AWS Certified Developer Associate
Последняя проверка: май 2026 г.
Сжатый справочник архитектурных шаблонов, проверяемых на экзамене DVA-C02. Читайте сверху вниз или переходите к нужному разделу.
Стабильная цель вызова во время загрузки нового кода Lambda.
Публикуйте нумерованные, неизменяемые версии; создавайте алиас, который указывает на версию. Вызывающие стороны используют ARN алиаса.
Почему: Версии — это замороженные снимки кода + конфигурации; алиасы обеспечивают косвенность, поэтому вызывающие стороны никогда не вызывают `$LATEST` напрямую.
Постепенное развертывание новой версии Lambda с автоматическим откатом при ошибках.
Алиас с маршрутизацией версий по весам (например, 90/10). CodeDeploy `LambdaCanary10Percent5Minutes` или `LambdaLinear*` перенаправляет трафик и отслеживает CloudWatch alarms.
Почему: Встроенное перенаправление трафика + откат по тревоге устраняет необходимость в написании собственной логики canary.
Внедрение конфигурации (URL базы данных, feature flags) без повторного развертывания.
Переменные среды Lambda. KMS-зашифрованы в состоянии покоя; для дополнительного шифрования при передаче во время извлечения используйте пользовательский CMK.
Совместное использование NumPy / pandas / общих runtime для многих Lambda-функций.
Упакуйте как Lambda Layer; до 5 слоев на функцию, общий объем 250 МБ в распакованном виде. Версионированный ARN для каждого слоя.
Синхронная Lambda, чувствительная к задержкам — холодные старты недопустимы.
Provisioned Concurrency для алиаса. Предварительно инициализирует N сред выполнения; оплата за ГБ-секунду.
Почему: Устраняет холодный старт с предсказуемой стоимостью. Настройте application auto-scaling на алиасе для гибкости при нагрузке.
Lambda на Java или Python с тяжелым init-кодом; требуется быстрый холодный старт без оплаты Provisioned Concurrency.
Включите SnapStart на опубликованной версии. AWS делает снимок инициализированного runtime и возобновляет работу с него.
Почему: Бесплатно для Java; оплачивается за восстановление для Python/.NET. Сокращает холодные старты с секунд до <1 с без затрат на простой.
Lambda должна потреблять поток Kinesis / DynamoDB Stream / очередь SQS / тему MSK.
Event source mapping (pull-based). Lambda опрашивает; размер пакета + максимальное окно пакетирования настраивают пропускную способность по сравнению с задержкой. Сбой → DLQ через On-Failure destination.
Почему: Для pull-источников сервис не может напрямую вызывать Lambda; маппинг — это адаптер опроса Lambda.
Асинхронная маршрутизация успеха/сбоя Lambda без Lambda DLQ.
OnSuccess / OnFailure destinations на функции. Цели: SNS, SQS, EventBridge, другая Lambda. Включает контекст вызова.
Почему: Destinations захватывают полное событие + ответ; устаревший DLQ захватывает только полезную нагрузку события.
Выбрать тип API Gateway для нового REST API.
HTTP API: дешевле, быстрее, встроенная JWT auth, проще. REST API: полные возможности (mapping templates, request validators, WAF, private endpoints, X-Ray, API caching).
Почему: По умолчанию используйте HTTP API, если не требуется функция только для REST. WebSocket APIs — отдельный продукт для stateful real-time.
Продвижение изменений API из dev → test → prod без переразвертывания отдельных API.
Stages на одном API. Разверните stage для публикации; stage variables содержат значения, специфичные для среды, такие как имена алиасов Lambda.
Backend Lambda ожидает другой формат, чем тот, который отправляет клиент.
Request/response mapping template (только для REST API). VTL с `$input`, `$context`, `$util` для преобразования JSON.
Почему: Mapping templates выполняются в API Gateway — без дополнительного хопа Lambda, без дополнительной задержки или стоимости.
Проверить пользовательский токен (не Cognito, не IAM) перед маршрутизацией запроса.
Lambda authorizer. Тип TOKEN считывает заголовок; тип REQUEST считывает полный контекст запроса. Возвращает политику IAM + principalId. Кэшируется для каждой идентичности на срок TTL.
Проверить Cognito User Pool JWT при каждом запросе.
Cognito User Pool authorizer (REST) или JWT authorizer (HTTP). API Gateway проверяет токен; Lambda не нужна.
Почему: Нативная валидация дешевле и быстрее, чем Lambda authorizer для обычных случаев JWT.
Регулировать/квотировать потребителя API партнера.
Usage Plan + API Key. План привязывает ключи к stage с лимитом скорости (req/сек) + burst + квотой (req/день или месяц).
Уменьшить нагрузку на backend для повторяющихся GET-запросов.
Кэш на уровне stage (REST API). TTL настраивается; ключ кэша формируется из метода + пути + выбранных query/header параметров.
Обновить элемент только при выполнении предусловия (например, status == "PENDING").
PutItem/UpdateItem с `ConditionExpression`. Сбой вызывает `ConditionalCheckFailedException`.
Почему: Проверка на стороне сервера избегает read-modify-write гонок без блокировки.
Все или ничего для нескольких элементов DynamoDB.
`TransactWriteItems` / `TransactGetItems`. До 100 элементов / 4 МБ; стоимость WCU/RCU в 2 раза выше, чем у обычных операций записи/чтения.
Увеличить счетчик без read-modify-write.
UpdateExpression `ADD count :inc`. Сервер атомарно применяет дельту.
Итерировать большой набор результатов запроса/сканирования.
`LastEvaluatedKey` из ответа → `ExclusiveStartKey` при следующем вызове до отсутствия. Лимит через параметр `Limit`.
Требуется дополнительный шаблон доступа помимо первичного ключа.
GSI: альтернативный ключ раздела + сортировки, в конечном итоге консистентный, отдельная емкость, может быть добавлен в любое время. LSI: тот же ключ раздела, альтернативный ключ сортировки, опция строгой консистентности, должен быть создан при создании таблицы.
Индексировать только элементы, имеющие определенный атрибут (например, только ACTIVE заказы).
Sparse index: опустите атрибут на элементах, которые вы хотите исключить. Элементы без индексированного атрибута не появляются в GSI/LSI.
Пакетное чтение/запись множества элементов.
`BatchGetItem` (до 100 элементов / 16 МБ) и `BatchWriteItem` (до 25 элементов / 16 МБ). Не атомарно; частичные сбои возвращаются в `UnprocessedItems`.
Предотвратить потерянные обновления от параллельных писателей.
Атрибут версии + `ConditionExpression: version = :v`. Неудавшиеся записи повторяются путем повторного чтения.
Запускать последующие действия при каждом изменении DynamoDB.
DynamoDB Streams + Lambda event source mapping. Представление потока: NEW_IMAGE / OLD_IMAGE / NEW_AND_OLD_IMAGES / KEYS_ONLY.
Браузер загружает/скачивает напрямую в S3 без проксирования байтов вашим сервером.
SDK `getSignedUrl` для GET или PUT. Срок действия до 7 дней при подписании пользователем IAM (sigv4); короче для сессий, производных от роли.
Почему: Снижает нагрузку на пропускную способность вашего backend; URL является временной возможностью, ограниченной одним объектом + методом.
Надежная загрузка большого файла (≫100 МБ) из SDK.
`CreateMultipartUpload` → параллельный `UploadPart` → `CompleteMultipartUpload`. Высокоуровневый менеджер передачи SDK автоматически управляет размером частей.
Почему: Требуется >5 ГБ; рекомендуется ≥100 МБ. Неудавшиеся части загружаются повторно независимо. Настройте жизненный цикл на прерывание незавершенных многочастных загрузок для освобождения хранилища.
Запускать код при создании/удалении объекта в S3.
S3 Event Notifications → Lambda / SNS / SQS / EventBridge. Фильтр по префиксу и суффиксу.
Приложение браузера извлекает данные из S3 между источниками (`fetch('https://bucket.s3...')`); предварительный запрос CORS завершается неудачей.
Настройте правила CORS для бакета: разрешенные источники, методы (GET/PUT), заголовки и открытые заголовки.
Фильтровать строки из объекта CSV/JSON/Parquet размером 50 ГБ без его скачивания.
S3 Select с SQL. Возвращает только соответствующие строки; оплата за сканирование + возвращенные байты.
Вход пользователя с общедоступного мобильного/веб-клиента без отправки пароля.
Cognito User Pool с потоком `USER_SRP_AUTH`. Клиент вычисляет SRP доказательство; backend никогда не видит пароль. Возвращает ID + access + refresh tokens.
Федеративному пользователю (Google/Apple/Cognito UP) требуются временные учетные данные AWS для прямого вызова AWS API из мобильного приложения.
Cognito Identity Pool. Обменивает токен провайдера идентичности → роль IAM → временные учетные данные AWS через STS.
Почему: User Pools аутентифицируют пользователей; Identity Pools авторизуют их для ресурсов AWS.
Выбрать тип рабочего процесса Step Functions.
Standard: длительный (≤1 год), ровно один раз, $0.025/1k переходов, полная история. Express: ≤5 мин, хотя бы один раз или не более одного раза, оплата за запрос + длительность; для высокопроизводительных ETL/streaming.
Шаг рабочего процесса завершается сбоем; требуется повторная попытка с экспоненциальной задержкой и маршрутизация в состояние восстановления.
Массив `Retry` (на состояние, с `BackoffRate` + `MaxAttempts`) и `Catch` для маршрутизации при окончательном сбое. Сопоставление по `ErrorEquals` (например, `States.TaskFailed`, пользовательские имена ошибок).
Применить тот же рабочий процесс к каждому элементу в массиве, с ограничением параллелизма.
Состояние Map с `ItemsPath` и `MaxConcurrency`. Распределенная Map обрабатывает 10k+ элементов с входными данными, поддерживаемыми S3.
Запускать Lambda по расписанию cron или по соответствующим входящим событиям.
Правило EventBridge. Расписание: `rate(...)` или `cron(...)`. Шаблон: JSON-фильтр событий; сопоставление по источнику, типу детали, полям детали.
Маршрутизация событий из SQS / Kinesis / DynamoDB Streams / MSK к цели с опциональным фильтром + преобразованием.
EventBridge Pipes. Source → Filter → Enrichment (Lambda/Step Functions) → Target. Lambda не требуется для простых случаев.
Обработка сообщений строго по порядку для каждого клиента, с дедупликацией.
Очередь SQS FIFO. `MessageGroupId` разделяет порядок (параллелизм на группу); `MessageDeduplicationId` (или дедупликация на основе содержимого) отбрасывает дубликаты в течение 5 минут.
Потребитель извлекает сообщение, но аварийно завершает работу до его удаления.
Сообщение скрывается на VisibilityTimeout секунд, затем снова появляется для повторной доставки. Настройте на самое длительное ожидаемое время обработки + буфер.
Почему: Слишком короткое → дублирующая обработка. Слишком длинное → медленное восстановление при сбое. ChangeMessageVisibility продлевает время в пути, если это необходимо.
Одно событие должно достичь нескольких потребителей (Lambdas / SQS queues / HTTP endpoints).
Тема SNS с несколькими подписчиками. Политики фильтров подписки маршрутизируют только соответствующие сообщения каждому подписчику.
Настройка пропускной способности Kinesis Data Streams для операций записи.
Каждый шард = 1 МБ/с или 1000 записей/с на вход, 2 МБ/с на выход. Добавьте шарды (split) или используйте режим On-Demand для автомасштабирования.
Коду на EC2 / ECS task / Lambda требуется доступ к AWS — без встроенных ключей.
Прикрепите роль IAM через instance profile (EC2) или task/execution role (ECS/Lambda). SDK извлекает временные учетные данные из службы метаданных; автоматически обновляет их.
Меж-аккаунтный доступ из кода приложения или CLI.
`sts:AssumeRole` от вызывающего principal. Политика доверия целевой роли указывает вызывающего как `Principal`. Возвращает временные учетные данные (максимум 12 часов).
Меж-аккаунтный AssumeRole завершается неудачей — разрешения кажутся правильными.
Должны быть установлены оба: политика доверия на целевой роли указывает вызывающего как Principal; политика идентичности вызывающего разрешает `sts:AssumeRole` на ARN целевой роли.
Почему: Доверие = кто может принять роль. Разрешение = что они могут делать после принятия роли. Отсутствие любого из них → AccessDenied.
Политика, которая предоставляет пользователям доступ только к их собственной папке в S3.
Используйте `${aws:username}` или `${aws:PrincipalTag/X}` в ARN ресурсов: `arn:aws:s3:::bucket/${aws:username}/*`.
Позволить команде самостоятельно управлять ролями IAM, но ограничить, какие разрешения они могут предоставлять.
Политика permission boundary на роли создателя команды. Любая роль, которую они создают с boundary, имеет пересечение политики идентичности + boundary как эффективные разрешения.
Ограничить действие по исходному IP / VPC / региону / MFA.
Политика `Condition`: `aws:SourceIp`, `aws:SourceVpc`, `aws:SourceVpce`, `aws:RequestedRegion`, `aws:MultiFactorAuthPresent`.
Клиент SPA / мобильный клиент против server-side сервиса, вызывающего Cognito.
Публичные клиенты (SPA, мобильные) → app client без секрета. Конфиденциальные клиенты (сервер) → app client с секретом; клиент должен включать `SECRET_HASH` (HMAC имени пользователя + clientId).
Различать токены Cognito ID token vs Access token vs Refresh token.
ID = утверждения личности пользователя (использовать на клиенте). Access = ограниченная авторизация для API. Refresh = получение новых токенов ID/access. Все JWT, кроме Refresh.
Готовый UI для входа/регистрации без создания форм.
Cognito Hosted UI. Поток авторизационного кода OAuth2: перенаправление на `/oauth2/authorize` → URL обратного вызова с `code` → обмен в `/oauth2/token`.
Зашифровать небольшой секрет (≤4 КБ) напрямую с помощью KMS.
`kms:Encrypt` возвращает ciphertext blob, содержащий ARN ключа. `kms:Decrypt` восстанавливает plaintext, если у вызывающего есть разрешение и (если указано) `EncryptionContext` совпадает.
Зашифровать большие данные с помощью KMS, не превышая лимит прямого шифрования в 4 КБ.
Envelope encryption. `GenerateDataKey` возвращает plaintext + зашифрованный DEK; шифруйте данные локально с помощью DEK, храните зашифрованный DEK рядом, отбрасывайте plaintext DEK.
Почему: KMS обеспечивает контроль доступа к небольшому DEK; массовое шифрование происходит локально со скоростью линии.
Предоставить другому principal доступ к CMK на ограниченное время без редактирования политики ключа.
Создайте грант `kms:CreateGrant`, ограничивающий операции + получателя. Отзовите с помощью `RetireGrant`.
Непрямое обращение к ключу KMS, чтобы базовый CMK мог ротироваться без изменения кода.
Используйте `alias/my-key` (или `arn:aws:kms:region:acct:alias/my-key`). Обновите алиас, чтобы он указывал на новый CMK; потребители продолжают работать.
Выбрать хранилище учетных данных.
Secrets Manager: встроенная ротация, нативная интеграция с RDS/Redshift/DocumentDB, $0.40/секрет/мес. Parameter Store SecureString: бесплатный уровень (Standard), нет встроенной ротации, стратифицированные пути `/app/env/key`.
Автоматическая ротация учетных данных RDS.
Нативная ротация Secrets Manager (управляемая Lambda) для Aurora/RDS/DocumentDB/Redshift. Паттерн master/user использует отдельный мастер-секрет для ротации пользовательского секрета.
Хранить значение конфигурации с KMS-шифрованием в состоянии покоя в Parameter Store.
Тип параметра SecureString. Укажите `--key-id` для пользовательского CMK; в противном случае используется `aws/ssm`. Для дешифрования требуется `kms:Decrypt` на CMK.
Ограничить доступ к CloudFront для аутентифицированных пользователей.
Подписанные URL (один ресурс) или подписанные cookies (несколько ресурсов, SPAs/streaming). Подписывайте с помощью пары ключей CloudFront, хранящейся как публичный ключ в группе ключей CloudFront.
Выбрать режим серверного шифрования S3.
SSE-S3 (управляемый AES-256, по умолчанию), SSE-KMS (CMK, аудит через CloudTrail, политика ключей), SSE-C (ключи, предоставленные клиентом, управляете вы), DSSE-KMS (двухслойное для высокой соответствия).
Найти роли/политики, которые предоставляют доступ за пределами аккаунта или являются излишне разрешительными.
IAM Access Analyzer. Находки по внешнему доступу; генерация политик из истории CloudTrail для определения наименьших привилегий.
Переменная среды Lambda содержит конфиденциальное значение.
Lambda по умолчанию шифрует переменные среды в состоянии покоя с помощью KMS. Для контроля при передаче/расшифровке настройте пользовательский CMK и используйте встроенные помощники шифрования в консоли для отправки предварительно зашифрованного текста.
Браузер → API Gateway с заголовком `Authorization` блокируется предварительным запросом.
Добавьте метод OPTIONS (mock integration). Разрешите `Authorization` в `Access-Control-Allow-Headers`; разрешите вызывающим сторонам в `Access-Control-Allow-Origin`.
Подписать пользовательский HTTP-запрос к сервису AWS из кода, не использующего SDK.
Sigv4: получить ключ подписи из секрета + даты + региона + сервиса; канонизировать запрос; подписать; добавить заголовки `Authorization`, `X-Amz-Date`, `X-Amz-Security-Token`.
Принять широкую роль, но сузить ее для конкретной сессии.
`AssumeRole` с `Policy` (встроенная политика сессии) дополнительно ограничивает эффективные разрешения: пересечение роли + политики сессии.
Доступ к S3 запрещен, хотя политика IAM разрешает его.
Оцениваются как политика бакета, так и политика идентичности. Явный отказ где-либо имеет приоритет. Настройки Block Public Access также могут отменять разрешение.
Создать CI/CD конвейер: source → build → test → deploy с ручным утверждением production.
Стадии CodePipeline, каждая с одним или несколькими действиями. Действие Manual Approval между Test и Deploy. Source = CodeCommit / GitHub / S3 / ECR.
Определить шаги сборки для CodeBuild.
`buildspec.yml` в корне репозитория. Фазы: `install`, `pre_build`, `build`, `post_build`. Выходные данные: `artifacts.files`, `cache.paths`. Переменные среды через `env.variables` или ссылки на Parameter Store/Secrets Manager.
Переместить трафик Lambda на 10%, затем на 100% с автоматическим откатом при срабатывании тревог.
CodeDeploy с `LambdaCanary10Percent5Minutes` / `10Percent10Minutes` / `10Percent15Minutes` / `10Percent30Minutes`. Настройте CloudWatch alarms в DeploymentGroup.
Постепенное развертывание Lambda равными приращениями.
`LambdaLinear10PercentEvery1Minute` / `2Minutes` / `3Minutes` / `10Minutes`. Каждое приращение сдвигает +10% до 100%.
Blue/green развертывание для сервиса ECS за ALB.
CodeDeploy Compute Platform = ECS. Создает зеленый набор задач; ALB переключает слушателя на зеленую целевую группу; опциональное ручное утверждение перед переключением трафика и перед завершением синей группы.
Обновить парк EC2 без полного простоя.
Развертывание на месте с конфигурациями `OneAtATime` / `HalfAtATime` / `AllAtOnce`. Хуки Auto Scaling Group приостанавливают запуск новых экземпляров во время развертывания.
Размещать Git-репозитории внутри AWS с IAM-контролируемым доступом.
CodeCommit. Аутентификация: SSH-ключи для каждого пользователя IAM, HTTPS Git-учетные данные для каждого пользователя IAM или помощник по учетным данным AWS CLI. Триггеры через SNS / Lambda при push.
Выбрать инструмент IaC для serverless приложения.
CDK: языки программирования (TS/Python/Java/Go/.NET), полные конструкты приложения, шаблоны нескольких ресурсов. SAM: YAML-расширение CFN, ориентированное на serverless, проще. Оба компилируются в CloudFormation.
Определить стек Lambda + API Gateway + DynamoDB с минимальным YAML.
`Transform: AWS::Serverless-2016-10-31`. Ресурсы: `AWS::Serverless::Function`, `Api`, `SimpleTable`. `sam build` → `sam deploy --guided`.
Структура кода автора CDK.
`App` содержит один или несколько `Stack`ов. Каждый Stack содержит конструкты (L1/L2/L3). `cdk synth` → CFN шаблон. `cdk deploy` развертывает через CFN.
Выбрать уровень конструкта CDK.
L1 = сырой CFN (`CfnXxx`). L2 = курируемые обертки с безопасными значениями по умолчанию (наиболее распространены). L3 = паттерны, объединяющие несколько ресурсов для полных архитектур (например, `LambdaRestApi`).
Предварительный просмотр изменений перед применением к стеку CloudFormation.
`create-change-set` → просмотр JSON добавлений/модификаций/замен → `execute-change-set`. Действия замены вызывают повторное создание ресурса.
Обновление стека завершается сбоем на полпути.
CloudFormation автоматически откатывается, если `DisableRollback` не установлен в true. Застряли в `UPDATE_ROLLBACK_FAILED`? Используйте `ContinueUpdateRollback` с `ResourcesToSkip`.
Предотвратить случайное обновление критического ресурса (например, RDS DB) во время обновлений стека.
Политика стека: JSON, запрещающий `Update:Replace` и `Update:Delete` для логического ID ресурса. Обход с явным переопределением при конкретном обновлении.
Повторное использование инфраструктуры между стеками.
Вложенные стеки (`AWS::CloudFormation::Stack` с `TemplateURL`) для повторного использования, принадлежащие одному родителю. Межстековые через Outputs + `Fn::ImportValue` для более тесной связи между отдельными стеками.
Внедрить значение Parameter Store или секрет Secrets Manager в шаблон CFN.
`{{resolve:ssm:/path/to/param}}`, `{{resolve:ssm-secure:/path}}`, `{{resolve:secretsmanager:secret-id:SecretString:json-key}}`. Разрешается во время развертывания.
Выбрать политику развертывания Elastic Beanstalk.
Все сразу (самый быстрый, простой), Rolling (без дополнительных экземпляров, частичная емкость), Rolling с дополнительной партией (без потери емкости, дополнительные затраты), Immutable (новая ASG, самый безопасный), Blue/Green (отдельная среда, обмен CNAME).
Настроить среду Elastic Beanstalk (пакеты, файлы, команды контейнеров).
`.ebextensions/*.config` YAML в исходном пакете. Новые платформы: `.platform/hooks/...` shell-скрипты для жизненного цикла prebuild/predeploy/postdeploy.
Требуется стабильный, никогда не изменяющийся артефакт Lambda.
Опубликовать нумерованную версию. Код + большая часть конфигурации (память, таймаут, переменные среды, слои) замораживаются. `$LATEST` изменяемый; нумерованные версии — нет.
Загрузить Docker образ в ECR для ECS / EKS / Lambda.
`aws ecr get-login-password | docker login` → `docker tag` → `docker push`. Образы контейнеров Lambda: образ извлекается один раз при развертывании; помеченный образ должен быть в том же регионе.
Выполнить одноразовую пакетную задачу или долгосрочный веб-сервис на ECS.
RunTask = одиночная задача, завершается и выходит. Service = поддерживает N желаемых задач, перезапускает сбои, интегрируется с ALB/NLB.
Сократить затраты на вычисления для отказоустойчивых рабочих нагрузок ECS.
Провайдер емкости Fargate Spot. Смешивайте с обычным Fargate через веса и базовые значения. Задачи могут быть прерваны с предупреждением за 2 минуты.
Отследить запрос, который распределяется по Lambda → DynamoDB → внешнему HTTP.
X-Ray сегменты на каждом шаге сервиса, подсегменты для нижестоящих вызовов. Карта сервисов визуализирует топологию + задержку. Правила семплирования ограничивают объем.
Прикрепить к трассировке X-Ray поисковые данные vs справочные данные.
Annotations: индексируются, фильтруются в консоли (например, `customerId`, `tier`). Metadata: не индексируются, свободная форма (тело запроса, тело ответа для отладки).
Высокая стоимость X-Ray в production.
Пользовательское правило семплирования. По умолчанию: первые 1 запрос/с + 5% от дополнительных. Правила сопоставляются по сервису / пути URL / методу.
Запросить логи Lambda на наличие ошибок за последний час, сгруппированные по 5-минутным интервалам.
CloudWatch Logs Insights: `fields @timestamp, @message | filter @message like /ERROR/ | stats count() by bin(5m)`.
Сгенерировать пользовательскую метрику из шаблона лога (например, количество `OutOfMemoryError`).
Метрический фильтр для группы логов. Шаблон соответствует событиям логов; фильтр создает пользовательскую метрику CloudWatch, по которой можно настроить тревогу.
Выдавать пользовательские метрики из Lambda без отдельного вызова API `PutMetricData`.
Embedded Metric Format: записывать структурированный JSON в stdout; CloudWatch анализирует логи и создает метрики. Дешевле и асинхронно.
Почему: Разделяет путь метрики от пути запроса; нет задержки API или дополнительных разрешений IAM.
Приложение выдает пользовательские метрики высокого разрешения каждую секунду.
`PutMetricData` с `StorageResolution=1` для гранулярности в 1 секунду. Стандартное разрешение 60 секунд; высокое разрешение стоит дороже.
Холодные старты Lambda достигают целевых значений задержки p99.
Provisioned Concurrency для предсказуемой нагрузки. SnapStart для кода Java/Python с тяжелой инициализацией. Уменьшите зависимости, используйте ARM/Graviton, вынесите тяжелую инициализацию за пределы обработчика.
Выбрать объем памяти Lambda для наилучшего соотношения стоимости/задержки.
Память также масштабирует CPU + сеть. Используйте конечный автомат AWS Lambda Power Tuning для перебора памяти и нахождения оптимального значения для вашей рабочей нагрузки.
Длительный вызов Lambda достигает жесткого лимита в 15 минут.
Разбить на Step Functions; перенести на Fargate (длительные задачи) или Batch (HPC). Максимальное время Lambda составляет 900 секунд; не подлежит обсуждению.
`TooManyRequestsException` от Lambda; достигнут лимит параллелизма.
Reserved concurrency на функцию (ограничивает + резервирует) или запросить увеличение лимита на уровне аккаунта. Асинхронные вызовы ставятся в очередь и повторяются; синхронные вызовы выдают ошибку.
DynamoDB возвращает `ProvisionedThroughputExceededException`.
CloudWatch `WriteThrottleEvents` / `ReadThrottleEvents`. Переключитесь в режим On-Demand, увеличьте provisioned capacity или исправьте "горячий" раздел с помощью лучшего дизайна ключей.
Один ключ раздела получает непропорционально большой трафик; троттлинг при низкой общей нагрузке.
Перепроектировать ключ раздела с высокой кардинальностью. Для записи: добавить префикс со случайным шардом (например, `shard#user`); для чтения: scatter-gather по шардам.
Требуется микросекундная задержка чтения DynamoDB без изменения логики приложения.
Кластер DAX + SDK DAX как замена SDK DynamoDB. Чтения обслуживаются из кэша в памяти; записи записываются сквозным образом в таблицу.
Выбрать стратегию кэширования для ElastiCache / DAX.
Ленивая загрузка (промах кэша → DB → заполнение кэша): кэширует только запрошенные данные, но подвержена устареванию. Сквозная запись (запись в кэш + DB при каждой записи): всегда свежие данные, но записи имеют дополнительные затраты. TTL ограничивает устаревание в любом случае.
API Gateway возвращает 429 Too Many Requests.
По умолчанию на уровне аккаунта: 10 000 запросов/с + 5 000 burst. Переопределения на уровне stage и метода; регулирование на ключ через Usage Plans для контроля уровня партнеров.
Временные ошибки сервиса AWS при высокой нагрузке.
SDK AWS автоматически повторяет попытки с экспоненциальной задержкой + jitter. Настройте `RetryMode = adaptive` или `standard`; настройте `maxAttempts`.
CloudFront выдает устаревший контент после развертывания.
Инвалидация путей (`/index.html`, `/*`) — оплачивается за путь свыше 1000/месяц бесплатно. Лучше: версионированные имена файлов (`app.abc123.js`), чтобы кэш обходился естественным образом.
