2026年亚马逊云技术认证AWS网络安全高级练习题

2026年亚马逊云技术认证AWS网络安全高级练习题一、单选题（共10题，每题2分）1.题目：在AWS环境中，哪种安全组规则最适合用于限制特定IP地址范围的EC2实例访问？A.允许所有入站流量B.仅允许SSH（端口22）从任何源IPC.仅允许HTTP（端口80）从特定IP地址（如00）D.仅允许HTTPS（端口443）从任何源IP2.题目：AWSWAF（Web应用防火墙）中的“规则优先级”默认设置为多少？A.100（最高优先级）B.500（最低优先级）C.1000（动态分配）D.200（中等优先级）3.题目：在AWS中，哪种服务可用于自动检测和响应跨账户的恶意API调用？A.AWSGuardDutyB.AWSSecurityHubC.AWSAPIGatewayVPCLinkD.AWSCloudTrailwithAPIThrottling4.题目：若要限制用户只能通过VPC终端节点访问S3桶，而禁止直接访问S3端点，应配置哪种安全策略？A.S3BucketPolicywithVPCEndpointAccessB.IAMRolewithS3FullAccessC.S3AccessAnalyzerwithVPCIntegrationD.VPCFlowLogswithS3Destination5.题目：AWSShieldStandard和ShieldAdvanced的主要区别是什么？A.Standard提供实时DDoS检测，Advanced提供自动防护B.Standard是免费的，Advanced需要付费订阅C.Standard仅适用于AWSGovCloud，Advanced适用于所有区域D.Standard支持APIGateway，Advanced不支持6.题目：在AWS中，哪种工具可用于自动生成符合合规标准的IAM策略？A.AWSIAMAccessAnalyzerB.AWSCloudFormationwithPolicyTemplatesC.AWSConfigRulesD.AWSTrustedAdvisor7.题目：若要审计用户对S3桶的访问记录，应启用哪种AWS服务？A.CloudTrailB.S3AccessLogsC.AWSCloudWatchLogsD.AWSSecurityHub8.题目：在AWS中，哪种服务可用于将EBS卷加密并挂载到EC2实例？A.AWSKMSwithEBSEncryptionB.AWSEFSwithServer-SideEncryptionC.AWSS3withClient-SideEncryptionD.AWSEBSwithTPMIntegration9.题目：若要实现跨账户的S3桶访问控制，应使用哪种AWS服务？A.AWSIAMRolesB.AWSCloudTrailC.AWSS3Cross-AccountAccessPolicyD.AWSSecurityHub10.题目：在AWS中，哪种工具可用于检测和修复不合规的IAM策略？A.AWSIAMAccessAnalyzerB.AWSConfigRulesC.AWSSecurityHubD.AWSCloudTrail二、多选题（共5题，每题3分）1.题目：在AWS中，以下哪些服务可用于增强VPC的安全性？A.AWSNetworkACLsB.AWSRoute53DNSSecurityC.AWSVPCFlowLogsD.AWSWAFwithVPCIntegrationE.AWSShieldAdvanced2.题目：若要实现S3桶的多区域冗余备份，应使用以下哪些AWS服务？A.S3Cross-RegionReplicationB.S3LifecyclePoliciesC.S3VersioningD.S3AccessLogsE.S3Server-SideEncryption3.题目：在AWS中，以下哪些工具可用于检测API调用的异常行为？A.AWSCloudTrailB.AWSAPIGatewayThrottlingC.AWSGuardDutyD.AWSLambdawithCustomLogicE.AWSIAMAccessAnalyzer4.题目：若要实现跨账户的IAM角色信任关系，应配置以下哪些策略？A.IAMRolewithTrustPolicyB.IAMPolicywithResource-BasedAccessControlC.S3BucketPolicywithCross-AccountAccessD.VPCFlowLogswithIAMIntegrationE.AWSCloudTrailwithIAMInsights5.题目：在AWS中，以下哪些服务可用于增强EC2实例的安全性？A.AWSKeyManagementService(KMS)B.AWSEC2InstanceMetadataC.AWSNetworkACLsD.AWSIAMRolesE.AWSSecurityGroups三、判断题（共10题，每题1分）1.题目：AWSWAF可以阻止SQL注入攻击，但无法防止DDoS攻击。2.题目：AWSShieldStandard适用于所有AWS用户，而ShieldAdvanced仅适用于企业级用户。3.题目：在AWS中，S3桶默认支持跨账户访问，无需额外配置。4.题目：AWSIAMRoles可以用于跨账户的临时访问控制，无需手动配置权限。5.题目：AWSConfigRules可以自动检测不合规的IAM策略，并自动修复。6.题目：AWSCloudTrail可以记录所有API调用，但无法检测恶意行为。7.题目：AWSEBS卷默认加密，无需手动配置。8.题目：AWSVPC终端节点可以隐藏S3端点，但无法防止DDoS攻击。9.题目：AWSKMS可以用于加密EC2实例的EBS卷，但无法加密S3桶数据。10.题目：AWSSecurityGroups类似于传统防火墙，可以控制实例的入站和出站流量。四、简答题（共3题，每题5分）1.题目：简述AWSWAF中的“WebACL”和“规则组”的作用，并说明它们之间的关系。2.题目：在AWS中，如何实现跨账户的S3桶访问控制？请说明主要步骤和关键配置。3.题目：简述AWSShieldStandard和ShieldAdvanced的主要区别，并说明适用场景。五、论述题（共2题，每题10分）1.题目：在AWS环境中，如何设计一个安全的IAM策略体系？请说明关键步骤和最佳实践。2.题目：在AWS中，如何实现DDoS攻击的防护和检测？请说明主要服务和配置方法。答案与解析一、单选题答案与解析1.C：仅允许HTTP（端口80）从特定IP地址（如00），最符合安全需求。2.A：WebACL的规则优先级默认为100（最高优先级），后续规则按顺序递减。3.D：AWSCloudTrailwithAPIThrottling可以监控API调用并限制异常流量。4.A：S3BucketPolicywithVPCEndpointAccess可以限制直接访问S3端点，仅通过VPC终端节点访问。5.A：Standard提供实时DDoS检测，Advanced提供自动防护和更多高级功能。6.B：AWSCloudFormationwithPolicyTemplates可以自动生成符合合规标准的IAM策略。7.A：CloudTrail可以记录所有API调用，包括S3桶访问记录。8.A：AWSKMSwithEBSEncryption可以加密EBS卷并挂载到EC2实例。9.C：AWSS3Cross-AccountAccessPolicy可以控制跨账户的S3桶访问。10.A：AWSIAMAccessAnalyzer可以检测和修复不合规的IAM策略。二、多选题答案与解析1.A,D：NetworkACLs和WAFwithVPCIntegration可以增强VPC安全性。2.A,C：S3Cross-RegionReplication和S3Versioning可以实现多区域冗余备份。3.A,C：CloudTrail和GuardDuty可以检测API调用的异常行为。4.A,B：TrustPolicy和Resource-BasedAccessControl可以配置跨账户的IAM角色信任关系。5.A,C,D：KMS、NetworkACLs和IAMRoles可以增强EC2实例的安全性。三、判断题答案与解析1.正确：WAF主要防止Web攻击，DDoS攻击需要Shield防护。2.错误：ShieldAdvanced适用于所有用户，Standard仅提供基础防护。3.错误：S3桶默认不支持跨账户访问，需配置Cross-AccountAccessPolicy。4.正确：IAMRoles可以临时授权跨账户访问，无需手动配置权限。5.错误：AWSConfigRules可以检测不合规策略，但无法自动修复。6.正确：CloudTrail记录API调用，但无法自动检测恶意行为，需结合其他工具。7.错误：EBS卷默认不加密，需手动配置KMS加密。8.错误：VPC终端节点可以隐藏S3端点，但DDoS防护需结合Shield。9.错误：KMS可以加密EBS卷和S3桶数据。10.正确：SecurityGroups类似传统防火墙，控制入站和出站流量。四、简答题答案与解析1.WAF中的WebACL和规则组：-WebACL是WAF的顶级策略，定义哪些请求允许或拒绝，并引用规则组。-规则组包含具体的规则（如SQL注入、CC攻击），WebACL引用规则组时可以调整优先级。-关系：WebACL是“框架”，规则组是“规则集”，WebACL决定如何应用规则组。2.跨账户S3桶访问控制：-步骤：1.在源账户S3桶Policies中添加目标账户ID的AccessPolicy。2.在目标账户创建IAMRole，授予S3桶访问权限。3.在源账户使用IAMRole临时授权访问。-关键配置：-S3BucketPolicy：`Principal:{"AWS":"arn:aws:iam::目标账户ID:role/目标角色名"}`-IAMRoleTrustPolicy：允许源账户的AWS账户调用该角色。3.ShieldStandard和Advanced区别：-Standard：免费，提供基础DDoS检测和防护（如HTTP/S流量）。-Advanced：付费，提供自动防护、实时攻击分析、更多防护类型（如TCP/UDP流量）。-适用场景：-Standard：中小型企业基础防护。-Advanced：大型企业或高流量应用。五、论述题答案与解析1.设计安全的IAM策略体系：-步骤：1.最小权限原则：仅授予必要权限，避免过度授权。2.分层授权：使用IAMRoles和Groups管理权限。3.定期审计：使用IAMAccessAnalyzer和AWSConfig检测不合规策略。4.动态权限：使用AWSLambda和StepFunctions实现动态权限调整。-最佳实践：-使用IAMPolicies嵌入条件（如IP地址、时间限制）。-定期轮换IAM用户密码和密钥。2.DDoS防护和检测：-