = एक बार माने जाने के बाद वे क्या कर सकते हैं। कोई भी गायब → AccessDenied।
नीति जो उपयोगकर्ताओं को S3 में केवल अपने स्वयं के फ़ोल्डर तक पहुंच प्रदान करती है।
संसाधन ARNs में `${aws:username}` या `${aws:PrincipalTag/X}` का उपयोग करें: `arn:aws:s3:::bucket/${aws:username}/*`।
एक टीम को IAM भूमिकाओं को स्वयं प्रबंधित करने दें, लेकिन वे क्या अनुमतियाँ दे सकते हैं, उस पर सीमा लगाएँ।
टीम की निर्माता भूमिका पर अनुमति सीमा नीति। वे जो भी भूमिका सीमा के साथ बनाते हैं, उसमें पहचान नीति + सीमा का प्रतिच्छेदन प्रभावी अनुमतियों के रूप में होता है।
स्रोत IP / VPC / क्षेत्र / MFA द्वारा एक कार्रवाई को प्रतिबंधित करें।
नीति `Condition`: `aws:SourceIp`, `aws:SourceVpc`, `aws:SourceVpce`, `aws:RequestedRegion`, `aws:MultiFactorAuthPresent`।
SPA / मोबाइल क्लाइंट बनाम सर्वर-साइड सेवा जो Cognito को कॉल कर रही है।
सार्वजनिक क्लाइंट (SPA, मोबाइल) → बिना सीक्रेट के ऐप क्लाइंट। गोपनीय क्लाइंट (सर्वर) → सीक्रेट के साथ ऐप क्लाइंट; क्लाइंट को `SECRET_HASH` (उपयोगकर्ता नाम + क्लाइंट ID का HMAC) शामिल करना होगा।
Cognito ID टोकन बनाम एक्सेस टोकन बनाम रिफ्रेश टोकन को अलग करें।
ID = उपयोगकर्ता पहचान दावे (क्लाइंट पर उपभोग करें)। एक्सेस = APIs के लिए सीमित प्राधिकरण। रिफ्रेश = नए ID/एक्सेस टोकन प्राप्त करें। रिफ्रेश को छोड़कर सभी JWT।
फॉर्म बनाए बिना ड्रॉप-इन साइन-इन/साइन-अप UI।
Cognito होस्टेड UI। OAuth2 प्राधिकरण-कोड प्रवाह: `/oauth2/authorize` पर रीडायरेक्ट करें → `code` के साथ कॉलबैक URL → `/oauth2/token` पर आदान-प्रदान करें।
एक छोटे रहस्य (≤4 KB) को सीधे KMS के साथ एन्क्रिप्ट करें।
`kms:Encrypt` कुंजी ARN युक्त सिफरटेक्स्ट ब्लब लौटाता है। यदि कॉलर के पास अनुमति है और (यदि निर्दिष्ट है) `EncryptionContext` मेल खाता है, तो `kms:Decrypt` प्लेनटेक्स्ट को पुनर्प्राप्त करता है।
4 KB की सीधी-एन्क्रिप्ट सीमा को हिट किए बिना KMS के साथ बड़े डेटा को एन्क्रिप्ट करें।
लिफाफा एन्क्रिप्शन। `GenerateDataKey` प्लेनटेक्स्ट + एन्क्रिप्टेड DEK लौटाता है; DEK के साथ स्थानीय रूप से डेटा एन्क्रिप्ट करें, एन्क्रिप्टेड DEK को साथ में स्टोर करें, प्लेनटेक्स्ट DEK को छोड़ दें।
क्यों: KMS छोटे DEK पर एक्सेस नियंत्रण लागू करता है; बल्क एन्क्रिप्शन स्थानीय रूप से लाइन की गति पर होता है।
कुंजी नीति को संपादित किए बिना दूसरे प्रिंसिपल को एक CMK तक समय-बद्ध पहुंच दें।
ऑपरेशनों + ग्रांटी को स्कोप करते हुए एक `kms:CreateGrant` ग्रांट बनाएं। `RetireGrant` के साथ रद्द करें।
एक KMS कुंजी को अप्रत्यक्ष रूप से संदर्भित करें ताकि अंतर्निहित CMK कोड परिवर्तनों के बिना घूम सके।
`alias/my-key` (या `arn:aws:kms:region:acct:alias/my-key`) का उपयोग करें। उपनाम को एक नए CMK की ओर इंगित करने के लिए अपडेट करें; उपभोक्ता काम करना जारी रखते हैं।
एक क्रेडेंशियल स्टोर चुनें।
Secrets Manager: बिल्ट-इन रोटेशन, नेटिव RDS/Redshift/DocumentDB एकीकरण, $0.40/सीक्रेट/माह। Parameter Store SecureString: फ्री टियर (Standard), कोई बिल्ट-इन रोटेशन नहीं, स्तरीकृत `/app/env/key` पथ।
RDS क्रेडेंशियल को स्वचालित रूप से घुमाएँ।
Aurora/RDS/DocumentDB/Redshift के लिए Secrets Manager नेटिव रोटेशन (प्रबंधित Lambda)। मास्टर/उपयोगकर्ता पैटर्न उपयोगकर्ता सीक्रेट को घुमाने के लिए एक अलग मास्टर सीक्रेट का उपयोग करता है।
KMS एन्क्रिप्शन के साथ एक कॉन्फ़िग मान को Parameter Store में बाकी पर स्टोर करें।
SecureString पैरामीटर प्रकार। एक कस्टम CMK के लिए `--key-id` निर्दिष्ट करें; अन्यथा `aws/ssm` का उपयोग करता है। डिक्रिप्ट के लिए CMK पर `kms:Decrypt` की आवश्यकता होती है।
क्लाउडफ्रंट एक्सेस को प्रमाणित उपयोगकर्ताओं तक सीमित करें।
हस्ताक्षरित URL (एकल संसाधन) या हस्ताक्षरित कुकीज़ (कई संसाधन, SPAs/स्ट्रीमिंग)। CloudFront कुंजी समूह में सार्वजनिक कुंजी के रूप में संग्रहीत CloudFront कुंजी जोड़ी के साथ हस्ताक्षर करें।
S3 सर्वर-साइड एन्क्रिप्शन चुनें।
SSE-S3 (प्रबंधित AES-256, डिफ़ॉल्ट), SSE-KMS (CMK, CloudTrail के माध्यम से ऑडिट, कुंजी नीति), SSE-C (ग्राहक-आपूर्ति की गई कुंजी, आप प्रबंधित करते हैं), DSSE-KMS (उच्च-अनुपालन के लिए डबल-लेयर)।
उन भूमिकाओं/नीतियों का पता लगाएँ जो खाते के बाहर एक्सेस प्रदान करती हैं या अत्यधिक अनुमेय हैं।
IAM Access Analyzer। बाहरी एक्सेस पर निष्कर्ष; न्यूनतम-विशेषाधिकार सही आकार के लिए CloudTrail इतिहास से नीति निर्माण।
Lambda पर्यावरण चर में एक संवेदनशील मान होता है।
Lambda डिफ़ॉल्ट रूप से KMS के साथ बाकी पर env vars को एन्क्रिप्ट करता है। इन-ट्रांज़िट/एट-डिक्रिप्ट नियंत्रण के लिए, एक कस्टम CMK कॉन्फ़िगर करें और पूर्व-एन्क्रिप्टेड सिफरटेक्स्ट भेजने के लिए इन-कंसोल एन्क्रिप्शन सहायकों का उपयोग करें।
ब्राउज़र → API Gateway के साथ `Authorization` हेडर प्रीफ़्लाइट द्वारा अवरुद्ध हो जाता है।
OPTIONS विधि (मॉक एकीकरण) जोड़ें। `Access-Control-Allow-Headers` में `Authorization` की अनुमति दें; `Access-Control-Allow-Origin` में कॉलर्स की अनुमति दें।
गैर-SDK कोड से एक AWS सेवा के लिए एक कस्टम HTTP रिक्वेस्ट पर हस्ताक्षर करें।
Sigv4: सीक्रेट + दिनांक + क्षेत्र + सेवा से हस्ताक्षर कुंजी प्राप्त करें; रिक्वेस्ट को कैननिकल करें; हस्ताक्षर करें; `Authorization`, `X-Amz-Date`, `X-Amz-Security-Token` हेडर जोड़ें।
एक व्यापक भूमिका ग्रहण करें लेकिन एक विशिष्ट सत्र के लिए दायरे को सीमित करें।
`Policy` (इनलाइन सत्र नीति) के साथ `AssumeRole` प्रभावी अनुमतियों को और प्रतिबंधित करता है: भूमिका + सत्र नीति का प्रतिच्छेदन।
S3 एक्सेस अस्वीकृत है, भले ही IAM नीति इसकी अनुमति देती हो।
दोनों बकेट नीति और पहचान नीति का मूल्यांकन किया जाता है। कहीं भी स्पष्ट इनकार जीतता है। ब्लॉक पब्लिक एक्सेस सेटिंग्स भी अनुमति को ओवरराइड कर सकती हैं।
एक CI/CD पाइपलाइन बनाएँ: स्रोत → बिल्ड → टेस्ट → मैन्युअल उत्पाद अनुमोदन के साथ डिप्लॉय करें।
CodePipeline स्टेज, प्रत्येक में एक या अधिक क्रियाएँ। टेस्ट और डिप्लॉय के बीच मैन्युअल अनुमोदन क्रिया। स्रोत = CodeCommit / GitHub / S3 / ECR।
CodeBuild के लिए बिल्ड स्टेप्स को परिभाषित करें।
`buildspec.yml` रिपो रूट पर। चरण: `install`, `pre_build`, `build`, `post_build`। आउटपुट: `artifacts.files`, `cache.paths`। `env.variables` या Parameter Store/Secrets Manager refs के माध्यम से Env vars।
अलार्म पर ऑटो-रोलबैक के साथ Lambda ट्रैफिक को 10% फिर 100% पर शिफ्ट करें।
CodeDeploy के साथ `LambdaCanary10Percent5Minutes` / `10Percent10Minutes` / `10Percent15Minutes` / `10Percent30Minutes`। DeploymentGroup में CloudWatch अलार्म कॉन्फ़िगर करें।
समान वृद्धिशील में क्रमिक Lambda रोलआउट।
`LambdaLinear10PercentEvery1Minute` / `2Minutes` / `3Minutes` / `10Minutes`। प्रत्येक वृद्धि 100% तक +10% शिफ्ट करती है।
एक ALB के पीछे एक ECS सेवा के लिए ब्लू/ग्रीन डिप्लॉयमेंट।
CodeDeploy कंप्यूट प्लेटफ़ॉर्म = ECS। ग्रीन टास्क सेट बनाता है; ALB लिसनर को ग्रीन टारगेट ग्रुप में शिफ्ट करता है; ट्रैफिक स्विच से पहले और ब्लू को समाप्त करने से पहले वैकल्पिक मैन्युअल अनुमोदन।
बिना पूर्ण-फ्लीट डाउनटाइम के एक EC2 फ्लीट को अपडेट करें।
`OneAtATime` / `HalfAtATime` / `AllAtOnce` कॉन्फ़िग के साथ इन-प्लेस डिप्लॉयमेंट। ऑटो स्केलिंग ग्रुप हुक डिप्लॉय के दौरान नए इंस्टेंस लॉन्च को रोकते हैं।
IAM-नियंत्रित एक्सेस के साथ AWS के भीतर Git रिपोज़ होस्ट करें।
CodeCommit। प्रमाणीकरण: प्रति IAM उपयोगकर्ता SSH कुंजी, प्रति IAM उपयोगकर्ता HTTPS Git क्रेडेंशियल, या AWS CLI क्रेडेंशियल हेल्पर। पुश पर SNS / Lambda के माध्यम से ट्रिगर।
एक सर्वरलेस ऐप के लिए एक IaC टूल चुनें।
CDK: प्रोग्रामिंग भाषाएँ (TS/Python/Java/Go/.NET), पूर्ण ऐप कंस्ट्रक्ट्स, मल्टी-रिसोर्स पैटर्न। SAM: CFN का YAML एक्सटेंशन, सर्वरलेस पर केंद्रित, सरल। दोनों CloudFormation में संकलित होते हैं।
न्यूनतम YAML के साथ एक Lambda + API Gateway + DynamoDB स्टैक को परिभाषित करें।
`Transform: AWS::Serverless-2016-10-31`। संसाधन: `AWS::Serverless::Function`, `Api`, `SimpleTable`। `sam build` → `sam deploy --guided`।
CDK कोड संरचना लिखें।
`App` में एक या अधिक `Stack` होते हैं। प्रत्येक स्टैक में कंस्ट्रक्ट्स (L1/L2/L3) होते हैं। `cdk synth` → CFN टेम्पलेट। `cdk deploy` CFN के माध्यम से डिप्लॉय करता है।
CDK कंस्ट्रक्ट स्तर चुनें।
L1 = रॉ CFN (`CfnXxx`)। L2 = सुरक्षित डिफ़ॉल्ट के साथ क्यूरेटेड रैपर्स (सबसे आम)। L3 = पूर्ण आर्किटेक्चर के लिए कई संसाधनों को संयोजित करने वाले पैटर्न (जैसे `LambdaRestApi`)।
CloudFormation स्टैक पर लागू करने से पहले परिवर्तनों का पूर्वावलोकन करें।
`create-change-set` → परिवर्धन/संशोधन/प्रतिस्थापन के JSON की समीक्षा करें → `execute-change-set`। प्रतिस्थापन क्रियाएँ संसाधन पुनर्निर्माण का कारण बनती हैं।
स्टैक अपडेट बीच में विफल हो जाता है।
CloudFormation स्वचालित रूप से रोलबैक करता है जब तक कि `DisableRollback` सत्य न हो। `UPDATE_ROLLBACK_FAILED` में फंसा हुआ? `ResourcesToSkip` के साथ `ContinueUpdateRollback` का उपयोग करें।
स्टैक अपडेट के दौरान एक महत्वपूर्ण संसाधन (जैसे RDS DB) के आकस्मिक अपडेट को रोकें।
स्टैक नीति: संसाधन के तार्किक ID पर `Update:Replace` और `Update:Delete` को अस्वीकार करने वाला JSON। एक विशिष्ट अपडेट पर स्पष्ट ओवरराइड के साथ बाईपास करें।
स्टैक भर में बुनियादी ढांचे का पुन: उपयोग करें।
एकल पैरेंट के स्वामित्व वाले पुन: उपयोग के लिए नेस्टेड स्टैक (`AWS::CloudFormation::Stack` के साथ `TemplateURL`)। अलग-अलग स्टैक के बीच अधिक कसकर युग्मन के लिए Outputs + `Fn::ImportValue` के माध्यम से क्रॉस-स्टैक।
एक पैरामीटर स्टोर मान या सीक्रेट्स मैनेजर सीक्रेट को CFN टेम्पलेट में इंजेक्ट करें।
`{{resolve:ssm:/path/to/param}}`, `{{resolve:ssm-secure:/path}}`, `{{resolve:secretsmanager:secret-id:SecretString:json-key}}`। डिप्लॉय के समय हल किया गया।
इलास्टिक बीन्सटॉक डिप्लॉय नीति चुनें।
ऑल-एट-वंस (सबसे तेज़, डाउनटाइम), रोलिंग (कोई अतिरिक्त इंस्टेंस नहीं, आंशिक क्षमता), अतिरिक्त बैच के साथ रोलिंग (कोई क्षमता हानि नहीं, अतिरिक्त लागत), अपरिवर्तनीय (नया ASG, सबसे सुरक्षित), ब्लू/ग्रीन (अलग वातावरण, CNAMEs स्वैप करें)।
इलास्टिक बीन्सटॉक वातावरण को अनुकूलित करें (पैकेज, फाइलें, कंटेनर कमांड)।
स्रोत बंडल में `.ebextensions/*.config` YAML। नए प्लेटफ़ॉर्म: प्रीबिल्ड/प्रीडिप्लॉय/पोस्टडिप्लॉय जीवनचक्र के लिए `.platform/hooks/...` शेल स्क्रिप्ट।
एक स्थिर, कभी-परिवर्तनशील Lambda आर्टिफैक्ट की आवश्यकता है।
एक संख्यात्मक संस्करण प्रकाशित करें। कोड + अधिकांश कॉन्फ़िग (मेमोरी, टाइमआउट, env vars, लेयर) जम जाते हैं। `$LATEST` परिवर्तनीय है; संख्यात्मक संस्करण नहीं हैं।
ECS / EKS / Lambda के लिए एक Docker इमेज को ECR पर पुश करें।
`aws ecr get-login-password | docker login` → `docker tag` → `docker push`। Lambda कंटेनर इमेज: डिप्लॉय के समय इमेज एक बार खींची जाती है; टैग की गई इमेज उसी क्षेत्र में होनी चाहिए।
ECS पर एक बार का बैच बनाम एक लंबी-चलने वाली वेब सेवा चलाएँ।
RunTask = एकल कार्य, पूरा होता है और बाहर निकलता है। सेवा = N वांछित कार्यों को बनाए रखती है, विफलताओं को पुनरारंभ करती है, ALB/NLB के साथ एकीकृत होती है।
फॉल्ट-टॉलरेंट ECS वर्कलोड के लिए कंप्यूट लागत कम करें।
Fargate Spot क्षमता प्रदाता। भार और आधार के माध्यम से नियमित Fargate के साथ मिश्रण करें। कार्यों को 2-मिनट की चेतावनी के साथ बाधित किया जा सकता है।
Lambda → DynamoDB → बाहरी HTTP में फैलने वाले एक रिक्वेस्ट को ट्रेस करें।
प्रति सेवा हॉप X-Ray खंड, डाउनस्ट्रीम कॉल के लिए उपखंड। सेवा मानचित्र टोपोलॉजी + विलंबता को विज़ुअलाइज़ करता है। नमूना नियम मात्रा को कैप करते हैं।
एक X-Ray ट्रेस में खोज योग्य बनाम संदर्भ डेटा संलग्न करें।
एनोटेशन: इंडेक्स किए गए, कंसोल में फ़िल्टर करने योग्य (जैसे `customerId`, `tier`)। मेटाडेटा: इंडेक्स नहीं किए गए, फ्री-फॉर्म (रिक्वेस्ट बॉडी, डिबग के लिए प्रतिक्रिया बॉडी)।
उत्पादन में X-Ray लागत अधिक है।
कस्टम नमूना नियम। डिफ़ॉल्ट: पहले 1 req/s + अतिरिक्त का 5%। नियम सेवा / URL पथ / विधि द्वारा मेल खाते हैं।
पिछले घंटे में त्रुटियों के लिए Lambda लॉग को क्वेरी करें, 5-मिनट बकेट द्वारा समूहीकृत।
CloudWatch Logs Insights: `fields @timestamp, @message | filter @message like /ERROR/ | stats count() by bin(5m)`।
एक लॉग पैटर्न से एक कस्टम मीट्रिक उत्पन्न करें (जैसे `OutOfMemoryError` की संख्या)।
लॉग समूह पर मीट्रिक फ़िल्टर। पैटर्न लॉग इवेंट से मेल खाता है; फ़िल्टर एक कस्टम CloudWatch मीट्रिक बनाता है जिस पर आप अलार्म लगा सकते हैं।
एक अलग `PutMetricData` API कॉल के बिना Lambda से कस्टम मेट्रिक्स उत्सर्जित करें।
एम्बेडेड मीट्रिक प्रारूप: संरचित JSON को stdout पर लिखें; CloudWatch लॉग को पार्स करता है और मेट्रिक्स बनाता है। सस्ता और अतुल्यकालिक।
क्यों: मीट्रिक पथ को रिक्वेस्ट पथ से अलग करता है; कोई API विलंबता या अतिरिक्त IAM अनुमति नहीं।
ऐप हर सेकंड उच्च-रिज़ॉल्यूशन कस्टम मेट्रिक्स उत्सर्जित करता है।
1-सेकंड ग्रैन्युलरिटी के लिए `StorageResolution=1` के साथ `PutMetricData`। स्टैंडर्ड रिज़ॉल्यूशन 60 सेकंड है; उच्च-रिज़ॉल्यूशन की लागत अधिक है।
Lambda कोल्ड स्टार्ट p99 विलंबता लक्ष्यों को हिट करते हैं।
पूर्वानुमेय लोड के लिए प्रोविजन्ड कंकरेंसी। Java/Python init-heavy कोड के लिए SnapStart। स्लिम डिप्स, ARM/Graviton का उपयोग करें, भारी init को हैंडलर के बाहर ले जाएँ।
सर्वोत्तम लागत/विलंबता के लिए Lambda मेमोरी चुनें।
मेमोरी CPU + नेटवर्क को भी स्केल करती है। अपने वर्कलोड के लिए स्वीट स्पॉट खोजने और मेमोरी को स्वीप करने के लिए AWS Lambda Power Tuning स्टेट मशीन का उपयोग करें।
लंबी Lambda आह्वान 15-मिनट की हार्ड सीमा को हिट करती है।
Step Functions में विघटित करें; Fargate (लंबे समय तक चलने वाले) या बैच (HPC) पर ऑफलोड करें। Lambda अधिकतम 900 सेकंड है; समझौता योग्य नहीं है।
Lambda से `TooManyRequestsException`; समवर्ती सीमा हिट हुई।
प्रति फ़ंक्शन आरक्षित समवर्ती (कैप्स + भंडार) या रिक्वेस्ट खाता-स्तर की सीमा वृद्धि। अतुल्यकालिक आह्वान कतारबद्ध होते हैं और पुनः प्रयास करते हैं; सिंक्रोनस आह्वान त्रुटि देते हैं।
DynamoDB `ProvisionedThroughputExceededException` लौटाता है।
CloudWatch `WriteThrottleEvents` / `ReadThrottleEvents`। ऑन-डिमांड मोड पर स्विच करें, प्रोविजन्ड क्षमता बढ़ाएँ, या बेहतर कुंजी डिज़ाइन के साथ एक हॉट पार्टीशन को ठीक करें।
एक पार्टीशन कुंजी को असंगत ट्रैफिक मिलता है; कम कुल लोड के तहत थ्रॉटलिंग।
उच्च कार्डिनैलिटी के साथ पार्टीशन कुंजी को फिर से डिज़ाइन करें। राइट्स के लिए: रैंडम शार्ड (जैसे `shard#user`) के साथ उपसर्ग; रीड्स के लिए: शार्ड्स में स्कैटर-गैदर।
ऐप लॉजिक को बदले बिना माइक्रोसेकंड DynamoDB रीड विलंबता की आवश्यकता है।
DAX क्लस्टर + DynamoDB SDK के लिए ड्रॉप-इन के रूप में DAX SDK। इन-मेमोरी कैश से रीड्स परोसे जाते हैं; राइट्स सीधे टेबल पर लिखते हैं।
ElastiCache / DAX के लिए कैशिंग रणनीति चुनें।
लेज़ी लोडिंग (कैश मिस → DB → कैश पॉपुलेट करें): केवल अनुरोधित डेटा को कैश करें, लेकिन बासी होने की संभावना है। राइट-थ्रू (प्रत्येक राइट पर कैश + DB पर लिखें): हमेशा ताज़ा, लेकिन राइट्स की अतिरिक्त लागत होती है। TTL किसी भी तरह से बासीपन को सीमित करता है।
API Gateway 429 Too Many Requests लौटाता है।
डिफ़ॉल्ट खाता-स्तर: 10,000 req/sec + 5,000 बर्स्ट। प्रति-स्टेज और प्रति-विधि ओवरराइड; पार्टनर-टियर नियंत्रण के लिए उपयोग योजनाओं के माध्यम से प्रति-कुंजी थ्रॉटल।
भारी ट्रैफिक के दौरान क्षणिक AWS सेवा त्रुटियाँ।
AWS SDK एक्सपोनेंशियल बैकऑफ़ + जिटर के साथ स्वचालित रूप से पुनः प्रयास करता है। `RetryMode = adaptive` या `standard` कॉन्फ़िगर करें; `maxAttempts` को ट्यून करें।
डिप्लॉय के बाद CloudFront बासी सामग्री परोसता है।
पथों को अमान्य करें (`/index.html`, `/*`) — 1000/माह मुफ्त से अधिक पथों पर बिल किया जाता है। बेहतर: संस्करणित फ़ाइल नाम (`app.abc123.js`) ताकि कैश स्वाभाविक रूप से बाईपास हो जाए।
