2026年亞馬遜云技術(shù)認(rèn)證AWS網(wǎng)絡(luò)安全高級練習(xí)題一、單選題（共10題，每題2分）1.題目：在AWS環(huán)境中，哪種安全組規(guī)則最適合用于限制特定IP地址范圍的EC2實例訪問？A.允許所有入站流量B.僅允許SSH（端口22）從任何源IPC.僅允許HTTP（端口80）從特定IP地址（如00）D.僅允許HTTPS（端口443）從任何源IP2.題目：AWSWAF（Web應(yīng)用防火墻）中的“規(guī)則優(yōu)先級”默認(rèn)設(shè)置為多少？A.100（最高優(yōu)先級）B.500（最低優(yōu)先級）C.1000（動態(tài)分配）D.200（中等優(yōu)先級）3.題目：在AWS中，哪種服務(wù)可用于自動檢測和響應(yīng)跨賬戶的惡意API調(diào)用？A.AWSGuardDutyB.AWSSecurityHubC.AWSAPIGatewayVPCLinkD.AWSCloudTrailwithAPIThrottling4.題目：若要限制用戶只能通過VPC終端節(jié)點訪問S3桶，而禁止直接訪問S3端點，應(yīng)配置哪種安全策略？A.S3BucketPolicywithVPCEndpointAccessB.IAMRolewithS3FullAccessC.S3AccessAnalyzerwithVPCIntegrationD.VPCFlowLogswithS3Destination5.題目：AWSShieldStandard和ShieldAdvanced的主要區(qū)別是什么？A.Standard提供實時DDoS檢測，Advanced提供自動防護B.Standard是免費的，Advanced需要付費訂閱C.Standard僅適用于AWSGovCloud，Advanced適用于所有區(qū)域D.Standard支持APIGateway，Advanced不支持6.題目：在AWS中，哪種工具可用于自動生成符合合規(guī)標(biāo)準(zhǔn)的IAM策略？A.AWSIAMAccessAnalyzerB.AWSCloudFormationwithPolicyTemplatesC.AWSConfigRulesD.AWSTrustedAdvisor7.題目：若要審計用戶對S3桶的訪問記錄，應(yīng)啟用哪種AWS服務(wù)？A.CloudTrailB.S3AccessLogsC.AWSCloudWatchLogsD.AWSSecurityHub8.題目：在AWS中，哪種服務(wù)可用于將EBS卷加密并掛載到EC2實例？A.AWSKMSwithEBSEncryptionB.AWSEFSwithServer-SideEncryptionC.AWSS3withClient-SideEncryptionD.AWSEBSwithTPMIntegration9.題目：若要實現(xiàn)跨賬戶的S3桶訪問控制，應(yīng)使用哪種AWS服務(wù)？A.AWSIAMRolesB.AWSCloudTrailC.AWSS3Cross-AccountAccessPolicyD.AWSSecurityHub10.題目：在AWS中，哪種工具可用于檢測和修復(fù)不合規(guī)的IAM策略？A.AWSIAMAccessAnalyzerB.AWSConfigRulesC.AWSSecurityHubD.AWSCloudTrail二、多選題（共5題，每題3分）1.題目：在AWS中，以下哪些服務(wù)可用于增強VPC的安全性？A.AWSNetworkACLsB.AWSRoute53DNSSecurityC.AWSVPCFlowLogsD.AWSWAFwithVPCIntegrationE.AWSShieldAdvanced2.題目：若要實現(xiàn)S3桶的多區(qū)域冗余備份，應(yīng)使用以下哪些AWS服務(wù)？A.S3Cross-RegionReplicationB.S3LifecyclePoliciesC.S3VersioningD.S3AccessLogsE.S3Server-SideEncryption3.題目：在AWS中，以下哪些工具可用于檢測API調(diào)用的異常行為？A.AWSCloudTrailB.AWSAPIGatewayThrottlingC.AWSGuardDutyD.AWSLambdawithCustomLogicE.AWSIAMAccessAnalyzer4.題目：若要實現(xiàn)跨賬戶的IAM角色信任關(guān)系，應(yīng)配置以下哪些策略？A.IAMRolewithTrustPolicyB.IAMPolicywithResource-BasedAccessControlC.S3BucketPolicywithCross-AccountAccessD.VPCFlowLogswithIAMIntegrationE.AWSCloudTrailwithIAMInsights5.題目：在AWS中，以下哪些服務(wù)可用于增強EC2實例的安全性？A.AWSKeyManagementService(KMS)B.AWSEC2InstanceMetadataC.AWSNetworkACLsD.AWSIAMRolesE.AWSSecurityGroups三、判斷題（共10題，每題1分）1.題目：AWSWAF可以阻止SQL注入攻擊，但無法防止DDoS攻擊。2.題目：AWSShieldStandard適用于所有AWS用戶，而ShieldAdvanced僅適用于企業(yè)級用戶。3.題目：在AWS中，S3桶默認(rèn)支持跨賬戶訪問，無需額外配置。4.題目：AWSIAMRoles可以用于跨賬戶的臨時訪問控制，無需手動配置權(quán)限。5.題目：AWSConfigRules可以自動檢測不合規(guī)的IAM策略，并自動修復(fù)。6.題目：AWSCloudTrail可以記錄所有API調(diào)用，但無法檢測惡意行為。7.題目：AWSEBS卷默認(rèn)加密，無需手動配置。8.題目：AWSVPC終端節(jié)點可以隱藏S3端點，但無法防止DDoS攻擊。9.題目：AWSKMS可以用于加密EC2實例的EBS卷，但無法加密S3桶數(shù)據(jù)。10.題目：AWSSecurityGroups類似于傳統(tǒng)防火墻，可以控制實例的入站和出站流量。四、簡答題（共3題，每題5分）1.題目：簡述AWSWAF中的“WebACL”和“規(guī)則組”的作用，并說明它們之間的關(guān)系。2.題目：在AWS中，如何實現(xiàn)跨賬戶的S3桶訪問控制？請說明主要步驟和關(guān)鍵配置。3.題目：簡述AWSShieldStandard和ShieldAdvanced的主要區(qū)別，并說明適用場景。五、論述題（共2題，每題10分）1.題目：在AWS環(huán)境中，如何設(shè)計一個安全的IAM策略體系？請說明關(guān)鍵步驟和最佳實踐。2.題目：在AWS中，如何實現(xiàn)DDoS攻擊的防護和檢測？請說明主要服務(wù)和配置方法。答案與解析一、單選題答案與解析1.C：僅允許HTTP（端口80）從特定IP地址（如00），最符合安全需求。2.A：WebACL的規(guī)則優(yōu)先級默認(rèn)為100（最高優(yōu)先級），后續(xù)規(guī)則按順序遞減。3.D：AWSCloudTrailwithAPIThrottling可以監(jiān)控API調(diào)用并限制異常流量。4.A：S3BucketPolicywithVPCEndpointAccess可以限制直接訪問S3端點，僅通過VPC終端節(jié)點訪問。5.A：Standard提供實時DDoS檢測，Advanced提供自動防護和更多高級功能。6.B：AWSCloudFormationwithPolicyTemplates可以自動生成符合合規(guī)標(biāo)準(zhǔn)的IAM策略。7.A：CloudTrail可以記錄所有API調(diào)用，包括S3桶訪問記錄。8.A：AWSKMSwithEBSEncryption可以加密EBS卷并掛載到EC2實例。9.C：AWSS3Cross-AccountAccessPolicy可以控制跨賬戶的S3桶訪問。10.A：AWSIAMAccessAnalyzer可以檢測和修復(fù)不合規(guī)的IAM策略。二、多選題答案與解析1.A,D：NetworkACLs和WAFwithVPCIntegration可以增強VPC安全性。2.A,C：S3Cross-RegionReplication和S3Versioning可以實現(xiàn)多區(qū)域冗余備份。3.A,C：CloudTrail和GuardDuty可以檢測API調(diào)用的異常行為。4.A,B：TrustPolicy和Resource-BasedAccessControl可以配置跨賬戶的IAM角色信任關(guān)系。5.A,C,D：KMS、NetworkACLs和IAMRoles可以增強EC2實例的安全性。三、判斷題答案與解析1.正確：WAF主要防止Web攻擊，DDoS攻擊需要Shield防護。2.錯誤：ShieldAdvanced適用于所有用戶，Standard僅提供基礎(chǔ)防護。3.錯誤：S3桶默認(rèn)不支持跨賬戶訪問，需配置Cross-AccountAccessPolicy。4.正確：IAMRoles可以臨時授權(quán)跨賬戶訪問，無需手動配置權(quán)限。5.錯誤：AWSConfigRules可以檢測不合規(guī)策略，但無法自動修復(fù)。6.正確：CloudTrail記錄API調(diào)用，但無法自動檢測惡意行為，需結(jié)合其他工具。7.錯誤：EBS卷默認(rèn)不加密，需手動配置KMS加密。8.錯誤：VPC終端節(jié)點可以隱藏S3端點，但DDoS防護需結(jié)合Shield。9.錯誤：KMS可以加密EBS卷和S3桶數(shù)據(jù)。10.正確：SecurityGroups類似傳統(tǒng)防火墻，控制入站和出站流量。四、簡答題答案與解析1.WAF中的WebACL和規(guī)則組：-WebACL是WAF的頂級策略，定義哪些請求允許或拒絕，并引用規(guī)則組。-規(guī)則組包含具體的規(guī)則（如SQL注入、CC攻擊），WebACL引用規(guī)則組時可以調(diào)整優(yōu)先級。-關(guān)系：WebACL是“框架”，規(guī)則組是“規(guī)則集”，WebACL決定如何應(yīng)用規(guī)則組。2.跨賬戶S3桶訪問控制：-步驟：1.在源賬戶S3桶Policies中添加目標(biāo)賬戶ID的AccessPolicy。2.在目標(biāo)賬戶創(chuàng)建IAMRole，授予S3桶訪問權(quán)限。3.在源賬戶使用IAMRole臨時授權(quán)訪問。-關(guān)鍵配置：-S3BucketPolicy：`Principal:{"AWS":"arn:aws:iam::目標(biāo)賬戶ID:role/目標(biāo)角色名"}`-IAMRoleTrustPolicy：允許源賬戶的AWS賬戶調(diào)用該角色。3.ShieldStandard和Advanced區(qū)別：-Standard：免費，提供基礎(chǔ)DDoS檢測和防護（如HTTP/S流量）。-Advanced：付費，提供自動防護、實時攻擊分析、更多防護類型（如TCP/UDP流量）。-適用場景：-Standard：中小型企業(yè)基礎(chǔ)防護。-Advanced：大型企業(yè)或高流量應(yīng)用。五、論述題答案與解析1.設(shè)計安全的IAM策略體系：-步驟：1.最小權(quán)限原則：僅授予必要權(quán)限，避免過度授權(quán)。2.分層授權(quán)：使用IAMRoles和Groups管理權(quán)限。3.定期審計：使用IAMAccessAnalyzer和AWSConfig檢測不合規(guī)策略。4.動態(tài)權(quán)限：使用AWSLambda和StepFunctions實現(xiàn)動態(tài)權(quán)限調(diào)整。-最佳實踐：-使用IAMPolicies嵌入條件（如IP地址、時間限制）。-定期輪換IAM用戶密碼和密鑰。2.DDoS防護和檢測：-