第第PAGE\MERGEFORMAT1頁共NUMPAGES\MERGEFORMAT1頁aws云從業(yè)者認證考試題庫及答案解析（含答案及解析）姓名：科室/部門/班級：得分：題型單選題多選題判斷題填空題簡答題案例分析題總分得分

一、單選題（共20分）

1.在AWS云環(huán)境中，以下哪種服務主要用于提供持久化塊存儲卷？

（）A.AmazonS3

（）B.AmazonEC2

（）C.AmazonEBS

（）D.AmazonRDS

2.當AWS實例發(fā)生意外中斷時，以下哪種機制可以確保實例狀態(tài)自動恢復？

（）A.自動擴展組（AutoScalingGroup）

（）B.多可用區(qū)部署（Multi-AZDeployment）

（）C.ElasticDisasterRecovery

（）D.AMI狀態(tài)恢復

3.在AWS安全組配置中，以下哪種規(guī)則類型屬于“默認拒絕”策略？

（）A.入站規(guī)則（InboundRule）

（）B.出站規(guī)則（OutboundRule）

（）C.默認允許（DefaultAllow）

（）D.默認拒絕（DefaultDeny）

4.對于需要高I/O性能的AWS實例，以下哪種類型最適合？

（）A.t3微型實例

（）B.m5中型實例

（）C.io1加速I/O實例

（）D.r5內(nèi)存優(yōu)化實例

5.在AWSVPC網(wǎng)絡中，以下哪種服務可以用于實現(xiàn)跨地域的私有網(wǎng)絡連接？

（）A.VPN連接（VPNConnection）

（）B.DirectConnect

（）C.AWSTransitGateway

（）D.AWSSite-to-SiteVPN

6.當AWS安全日志（CloudTrail）記錄到可疑API調(diào)用時，以下哪種工具最適合進行實時監(jiān)控？

（）A.AWSCloudWatch

（）B.AWSConfig

（）C.AWSSecurityHub

（）D.AWSGuardDuty

7.在AWSEC2實例中，以下哪種密鑰對（KeyPair）類型必須使用SSH密鑰？

（）A.RSA密鑰

（）B.ECDSA密鑰

（）C.AWS管理密鑰

（）D.AWSKMS密鑰

8.當AWS實例需要訪問S3存儲桶時，以下哪種權(quán)限模型最安全？

（）A.完全訪問（FullAccess）

（）B.IAM角色綁定

（）C.桶策略授權(quán)

（）D.賬戶策略授權(quán)

9.在AWSLambda函數(shù)中，以下哪種事件源（EventSource）適合處理大量并發(fā)請求？

（）A.AmazonSQS

（）B.AmazonSNS

（）C.DynamoDBStreams

（）D.CloudWatchEvents

10.當AWS實例需要與本地數(shù)據(jù)中心通信時，以下哪種服務最適合？

（）A.AWSDirectConnect

（）B.VPN連接

（）C.AWSCloudFront

（）D.AWSElasticBeanstalk

11.在AWSIAM權(quán)限設計中，以下哪種原則可以減少權(quán)限泄露風險？

（）A.最小權(quán)限原則（PrincipleofLeastPrivilege）

（）B.權(quán)限繼承原則

（）C.越權(quán)訪問原則

（）D.權(quán)限開放原則

12.當AWSRDS實例發(fā)生主節(jié)點故障時，以下哪種架構(gòu)可以自動切換？

（）A.基礎架構(gòu)冗余組

（）B.多可用區(qū)部署

（）C.自動主備復制

（）D.全球數(shù)據(jù)庫服務

13.在AWSELB負載均衡中，以下哪種類型最適合處理靜態(tài)文件請求？

（）A.ApplicationLoadBalancer

（）B.NetworkLoadBalancer

（）C.ClassicLoadBalancer

（）D.ApplicationLoadBalancerwithPath-BasedRouting

14.當AWS實例需要訪問彈性文件系統(tǒng)（EFS）時，以下哪種網(wǎng)絡配置最合適？

（）A.VPC對等連接

（）B.VPN連接

（）C.NAT網(wǎng)關

（）D.CloudFront分發(fā)

15.在AWSCloudWatch監(jiān)控中，以下哪種指標最適合用于性能瓶頸分析？

（）A.CPU使用率

（）B.網(wǎng)絡流量

（）C.存儲IOPS

（）D.應用錯誤率

16.當AWS用戶需要跨賬戶訪問資源時，以下哪種機制最適合？

（）A.跨賬戶角色（Cross-AccountRole）

（）B.賬戶鏈接

（）C.資源訪問策略

（）D.賬戶合并

17.在AWSEC2實例中，以下哪種安全措施可以防止暴力破解？

（）A.密碼復雜度策略

（）B.多因素認證（MFA）

（）C.安全組規(guī)則

（）D.IP白名單

18.當AWS用戶需要將數(shù)據(jù)備份到異地時，以下哪種服務最適合？

（）A.S3交叉區(qū)域復制

（）B.RDS備份

（）C.Glacier存儲

（）D.EBS快照

19.在AWSLambda函數(shù)中，以下哪種配置可以減少冷啟動延遲？

（）A.啟動類型優(yōu)化

（）B.內(nèi)存分配調(diào)整

（）C.函數(shù)版本控制

（）D.網(wǎng)絡帶寬優(yōu)化

20.當AWS用戶需要監(jiān)控API調(diào)用安全時，以下哪種工具最適合？

（）A.AWSSecurityHub

（）B.AWSWAF

（）C.AWSGuardDuty

（）D.CloudTrail

二、多選題（共15分，多選、錯選均不得分）

21.在AWSVPC網(wǎng)絡中，以下哪些服務可以用于實現(xiàn)網(wǎng)絡隔離？

（）A.子網(wǎng)（Subnet）

（）B.安全組（SecurityGroup）

（）C.NACL（網(wǎng)絡訪問控制列表）

（）D.VPC對等連接

（）E.VPN連接

22.當AWS實例需要與S3存儲桶通信時，以下哪些配置可以提高訪問性能？

（）A.VPC綁定S3

（）B.VPC對等連接

（）C.NAT網(wǎng)關

（）D.CloudFront分發(fā)

（）E.存儲桶策略優(yōu)化

23.在AWSIAM權(quán)限設計中，以下哪些原則可以降低安全風險？

（）A.最小權(quán)限原則

（）B.賬戶權(quán)限分離

（）C.權(quán)限繼承

（）D.定期權(quán)限審計

（）E.權(quán)限開放

24.當AWS用戶需要監(jiān)控資源使用情況時，以下哪些工具最適合？

（）A.AWSCloudWatch

（）B.AWSCostExplorer

（）C.AWSBudgets

（）D.AWSConfig

（）E.AWSTrustedAdvisor

25.在AWSELB負載均衡中，以下哪些類型可以處理HTTPS請求？

（）A.ApplicationLoadBalancer

（）B.NetworkLoadBalancer

（）C.ClassicLoadBalancer

（）D.ApplicationLoadBalancerwithPath-BasedRouting

（）E.NATGateway

三、判斷題（共10分，每題0.5分）

26.在AWS實例中，EBS卷比實例存儲（InstanceStore）更適合長期數(shù)據(jù)存儲。

（）

27.AWS安全組可以像防火墻一樣控制入站和出站流量。

（）

28.AWSS3存儲桶默認支持跨地域訪問。

（）

29.AWSLambda函數(shù)可以無限制地執(zhí)行，無需擔心資源耗盡。

（）

30.AWSCloudTrail可以記錄所有API調(diào)用，但無法用于安全監(jiān)控。

（）

31.AWSIAM角色不需要顯式創(chuàng)建，可以直接使用。

（）

32.AWSRDS實例默認支持自動故障轉(zhuǎn)移。

（）

33.AWSDirectConnect可以用于建立跨地域的私有網(wǎng)絡連接。

（）

34.AWSEFS存儲可以跨多個AZ和多個賬戶共享。

（）

35.AWSCloudWatch可以監(jiān)控所有AWS資源的指標。

（）

四、填空題（共10分，每空1分）

1.在AWSVPC網(wǎng)絡中，________是邏輯隔離的子網(wǎng)，________是物理隔離的子網(wǎng)。

________或________可以用于實現(xiàn)跨賬戶資源訪問。

2.AWSIAM角色分為________和________兩種類型，其中________可以用于跨賬戶訪問。

3.AWSELB負載均衡分為________、________和________三種類型，其中________適合處理HTTPS請求。

4.AWSS3存儲桶的訪問策略包括________和________兩種類型，其中________可以用于精細控制訪問權(quán)限。

5.AWSCloudTrail可以記錄所有________，但無法記錄________。

五、簡答題（共30分）

41.請簡述AWSVPC網(wǎng)絡的基本架構(gòu)，并說明其主要組件的功能。（6分）

42.請說明AWSIAM角色的作用，并列舉三種常見的IAM角色使用場景。（6分）

43.請簡述AWSELB負載均衡的工作原理，并說明其與Nginx的主要區(qū)別。（6分）

44.請說明AWSS3存儲桶的訪問控制策略，并解釋如何實現(xiàn)跨賬戶訪問。（6分）

45.請簡述AWSCloudWatch的主要功能，并說明其與Prometheus的主要區(qū)別。（6分）

六、案例分析題（共25分）

46.某電商公司計劃將現(xiàn)有應用遷移到AWS云平臺，應用需要高可用性、高性能，并支持全球用戶訪問。請結(jié)合AWS服務，設計一個符合要求的架構(gòu)方案，并說明其主要組件的選型依據(jù)。（25分）

一、單選題（共20分）

1.C

解析：AmazonEBS（彈性塊存儲）主要用于提供持久化塊存儲卷，支持多種卷類型（如gp2、io1、st1）。

A選項錯誤，AmazonS3是對象存儲服務，不提供塊存儲；B選項錯誤，AmazonEC2是虛擬機服務，使用EBS作為存儲；D選項錯誤，AmazonRDS是數(shù)據(jù)庫服務，使用EBS作為存儲。

2.B

解析：多可用區(qū)部署（Multi-AZDeployment）可以確保實例在主可用區(qū)故障時自動切換到備用可用區(qū)，實現(xiàn)高可用性。

A選項錯誤，自動擴展組（AutoScalingGroup）用于自動調(diào)整實例數(shù)量，不保證實例狀態(tài)恢復；C選項錯誤，ElasticDisasterRecovery是第三方服務，不屬于AWS核心服務；D選項錯誤，AMI狀態(tài)恢復是指AMI文件的狀態(tài)恢復，不涉及實例狀態(tài)恢復。

3.D

解析：AWS安全組默認采用“默認拒絕”策略，只有明確配置的入站和出站規(guī)則才會被允許。

A、B選項錯誤，入站規(guī)則和出站規(guī)則都是明確配置的規(guī)則，不是默認策略；C選項錯誤，默認允許是另一種策略，但安全組默認是默認拒絕。

4.C

解析：io1加速I/O實例（I/OOptimizedInstances）專為需要高I/O性能的應用設計，如數(shù)據(jù)庫和ERP系統(tǒng)。

A選項錯誤，t3微型實例是通用計算實例；B選項錯誤，m5中型實例是通用計算實例；D選項錯誤，r5內(nèi)存優(yōu)化實例是內(nèi)存密集型實例。

5.C

解析：AWSTransitGateway可以實現(xiàn)跨地域的私有網(wǎng)絡連接，支持多個VPC和VPN連接。

A選項錯誤，VPN連接是點對點連接，不支持跨地域；B選項錯誤，DirectConnect是專有網(wǎng)絡連接，不支持跨地域；D選項錯誤，AWSSite-to-SiteVPN是VPN連接，不支持跨地域。

6.A

解析：AWSCloudWatch可以實時監(jiān)控API調(diào)用，并支持告警和自動響應。

B選項錯誤，AWSConfig用于配置管理，不支持實時監(jiān)控；C選項錯誤，AWSSecurityHub是安全監(jiān)控平臺，不支持實時監(jiān)控；D選項錯誤，AWSGuardDuty是威脅檢測服務，不支持實時監(jiān)控。

7.A

解析：AWSEC2實例默認使用RSA密鑰對，支持SSH密鑰和ECDSA密鑰，但SSH密鑰是基礎類型。

B選項錯誤，ECDSA密鑰是另一種類型，但不是默認類型；C選項錯誤，AWS管理密鑰是KMS服務，不用于EC2密鑰對；D選項錯誤，AWSKMS密鑰是密鑰管理服務，不用于EC2密鑰對。

8.B

解析：IAM角色綁定（IAMRoleBinding）可以限制用戶權(quán)限，避免完全訪問權(quán)限泄露。

A選項錯誤，完全訪問權(quán)限風險過高；C選項錯誤，桶策略授權(quán)適用于特定存儲桶，不適用于所有資源；D選項錯誤，賬戶策略授權(quán)適用于整個賬戶，過于寬泛。

9.C

解析：DynamoDBStreams可以處理大量并發(fā)請求，支持實時數(shù)據(jù)流。

A選項錯誤，AmazonSQS是隊列服務，適合異步處理；B選項錯誤，AmazonSNS是通知服務，不適合大量并發(fā)；D選項錯誤，CloudWatchEvents是事件觸發(fā)服務，不適合數(shù)據(jù)流。

10.A

解析：AWSDirectConnect可以建立專用網(wǎng)絡連接，支持本地數(shù)據(jù)中心與AWS云的通信。

B選項錯誤，VPN連接是點對點連接，不適合大量數(shù)據(jù)傳輸；C選項錯誤，AWSCloudFront是CDN服務，不用于網(wǎng)絡連接；D選項錯誤，AWSElasticBeanstalk是應用部署服務，不用于網(wǎng)絡連接。

11.A

解析：最小權(quán)限原則（PrincipleofLeastPrivilege）可以減少權(quán)限泄露風險，只授予必要的權(quán)限。

B、C、D選項錯誤，這些原則會增加安全風險。

12.B

解析：多可用區(qū)部署（Multi-AZDeployment）可以確保RDS實例在主節(jié)點故障時自動切換到備用節(jié)點。

A選項錯誤，基礎架構(gòu)冗余組不是AWS服務；C選項錯誤，自動主備復制是RDS功能，但不是自動切換；D選項錯誤，全球數(shù)據(jù)庫服務是跨地域服務，不適合單地域切換。

13.A

解析：ApplicationLoadBalancer（ALB）適合處理靜態(tài)文件請求，支持HTTP/HTTPS協(xié)議。

B選項錯誤，NetworkLoadBalancer（NLB）適合高流量應用；C選項錯誤，ClassicLoadBalancer（CLB）不支持HTTPS；D選項錯誤，ALBwithPath-BasedRouting是ALB的擴展，但基本類型是ALB。

14.A

解析：VPC對等連接（VPCPeering）可以實現(xiàn)不同VPC之間的私有網(wǎng)絡通信，適合訪問EFS存儲系統(tǒng)。

B選項錯誤，VPN連接是點對點連接，不適合多VPC；C選項錯誤，NAT網(wǎng)關用于公網(wǎng)訪問，不適合私有網(wǎng)絡；D選項錯誤，CloudFront分發(fā)是CDN服務，不用于網(wǎng)絡連接。

15.C

解析：存儲IOPS（Input/OutputOperationsPerSecond）指標適合用于分析存儲性能瓶頸。

A選項錯誤，CPU使用率是計算性能指標；B選項錯誤，網(wǎng)絡流量是網(wǎng)絡性能指標；D選項錯誤，應用錯誤率是應用性能指標。

16.A

解析：跨賬戶角色（Cross-AccountRole）可以允許用戶跨賬戶訪問資源，實現(xiàn)資源共享。

B選項錯誤，賬戶鏈接是賬戶合并，不用于資源訪問；C選項錯誤，資源訪問策略是具體策略，不適用于跨賬戶；D選項錯誤，賬戶合并是賬戶合并，不用于資源訪問。

17.A

解析：密碼復雜度策略可以防止暴力破解，要求密碼必須包含字母、數(shù)字和特殊字符。

B選項錯誤，MFA是多因素認證，不直接防止暴力破解；C選項錯誤，安全組規(guī)則是網(wǎng)絡訪問控制，不防止暴力破解；D選項錯誤，IP白名單是訪問控制，不防止暴力破解。

18.A

解析：S3交叉區(qū)域復制（Cross-RegionReplication）可以將數(shù)據(jù)備份到異地，實現(xiàn)數(shù)據(jù)冗余。

B選項錯誤，RDS備份是數(shù)據(jù)庫備份，不適用于所有數(shù)據(jù)；C選項錯誤，Glacier存儲是歸檔存儲，不適合實時備份；D選項錯誤，EBS快照是卷快照，不適用于所有數(shù)據(jù)。

19.A

解析：啟動類型優(yōu)化（PackedAMI）可以減少Lambda函數(shù)的冷啟動延遲。

B選項錯誤，內(nèi)存分配調(diào)整可以提高性能，但不減少冷啟動延遲；C選項錯誤，函數(shù)版本控制是版本管理，不減少冷啟動延遲；D選項錯誤，網(wǎng)絡帶寬優(yōu)化是網(wǎng)絡性能，不減少冷啟動延遲。

20.D

解析：CloudTrail可以記錄所有API調(diào)用，并支持安全監(jiān)控和審計。

A選項錯誤，AWSSecurityHub是安全監(jiān)控平臺，不記錄API調(diào)用；B選項錯誤，AWSWAF是Web防火墻，不記錄API調(diào)用；C選項錯誤，AWSGuardDuty是威脅檢測服務，不記錄API調(diào)用。

二、多選題（共15分，多選、少選、錯選均不得分）

21.ABC

解析：子網(wǎng)（Subnet）和NACL（網(wǎng)絡訪問控制列表）可以用于實現(xiàn)網(wǎng)絡隔離，VPC對等連接和VPN連接可以實現(xiàn)跨賬戶網(wǎng)絡隔離。

E選項錯誤，AWSCloudFront是CDN服務，不用于網(wǎng)絡隔離。

22.ABD

解析：VPC綁定S3可以提高訪問性能，VPC對等連接和CloudFront分發(fā)可以減少網(wǎng)絡延遲。

C選項錯誤，NAT網(wǎng)關主要用于公網(wǎng)訪問，不提高訪問性能；E選項錯誤，存儲桶策略優(yōu)化是訪問控制，不直接提高訪問性能。

23.ABD

解析：最小權(quán)限原則和賬戶權(quán)限分離可以降低安全風險，定期權(quán)限審計和權(quán)限開放可以增加安全風險。

C選項錯誤，權(quán)限繼承會增加安全風險；E選項錯誤，權(quán)限開放會增加安全風險。

24.ABCD

解析：AWSCloudWatch、AWSCostExplorer、AWSBudgets和AWSConfig都可以監(jiān)控資源使用情況。

E選項錯誤，AWSTrustedAdvisor是最佳實踐建議，不用于監(jiān)控。

25.AB

解析：ApplicationLoadBalancer和NetworkLoadBalancer都可以處理HTTPS請求。

C選項錯誤，ClassicLoadBalancer不支持HTTPS；D選項錯誤，ApplicationLoadBalancerwithPath-BasedRouting是ALB的擴展，支持HTTPS；E選項錯誤，NATGateway是NAT服務，不處理HTTPS請求。

三、判斷題（共10分，每題0.5分）

26.√

解析：EBS卷是持久化塊存儲，適合長期數(shù)據(jù)存儲；實例存儲是臨時存儲，不適合長期存儲。

27.√

解析：AWS安全組可以控制入站和出站流量，類似于防火墻。

28.√

解析：AWSS3存儲桶默認支持跨地域訪問，但需要配置跨地域復制策略。

29.×

解析：AWSLambda函數(shù)有執(zhí)行時間限制（3000秒），超過限制會停止執(zhí)行。

30.×

解析：AWSCloudTrail可以記錄所有API調(diào)用，并用于安全監(jiān)控。

31.√

解析：AWSIAM角色不需要顯式創(chuàng)建，可以直接使用，如IAM角色代理。

32.√

解析：AWSRDS實例在多可用區(qū)部署時，默認支持自動故障轉(zhuǎn)移。

33.√

解析：AWSDirectConnect可以建立跨地域的私有網(wǎng)絡連接。

34.√

解析：AWSEFS存儲可以跨多個AZ和多個賬戶共享。

35.√

解析：AWSCloudWatch可以監(jiān)控所有AWS資源的指標。

四、填空題（共10分，每空1分）

1.子網(wǎng)（Subnet）或VPC；VPC對等連接或IAM角色

解析：子網(wǎng)是邏輯隔離的子網(wǎng)，VPC對等連接和IAM角色可以用于跨賬戶資源訪問。

2.賬戶角色（AccountRole）或信任角色（TrustedRole）；跨賬戶角色（Cross-AccountRole）

解析：AWSIAM角色分為賬戶角色和跨賬戶角色，跨賬戶角色可以用于跨賬戶訪問。

3.ApplicationLoadBalancer（ALB）；NetworkLoadBalancer（NLB）；ClassicLoadBalancer（CLB）；ApplicationLoadBalancer（ALB）

解析：AWSELB負載均衡分為ALB、NLB和CLB三種類型，其中ALB適合處理HTTPS請求。

4.存儲桶策略（BucketPolicy）；訪問控制列表（ACL）；存儲桶策略（BucketPolicy）

解析：AWSS3存儲桶的訪問策略包括存儲桶策略和ACL，其中存儲桶策略可以用于精細控制訪問權(quán)限。

5.API調(diào)用（APICalls）；用戶登錄（UserLogins）

解析：AWSCloudTrail可以記錄所有API調(diào)用，但無法記錄用戶登錄。

五、簡答題（共30分）

41.答：AWSVPC網(wǎng)絡的基本架構(gòu)包括以下組件：

①VPC（虛擬私有云）：邏輯隔離的子網(wǎng)集合，提供私有網(wǎng)絡環(huán)境。

②子網(wǎng)（Subnet）：邏輯隔離的子網(wǎng)，位于VPC內(nèi)部，可以配置CIDR地址段。

③路由表（RouteTable）：定義VPC內(nèi)部流量路由規(guī)則，指向互聯(lián)網(wǎng)網(wǎng)關、NAT網(wǎng)關或VPC對等連接。

④互聯(lián)網(wǎng)網(wǎng)關（InternetGateway）：允許VPC與互聯(lián)網(wǎng)通信，支持出站流量。

⑤NAT網(wǎng)關（NATGateway）：允許VPC內(nèi)部私有IP訪問互聯(lián)網(wǎng)，支持出站流量。

⑥安全組（SecurityGroup）：虛擬防火墻，控制入站和出站流量。

⑦NACL（網(wǎng)絡訪問控制列表）：子網(wǎng)級別的防火墻，支持默認拒絕和明確允許規(guī)則。

42.答：AWSIAM角色的作用是允許用戶跨賬戶或跨服務訪問資源，實現(xiàn)資源共享和權(quán)限管理。三種常見的IAM角色使用場景：

①跨賬戶資源訪問：允許一個賬戶的IAM用戶通過IAM角色訪問另一個賬戶的資源。

②AWS服務協(xié)作：允許AWS服務（如Lambda）通過IAM角色訪問其他AWS資源。

③賬戶合并：在賬戶合并過程中，允許合并后的賬戶訪問原賬戶的資源。

43.答：AWSELB負載均衡的工作原理是：

①接收客戶端請求，將請求分發(fā)到后端服務器池。

②根據(jù)負載均衡規(guī)則（如輪詢、最少連接）選擇后端服務器。

③后端服務器處理請求，并將響應返回給客戶端。

④負載均衡監(jiān)控后端服務器狀態(tài)，自動剔除故障服務器。

與Nginx的主要區(qū)別：

①ELB是AWS云原生服務，支持高可用性和自動擴展；Nginx是開源軟件，需要手動配置。

②