2026AWS認證考試安全領(lǐng)域試卷考試時長：120分鐘滿分：100分試卷名稱：2026AWS認證考試安全領(lǐng)域試卷考核對象：AWS認證備考學(xué)員、云計算安全領(lǐng)域從業(yè)者題型分值分布：-判斷題（總共10題，每題2分）總分20分-單選題（總共10題，每題2分）總分20分-多選題（總共10題，每題2分）總分20分-案例分析（總共3題，每題6分）總分18分-論述題（總共2題，每題11分）總分22分總分：100分---一、判斷題（每題2分，共20分）1.AWSIdentityandAccessManagement(IAM)默認允許所有用戶訪問所有資源。2.AWSKeyManagementService(KMS)可以提供服務(wù)器端加密和客戶管理密鑰功能。3.VPCEndpoints可以讓私有子網(wǎng)中的資源直接訪問AWS服務(wù)，無需通過互聯(lián)網(wǎng)網(wǎng)關(guān)或NAT網(wǎng)關(guān)。4.SecurityGroups在AWS中類似于虛擬防火墻，可以控制實例的入站和出站流量。5.AWSCloudTrail可以記錄所有API調(diào)用和用戶活動，但無法用于實時監(jiān)控安全事件。6.WAF（WebApplicationFirewall）可以防止SQL注入和跨站腳本攻擊（XSS）。7.S3BucketPolicies可以通過ACL（AccessControlList）更細粒度地控制對象訪問權(quán)限。8.AWSShieldStandard是免費的安全防護服務(wù)，適用于所有AWS賬戶。9.IAMRoles可以用于臨時授權(quán)用戶訪問其他AWS賬戶的資源。10.AWSMacie可以自動發(fā)現(xiàn)和分類AWS中的敏感數(shù)據(jù)，但無法提供數(shù)據(jù)加密功能。二、單選題（每題2分，共20分）1.以下哪個AWS服務(wù)主要用于管理用戶身份和訪問權(quán)限？A.ElasticLoadBalancingB.IAMC.CloudWatchD.Route532.在AWS中，哪種安全組規(guī)則允許特定IP地址訪問實例的22端口（SSH）？A.AllowallinboundtrafficB.CustomTCPruleC.DefaultdenyruleD.Statefulinspection3.以下哪個AWS服務(wù)提供靜態(tài)密鑰管理功能，支持客戶創(chuàng)建和管理加密密鑰？A.S3B.KMSC.GlacierD.EBS4.WAF可以配置哪些類型的規(guī)則來過濾Web請求？A.僅HTTP請求B.僅HTTPS請求C.SQL注入和XSS防護D.僅API請求5.以下哪個AWS服務(wù)用于自動檢測和分類存儲在S3中的敏感數(shù)據(jù)？A.CloudTrailB.MacieC.WAFD.IAM6.VPCEndpoints的主要優(yōu)勢是什么？A.提高網(wǎng)絡(luò)延遲B.增加數(shù)據(jù)傳輸成本C.隱藏私有資源IP地址D.減少子網(wǎng)數(shù)量7.以下哪個AWS服務(wù)提供DDoS攻擊防護？A.CloudFrontB.ShieldAdvancedC.Route53D.CloudWatchLogs8.IAMPolicies的執(zhí)行模型是什么？A.集中式授權(quán)B.基于角色的授權(quán)C.基于屬性的授權(quán)D.基于策略的授權(quán)9.以下哪個AWS服務(wù)可以用于監(jiān)控和記錄AWS賬戶中的API調(diào)用和用戶活動？A.CloudTrailB.CloudWatchC.S3D.IAM10.AWSCloudFront可以提供哪種安全功能？A.DDoS防護B.WAF集成C.數(shù)據(jù)加密D.身份驗證三、多選題（每題2分，共20分）1.以下哪些AWS服務(wù)可以用于增強AWS資源的安全性？A.IAMB.WAFC.KMSD.CloudTrailE.S32.SecurityGroups和NACLs（NetworkAccessControlLists）的主要區(qū)別是什么？A.SecurityGroups基于端口和協(xié)議，NACLs基于IP地址B.SecurityGroups應(yīng)用于實例級別，NACLs應(yīng)用于子網(wǎng)級別C.SecurityGroups支持狀態(tài)檢測，NACLs不支持D.SecurityGroups可以控制實例的入站和出站流量，NACLs僅控制出站流量3.以下哪些AWS服務(wù)可以用于數(shù)據(jù)加密？A.KMSB.S3C.EBSD.GlacierE.CloudFront4.IAMRoles的主要用途是什么？A.臨時授權(quán)跨賬戶訪問B.管理用戶身份C.自動化API調(diào)用D.提供最小權(quán)限訪問5.WAF可以配置哪些類型的Web攻擊防護規(guī)則？A.SQL注入防護B.XSS防護C.CC攻擊防護D.請求速率限制6.VPCEndpoints支持哪些類型的AWS服務(wù)？A.S3B.DynamoDBC.APIGatewayD.CloudFrontE.RDS7.AWSShield提供哪些安全防護功能？A.DDoS攻擊防護B.自動化緩解措施C.主動威脅檢測D.靜態(tài)安全評估8.CloudTrail的主要用途是什么？A.記錄API調(diào)用B.監(jiān)控用戶活動C.提供實時告警D.分析安全趨勢9.以下哪些AWS服務(wù)可以用于身份和訪問管理？A.IAMB.CognitoC.MFAD.SSO10.AWSMacie可以自動發(fā)現(xiàn)和分類哪些類型的數(shù)據(jù)？A.敏感數(shù)據(jù)（如信用卡號）B.S3對象C.DynamoDB表D.EBS卷四、案例分析（每題6分，共18分）案例1：某公司正在遷移其Web應(yīng)用至AWS，應(yīng)用需要訪問S3存儲桶中的數(shù)據(jù)，同時需要防止未授權(quán)訪問。公司要求：1.配置VPCEndpoint以允許私有子網(wǎng)中的實例直接訪問S3。2.配置SecurityGroup以僅允許特定IP地址訪問實例的80端口（HTTP）。3.配置S3BucketPolicy以限制僅授權(quán)用戶訪問特定前綴的對象。問題：請描述如何實現(xiàn)上述要求，并說明每一步的配置要點。案例2：某電商公司發(fā)現(xiàn)其Web應(yīng)用遭受SQL注入攻擊，導(dǎo)致用戶數(shù)據(jù)泄露。公司決定部署WAF以防止此類攻擊，并要求：1.配置WAF規(guī)則以檢測并阻止SQL注入攻擊。2.配置CloudTrail以記錄所有API調(diào)用和用戶活動。3.配置AWSShieldStandard以增強DDoS防護。問題：請描述如何實現(xiàn)上述要求，并說明每一步的配置要點。案例3：某金融機構(gòu)需要將敏感數(shù)據(jù)存儲在AWSS3中，并要求滿足以下安全要求：1.數(shù)據(jù)必須加密存儲。2.只有授權(quán)用戶才能訪問數(shù)據(jù)。3.需要自動檢測和分類敏感數(shù)據(jù)。問題：請描述如何實現(xiàn)上述要求，并說明每一步的配置要點。五、論述題（每題11分，共22分）論述題1：請論述AWSIAM的最佳實踐，并說明如何通過IAM實現(xiàn)最小權(quán)限原則。論述題2：請論述AWSWAF的工作原理及其在Web應(yīng)用安全中的作用，并說明如何配置WAF規(guī)則以防止常見的Web攻擊。---標準答案及解析一、判斷題1.×（IAM需要顯式授權(quán)，默認無權(quán)限）2.√3.√4.√5.×（CloudTrail支持實時監(jiān)控）6.√7.×（BucketPolicies和ACLs功能不同）8.√9.√10.×（Macie僅用于發(fā)現(xiàn)和分類，不提供加密）二、單選題1.B2.B3.B4.C5.B6.C7.B8.D9.A10.B三、多選題1.A,B,C,D,E2.A,B,C,D3.A,B,C4.A,D5.A,B,C,D6.A,B,D,E7.A,B,C8.A,B,D9.A,B,C,D10.A,B,C,D四、案例分析案例1：1.配置VPCEndpoint：-在VPC控制臺創(chuàng)建VPCEndpoint，選擇S3服務(wù)，并關(guān)聯(lián)私有子網(wǎng)。-配置要點：確保Endpoint類型為GatewayEndpoint，并選擇正確的服務(wù)類別。2.配置SecurityGroup：-在EC2控制臺創(chuàng)建或編輯SecurityGroup，添加入站規(guī)則，允許特定IP地址的80端口流量。-配置要點：僅允許特定IP地址訪問，避免開放所有流量。3.配置S3BucketPolicy：-在S3控制臺編輯BucketPolicy，添加條件，限制僅授權(quán)用戶訪問特定前綴的對象。-配置要點：使用IAMRole或用戶ARN進行權(quán)限控制。案例2：1.配置WAF規(guī)則：-在WAF控制臺創(chuàng)建規(guī)則，選擇SQL注入攻擊防護規(guī)則，并啟用。-配置要點：選擇合適的規(guī)則集，并調(diào)整規(guī)則優(yōu)先級。2.配置CloudTrail：-在CloudTrail控制臺啟用跟蹤，選擇要記錄的事件類型。-配置要點：確保記錄所有API調(diào)用和用戶活動。3.配置AWSShieldStandard：-在Shield控制臺啟用標準防護，選擇要保護的資源。-配置要點：盾牌標準是免費服務(wù)，提供基礎(chǔ)DDoS防護。案例3：1.數(shù)據(jù)加密：-在S3控制臺創(chuàng)建Bucket時選擇加密模式，使用KMS或SSE-S3。-配置要點：確保數(shù)據(jù)在存儲時加密。2.授權(quán)訪問：-使用IAMRole或用戶Policies，限制僅授權(quán)用戶訪問。-配置要點：使用最小權(quán)限原則，避免過度授權(quán)。3.敏感數(shù)據(jù)檢測：-在Macie控制臺啟用數(shù)據(jù)發(fā)現(xiàn)和分類，選擇要掃描的S3資源。-配置要點：Macie會自動識別和分類敏感數(shù)據(jù)。五、論述題論述題1：AWSIAM的最佳實踐包括：1.最小權(quán)限原則：僅授予用戶完成任務(wù)所需的最小權(quán)限。2.角色分離：使用IAMRoles進行跨賬戶訪問，避免使用共享密碼。3.定期審計：定期檢查IAMPolicies和用戶權(quán)限，確保無過度授權(quán)。4.多因素認證（MFA）：對敏感操作啟用MFA，增強安全性。5.策略版本控制：使用策略版本控制，便于回滾和審計。通過IAM實現(xiàn)最小權(quán)限原則：-創(chuàng)建IAMRole，僅授予所需權(quán)限（如S3讀權(quán)限）。-使用IAMPolicies，限制用戶只能訪問特定資源（如S3前綴）。-定期審查用戶權(quán)限，移除不再需要的權(quán)限。論述題2：AWSWAF的工作原理：-WAF作為反向代理，攔截Web請求，并根據(jù)規(guī)則集進行過濾。-規(guī)則集包含規(guī)則，每個規(guī)則定義