2025年AWS实践者入门题库

2025年AWS实践者入门题库考试时间：______分钟总分：______分姓名：______一、1.AWS全球基础设施的主要特点之一是拥有多个地理分布的区域，每个区域内部又包含多个逻辑隔离的可用区。2.在AWS中，用于管理对AWS资源访问权限的服务是IAM。3.AWS提供的对象存储服务是S3。4.以下哪种AWS服务是用于运行应用程序的虚拟服务器（实例）？a.S3b.RDSc.EC2d.CloudFront5.用于在VPC内部网段之间以及VPC与互联网之间路由流量的组件是路由表。6.AWSIdentityandAccessManagement(IAM)的核心原则是最小权限原则。7.在AWS中，ElasticIP(EIP)地址是一种静态公网IP地址。8.以下哪项不是AWS计算服务？a.EC2b.Lambdac.RDSd.S39.AWSCloudWatch主要用于收集和监控AWS资源的指标和日志。10.允许用户通过互联网安全访问VPC内资源的常用方式是VPN或AWSDirectConnect。二、1.AWS区域（Region）和可用区（AvailabilityZone,AZ）的主要区别是什么？2.请简述IAM策略的作用。3.与关系数据库服务RDS相比，AWS提供的Aurora数据库的主要优势是什么？4.解释什么是VPC中的安全组（SecurityGroup）。5.什么是AWSS3存储桶（Bucket）的访问控制列表（ACL）？6.什么是AWSEC2的弹性块存储（EBS）？它与实例存储（InstanceStore）有何不同？7.请说明AWSIAM用户和AWSIAM角色在访问权限管理上的主要区别。8.什么是AWSVPC（VirtualPrivateCloud）？创建VPC的基本步骤是什么？9.AWSCloudFront是一种什么类型的服务？它主要解决什么问题？10.在AWS中，什么是“按量付费”（Pay-as-you-go）模式？三、1.某用户需要部署一个对外提供Web服务的应用，该服务需要公网IP地址，并且希望访问控制严格。以下AWS服务组合较为合适的是：a.仅使用EC2实例直接连接互联网。b.使用EC2实例，并配置安全组规则允许特定IP访问。c.使用EC2实例，放置在VPC中，通过NAT网关实现互联网访问。d.使用ElasticBeanstalk服务，配置安全组允许所有访问。2.公司希望在AWS上创建一个数据库，要求高可用性和可扩展性，且运维负担尽可能小。以下服务中最能满足要求的是：a.仅使用自管理的EC2实例和EBS卷。b.使用AWSRDSforMySQL标准版。c.使用AWSAuroraServerlessv1。d.使用AWSRDSforPostgreSQL共享实例。3.用户创建了一个S3存储桶，希望允许其公司内部的特定AWS账户访问存储桶中的对象，但其他账户不能访问。最合适的权限设置是：a.将该账户添加到存储桶的所有者列表。b.为该账户创建一个存储桶策略，授予其`full_control`权限。c.为该账户创建一个存储桶策略，授予其`read`权限。d.在存储桶的访问控制列表（ACL）中，将该账户的权限设置为`owner`。4.一个开发团队需要运行一个短期任务，该任务由代码组成，无需持久运行时环境，且希望按需付费。最适合的服务是：a.EC2On-Demand实例。b.AWSLambda。c.ElasticBeanstalk。d.ECSFargate。5.用户希望将其位于公司内部的数据中心网络连接到AWSVPC，并实现安全的数据传输。以下方式中，能够提供这种功能的是：a.直接将数据中心路由器连接到AWSVPC的公网接口。b.使用AWSDirectConnect建立专用网络连接。c.通过VPC对等连接连接到另一个VPC。d.使用S3跨区域复制功能。四、1.如果一个EC2实例配置了ElasticIP地址，即使实例停止或重启，该ElasticIP地址仍然保持不变，这是其核心优势之一。请解释ElasticIP地址的另一个主要用途。2.IAM策略可以采用“允许”（Allow）或“拒绝”（Deny）两种模式。请说明这两种模式在权限评估中的优先级关系。3.在使用AWSVPC时，路由表和网关（InternetGateway）/NAT网关之间存在明确的分工。请分别说明路由表和网关（或NAT网关）各自的主要作用。4.AWSS3提供了多种存储类别（如S3Standard,S3Intelligent-Tiering,S3OneZone-IA,S3Glacier）。请简述选择S3Intelligent-Tiering存储类别的可能场景及其原因。5.AWSCloudWatch可以监控EC2实例的CPU利用率、网络流量等多种指标。请再列举至少两种CloudWatch可以监控的资源类型或指标。试卷答案一、1.区域,可用区2.IAM3.S34.c.EC25.路由表6.最小权限原则7.静态8.c.RDS9.指标10.VPN二、1.区域能提供高可用性和持久性，包含多个地理位置分离的可用区。可用区是区域内的一个或多个数据中心，提供更高的容错能力（网络分区）。2.IAM策略是用于定义用户、组或角色可以访问哪些AWS资源的文档（权限集）。它控制着对AWS服务的访问权限。3.Aurora在性能（读/写吞吐量）、可用性（自动故障转移）、可扩展性（自动扩展）、兼容性（与MySQL/PostgreSQL语法兼容）以及成本方面通常优于标准RDS。4.安全组是VPC的虚拟防火墙，它控制进出EC2实例的流量。它是一组入站和出站规则，规则基于端口、协议和源/目标IP地址。5.S3存储桶的访问控制列表（ACL）是一组基于策略的权限，用于控制对存储桶本身（如列出桶内对象）以及桶内对象（如读取/写入）的访问。6.EBS是EC2实例使用的块存储，提供持久化存储，实例停止或重启后数据不丢失。实例存储是直接连接到EC2实例的存储，仅实例运行时可用，重启后数据丢失。7.IAM用户是具有独特AWS凭证（用户名和密码）的实体，权限由其直接附加的策略决定。IAM角色是无凭证的实体，用于临时授权，通过信任关系和附加的策略向调用者提供权限。8.VPC是用户在AWS云中创建的隔离虚拟网络环境，用户可以自定义网络配置，如IP地址范围、子网、路由表和网络网关。创建步骤通常包括：创建VPC、创建子网（公有和私有）、创建互联网网关/NAT网关、将网关附加到VPC路由表、为子网配置路由表。9.CloudFront是AWS内容分发网络（CDN）服务，用于加速全球用户访问静态和动态内容。它通过将内容缓存到全球边缘站点，减少延迟，提高加载速度，减轻源站负载。10.按量付费模式允许用户仅对实际使用的AWS资源付费，无需预先投入或承诺长期使用。用户根据资源使用量（如CPU小时、存储GB、数据传输量）按分钟或秒计费。三、1.c.使用EC2实例，放置在VPC中，通过NAT网关实现互联网访问。*解析思路：使用VPC隔离环境更安全，EC2提供计算服务。NAT网关允许私有子网的实例安全地访问互联网（仅出站），同时隐藏实例IP。选项a直接连接不安全。选项b仅安全组可能不够严格。选项dElasticBeanstalk简化部署，但具体网络配置仍需注意。2.c.使用AWSAuroraServerlessv1。*解析思路：AuroraServerlessv1提供了自动扩展、高可用性，且无需管理数据库服务器，运维负担小。标准版RDS虽然有高可用，但仍是需要管理的实例。自管理EBS和EC2运维负担最大。共享实例可能在成本或管理上有限制。3.b.为该账户创建一个存储桶策略，授予其`full_control`权限。*解析思路：存储桶策略（BucketPolicy）应用于整个存储桶，可以精确控制指定账户的访问权限（如`full_control`,`read`,`write`等）。ACL是应用于对象或存储桶的，层级低于策略。`owner`权限通常指存储桶创建者。4.b.AWSLambda。*解析思路：Lambda是Serverless计算服务，适合运行事件驱动的、无状态的应用代码，无需关心服务器管理，按执行时间付费。EC2是通用计算，需要管理。ElasticBeanstalk用于更复杂的应用部署。Fargate是容器运行环境，不是直接运行代码。5.b.使用AWSDirectConnect建立专用网络连接。*解析思路：AWSDirectConnect提供与AWSVPC的直接、私有、高速网络连接，适用于需要高带宽、低延迟、稳定连接的场景，如混合云或数据中心互联。VPN是公网传输，有延迟和潜在安全风险。VPC对等连接是连接两个VPC，不是连接数据中心。S3复制是数据复制，不是网络连接。四、1.另一个主要用途是作为静态公网IP地址，为EC2实例提供一个固定的公网入口点，即使实例迁移到VPC内其他可用区，EIP地址不变，便于外部持续访问。2.在权限评估中，“拒绝”（Deny）策略具有最高优先级。如果存在针对某个操作或资源的“拒绝”策略，则该操作或资源无论是否有“允许”策略，都将被拒绝。只有当没有“拒绝”策略时，“允许”策略才会生效。3.路由表定义了VPC内网络流量的路径。它包含条目，指定了特定目标IP地址（或网络）的流量应通过哪个出口（如互联网网关、NAT网关、VPC对等连接或虚拟接口）。每个子网必须关联一个路由表。网关（如InternetGateway）或NAT网关是VPC的出口设备。InternetGateway允许VPC中的资源访问互联网，并允许互联网访问VPC中的资源（通过NAT网关）。NAT网关允许VPC中的私有子网资源安全地访问互联网，但阻止互联网访问这些私有子网。它们是实现VPC与外部网络通信的关键组件，其状态（附加/分离）会影响通过其路由表到达外部目标流量的路由。4.选择S3Intelligent-Tiering存储类别的可能场景是：存储包含访问频率不固定、但会发生变化的数据，例如开发/测试数据、备份归档、日志文件、或