2025年AWS认证解决方案架构师专业级:大规模企业环境下RAM
2025年AWS认证解决方案架构师专业级:大规模企业环
境下RAM的治理与自动化策略专题试卷及解析
2025年AWS认证解决方案架构师专业级:大规模企业环境下RAM的治理与自
动化策略专题试卷及解析
第一部分:单项选择题(共10题,每题2分)
1、某跨国企业需要为不同区域的开发团队提供精细化的AWS资源访问控制,同
时要求权限变更必须经过审批流程。以下哪种方案最适合实现这一需求?
A、直接使用IAM用户和组管理权限
B、通过AWSControlTower实施集中式治理
C、利用AWSRAM共享跨账户资源并设置权限边界
D、采用IAMRolesAnywhere实现本地身份集成
【答案】B
【解析】正确答案是B。AWSControlTower提供预置的护栏机制,可以强制实施
权限变更审批流程,同时支持多区域集中治理。A选项缺乏自动化治理能力;C选项主
要用于资源共享而非权限审批;D选项解决的是身份集成问题而非审批流程。知识点:
ControlTower治理框架。易错点:混淆RAM资源共享与权限治理的区别。
2、某企业需要自动检测IAM策略中过于宽松的权限配置,并生成修复建议。应该
优先考虑以下哪种服务?
A、AWSConfig
B、IAMAccessAnalyzer
C、AWSSecurityHub
D、AWSTrustedAdvisor
【答案】B
【解析】正确答案是B。IAMAccessAnalyzer专门用于分析IAM策略并提供权限
最小化建议。A选项侧重配置合规性检查;C选项是安全事件聚合平台;D选项提供成
本优化和最佳实践建议。知识点:IAM权限分析工具。易错点:忽略AccessAnalyzer
的权限优化专项能力。
3、在多账户环境中,需要确保所有账户的S3存储桶加密策略保持一致。最佳实现
方式是?
A、手动在每个账户配置IAM策略
B、使用AWSOrganizations服务控制策略(SCP)
C、通过AWSRAM共享加密策略
D、启用S3默认加密功能
【答案】B
2025年AWS认证解决方案架构师专业级:大规模企业环境下RAM
【解析】正确答案是B。SCP可以强制所有成员账户继承统一的加密策略要求。A
选项缺乏可扩展性;C选项不支持策略共享;D选项只是账户级默认设置,无法强制一
致性。知识点:组织级策略治理。易错点:混淆SCP与IAM策略的作用范围。
4、某企业需要实现开发环境的临时权限授予,权限应在代码部署完成后自动撤销。
应该使用哪种机制?
A、IAM用户长期凭证
B、IAM角色与临时凭证
C、AWSKMS密钥轮换
D、RAM资源共享
【答案】B
【解析】正确答案是B。IAM角色结合STS临时凭证可以自动过期,适合临时授权
场景。A选项存在安全风险;C选项与权限管理无关;D选项用于资源共享而非权限控
制。知识点:临时凭证管理。易错点:忽略临时凭证的自动过期特性。
5、需要监控所有账户的IAM角色创建活动,并触发告警。最有效的方案是?
A、定期审计CloudTrail日志
B、使用AWSConfig规则
C、配置CloudWatchEvents+Lambda
D、启用IAM访问密钥轮换
【答案】C
【解析】正确答案是C。CloudWatchEvents可以实时捕获IAMAPI调用,结合
Lambda实现即时告警。A选项存在延迟;B选项侧重配置状态而非活动监控;D选项
与角色创建无关。知识点:实时权限监控。易错点:混淆配置监控与活动监控的区别。
6、某企业需要限制特定IAM角色只能从受信任的IP地址访问AWS资源。应该
配置什么?
A、VPC端点策略
B、IAM条件密钥
C、安全组规则
D、RAM资源共享限制
【答案】B
【解析】正确答案是B。IAM条件密钥aws:SourceIp可以限制访问来源IP。A选
项控制VPC内访问;C选项工作