2026年AWS实践者专项测试卷及答案.backup

2026年AWS实践者专项测试卷及答案一、单项选择题（共25题，每题2分）1.一家正在快速发展的初创公司希望将其本地环境迁移到AWS云平台。该公司的技术团队目前缺乏专门的云运维人员，他们希望使用一种能够自动处理底层基础设施管理（如服务器补丁、操作系统维护等）的服务，以便专注于应用程序代码的开发。以下哪项AWS服务最适合满足这一需求？A.AmazonEC2B.AWSElasticBeanstalkC.AmazonLightsailD.AmazonVPC2.某企业使用AWS构建了一个三层Web应用程序。为了确保安全性，架构师需要确保Web服务器层无法直接访问数据库服务器层，只有应用程序服务器层可以访问数据库。同时，所有层都需要访问互联网进行更新。以下哪项AWS服务或功能主要用于实现这种层级的隔离和流量控制？A.SecurityGroupsB.AWSWAFC.NetworkACLsD.AmazonVPCSubnets3.一位解决方案架构师正在设计一个全球性的内容分发系统。该系统需要以低延迟向世界各地的用户分发静态和动态Web内容。此外，该系统还需要与AWSLambda@Edge集成，以便在离用户更近的位置自定义内容。以下哪项服务是最佳选择？A.AmazonS3B.AmazonCloudFrontC.AWSGlobalAcceleratorD.AmazonRoute534.根据AWS共享责任模型，以下哪项安全任务完全由AWS负责，而客户无需干预？A.配置AmazonS3存储桶的访问控制列表（ACL）B.管理AmazonEC2实例的操作系统补丁C.对AmazonEBS卷进行数据加密D.物理控制数据中心访问权限和环境硬件的维护5.某公司正在使用AmazonS3存储大量非结构化数据。由于合规性要求，这些数据必须在存储后的一段时间内无法被修改（WORMWriteOnceReadMany）。为了满足这一合规需求，同时保持低存储成本，应该启用以下哪种S3功能？A.S3VersioningB.S3ObjectLockC.S3LifecyclePoliciesD.S3Cross-RegionReplication6.一个电子商务网站在特定的促销活动期间，流量会出现不可预测的爆发。该网站的后端运行在无状态的服务器上。架构师需要设计一个能够根据CPU利用率或网络流量自动增加负载均衡后端服务器数量的系统。以下哪项组合是实现这一目标的最佳方案？A.AmazonEC2+AWSCloudFormationB.AmazonEC2+AmazonCloudWatch+AutoScalingC.AmazonEC2+AWSElasticBeanstalkD.AWSLambda+AmazonAPIGateway7.某企业使用AWS已有三年，拥有多个AWS账户。他们希望统一管理这些账户的支付方式，并合并账单以获得更好的批量定价折扣。以下哪项AWS服务可以帮助实现这一目标？A.AWSBudgetsB.AWSCostExplorerC.AWSOrganizationsD.AWSConsolidatedBilling8.一位开发人员需要部署一个简单的API，该API将接收HTTP请求，查询AmazonDynamoDB表，然后返回JSON响应。开发人员希望尽可能少地管理基础设施，并且只需为代码实际运行的时间和请求数付费。以下哪项服务最符合此要求？A.AmazonEC2B.AWSElasticBeanstalkC.AWSLambdaD.AmazonECS9.在AWS共享责任模型中，关于“安全性的管理”，以下哪项描述是客户的责任？A.解除物理数据中心的网络设备故障B.更新AWS管理控制台的SSL证书C.管理客户数据加密密钥D.维护用于分区的磁盘故障冗余10.某公司计划将其本地大型Oracle数据库迁移到AWS。他们希望减少运行数据库的管理开销，包括补丁、备份、恢复和扩展。如果应用程序需要高度兼容MySQL协议，以下哪项托管数据库服务是最佳选择？A.AmazonRedshiftB.AmazonRDSforMySQLC.AmazonAuroraD.AmazonDynamoDB11.一位用户正在尝试启动一个AmazonEC2实例，但启动失败。错误信息表明用户没有权限执行该操作。为了排查问题，用户需要查看过去24小时内其账户下所有API请求的记录，包括失败的请求。以下哪项AWS服务可以提供这些信息？A.AmazonCloudWatchB.AWSCloudTrailC.AWSConfigD.AWSTrustedAdvisor12.某公司使用AWS运行其关键业务应用。他们希望设置一个警报，当其AWS账单预计超过预设的预算限额（例如1000美元）时，能够通过电子邮件通知财务团队。以下哪项服务可以实现此功能？A.AWSCostExplorerB.AWSBudgetsC.AmazonCloudWatchD.AWSHealthDashboard13.一个开发团队正在使用AWSCodeCommit进行源代码控制。他们希望在代码每次推送到主分支时，自动触发构建和测试过程。如果测试通过，代码将自动部署到生产环境。以下哪项AWS服务最适合用于协调这些自动化流程？A.AWSCodePipelineB.AWSCodeBuildC.AWSCodeDeployD.AWSX-Ray14.某企业拥有一个运行在AmazonVPC内的私有子网中的数据库实例。该数据库需要每天下载安全更新，但不能直接暴露于互联网。以下哪项AWS服务允许私有子网中的资源安全地连接到互联网，而无需暴露公网IP地址？A.NATGatewayB.InternetGatewayC.VPCPeeringD.AWSDirectConnect15.某公司正在分析其AWS基础设施的安全性。他们希望获得关于最佳实践的建议，例如开启S3存储桶的日志记录、检查安全组的开放端口以及提高可用性等。以下哪项服务可以提供实时的指导来帮助降低成本、提高性能并提高安全性？A.AWSShieldB.AWSTrustedAdvisorC.AmazonGuardDutyD.AWSSecurityHub16.一位架构师需要设计一个混合云架构，将公司的本地数据中心与AWSVPC连接起来。要求连接必须具有高带宽、低延迟，并且比基于互联网的VPN连接更安全、更可靠。以下哪项AWS服务是最佳选择？A.AWSSite-to-SiteVPNB.AWSDirectConnectC.AmazonVPCPeeringD.AWSTransitGateway17.某应用程序需要处理来自数百万个物联网传感器的数据流。数据到达速度很快，需要实时处理并存储到NoSQL数据库中。以下哪项AWS服务最适合用于接收和缓冲这些高吞吐量的数据流？A.AmazonSQSB.AmazonKinesisDataStreamsC.AmazonSNSD.AWSStepFunctions18.某企业使用AmazonS3存储数百万个图像文件。他们希望允许特定的外部合作伙伴通过URL直接下载这些文件，同时确保链接在生成后的特定时间（例如1小时）后失效，以防止未授权的长期访问。以下哪项方法可以实现此目标？A.使用IAM用户凭证B.使用S3预签名URLC.设置S3存储桶策略为PublicD.使用CloudFront签名URL19.在AmazonEC2中，以下哪种购买选项提供了最大的折扣（最高可达90%），但要求实例能够承受中断，且执行时间必须是可中断的？A.On-DemandInstancesB.ReservedInstancesC.SpotInstancesD.DedicatedHosts20.某公司正在使用AWSLambda处理图像缩略图生成。他们注意到某些函数执行时间过长，导致超时错误。为了监控和诊断函数的性能瓶颈，他们需要查看详细的执行日志和指标。以下哪项AWS服务主要用于收集和存储这些日志？A.AWSX-RayB.AmazonCloudWatchLogsC.AWSCloudTrailD.AmazonVPCFlowLogs21.一位管理员希望限制特定IAM用户只能访问特定的AmazonS3存储桶，并且只能执行“读取”操作，不能“删除”或“写入”。这应该通过以下哪种机制实现？A.SecurityGroupsB.IAMPoliciesC.NetworkACLsD.AWSKMS22.某跨国公司希望将其全球Web应用程序的DNS流量路由到最接近用户的服务器，以最小化延迟。同时，他们需要基于地理位置进行路由（例如，将欧洲用户路由到法兰克福区域）。以下哪项AWS服务提供此功能？A.AmazonCloudFrontB.AmazonRoute53C.AWSGlobalAcceleratorD.ElasticLoadBalancing(ELB)23.某企业正在使用AWS进行机器学习模型的训练。他们需要使用具有多个GPU和高速互联能力的强大计算实例来加速训练过程。以下哪项EC2实例系列最适合这种计算密集型工作负载？A.T3instancesB.M5instancesC.P3instancesD.R5instances24.为了保护其Web应用程序免受常见的Web漏洞攻击，如SQL注入和跨站脚本（XSS），同时希望不需要预置或管理任何基础设施。以下哪项AWS服务可以作为部署在CloudFront或ALB前面的安全屏障？A.AWSShieldStandardB.AWSWAFC.AmazonInspectorD.AmazonMacie25.某公司需要存储大量的业务日志数据，这些数据需要频繁地查询和分析。他们希望使用一种无服务器的、几乎无需维护的数据仓库服务。以下哪项AWS服务是最佳选择？A.AmazonRDSB.AmazonDynamoDBC.AmazonRedshiftD.AmazonAthena二、多项选择题（共15题，每题3分。每题有两个或两个以上正确选项）1.AWS云的优势包括哪些？（选两项）A.变动的支出转化为资本支出B.增加基础设施的部署速度和敏捷性C.企业不再需要关心数据的合规性D.能够轻松进行全球规模扩展E.必须长期承诺硬件使用合同2.以下哪些是AmazonEC2实例的启动类型？（选两项）A.On-DemandB.ReservedC.TransientD.DedicatedE.Perpetual3.关于AmazonS3的存储类别，以下哪些描述是正确的？（选两项）A.S3Standard适用于频繁访问的数据。B.S3Intelligent-Tiering会自动将数据在访问频率层级之间移动，以优化成本。C.S3GlacierDeepArchive是用于长期数据归档，检索时间最长的存储类别，成本最低。D.S3OneZone-IA提供了比S3Standard-IA更高的持久性，因为它将数据跨多个区域复制。E.所有S3存储类别都支持相同的数据检索速度。4.某公司正在设计一个高可用的架构，需要确保在一个AWS区域发生故障时，应用程序仍然可用。以下哪些策略可以实现跨区域的高可用性？（选两项）A.使用AmazonEC2AutoScaling在单个可用区内扩展实例。B.在多个AWS区域部署应用程序并使用Route53进行基于延迟的路由。C.将数据跨区域复制到AmazonS3。D.将所有资源集中在一个可用区以减少网络延迟。E.仅依赖AWS的硬件冗余，不进行跨区域设计。5.以下哪些AWS服务属于Serverless（无服务器）计算服务，即用户无需管理底层服务器？（选两项）A.AWSLambdaB.AmazonEC2C.AmazonElasticBeanstalkD.AWSFargateE.AmazonLightsail6.AWSTrustedAdvisor可以提供以下哪些类别的检查建议？（选两项）A.CostOptimizationB.SecurityC.PerformanceD.MarketingStrategyE.HumanResources7.关于AWSIdentityandAccessManagement(IAM)，以下哪些说法是正确的？（选两项）A.IAM用户是代表使用AWS服务的人员或应用程序的身份。B.IAM策略是定义权限的JSON文档。C.根账户拥有所有AWS资源的完全访问权限，应日常用于登录管理。D.IAM角色不能被分配给EC2实例。E.IAM组是IAM用户的集合，用于一次性附加权限。8.某企业希望确保其AmazonEBS加密卷的数据安全性。以下哪些方法可以用于保护EBS数据？（选两项）A.启用默认EBS加密，以便在创建卷时自动加密。B.使用客户管理的CMK（CustomerMasterKey）通过AWSKMS进行加密。C.将EBS卷存储在S3中进行自动加密。D.仅依赖EC2实例的操作系统级加密。E.禁用EBS快照功能以防止数据泄露。9.以下哪些服务可以用于在AWS上托管容器化应用程序？（选两项）A.AmazonElasticContainerService(ECS)B.AmazonElasticKubernetesService(EKS)C.AWSBatchD.AmazonSQSE.AmazonS310.AWSCloudWatch的主要功能包括哪些？（选两项）A.监控AWS资源和运行在AWS上的应用程序。B.收集和访问日志文件。C.自动修复受损的EC2实例。D.设置警报并在指标越过阈值时采取行动。E.管理AWS账户的计费和支付。11.某公司需要使用AWS服务来发送和接收消息，以解耦分布式系统中的组件。以下哪些服务适用于消息传递场景？（选两项）A.AmazonSimpleQueueService(SQS)B.AmazonSimpleNotificationService(SNS)C.AmazonElasticBlockStore(EBS)D.AWSDirectConnectE.AmazonVPC12.关于AmazonVPC，以下哪些组件是VPC内部网络通信的关键部分？（选两项）A.InternetGatewayB.SubnetC.RouteTableD.AWSCloud9E.AmazonS313.以下哪些是AWS支持计划提供的支持类型？（选两项）A.BasicSupportB.DeveloperSupportC.BusinessSupportD.EnterpriseSupportE.FreeLifetimeSupport14.某公司希望使用AWS服务来构建其数据湖，用于存储结构化和非结构化数据以供分析。以下哪些服务是构建数据湖的核心组件？（选两项）A.AmazonS3B.AmazonEC2C.AWSGlueD.AmazonElasticLoadBalancingE.AWSCloudFormation15.当使用AWSDirectConnect时，以下哪些是正确的连接类型或选项？（选两项）A.专用连接B.托管连接C.VPN连接D.仅支持IPv6流量E.仅支持特定区域的连接三、填空题（共15题，每题2分）1.AWS云基础设施在全球范围内划分为地理区域，每个区域由多个________组成，这些是相互隔离的故障域。2.用户可以使用________服务来以编程方式管理AWS资源，它提供了一个安全的HTTPsAPI端点。3.AmazonRDS支持多种数据库引擎，包括MySQL、PostgreSQL、Oracle、SQLServer和________。4.在AWS中，________是一种完全托管的NoSQL数据库服务，提供快速、可预测的性能和无缝扩展。5.为了保护应用程序免受DDoS攻击，AWS提供了________服务，其中Standard层免费提供自动保护。6.AWS________是一项允许用户估算其使用AWS服务的预期成本的免费工具。7.________是一项允许用户以文本形式定义基础设施即代码的服务，从而可以版本控制和重复部署。8.AmazonEC2________实例是一种预先配置的虚拟机映像，其中包含启动实例所需的软件和信息（如操作系统、应用程序服务器和应用程序）。9.AWS________是一项无服务器的事件总线服务，用于连接应用程序和服务，使用事件数据流。10.Amazon________是一项托管式消息队列服务，用于在分布式软件组件和微服务之间解耦和扩展微服务、分布式系统和无服务器应用程序。11.AWS________是一项低延迟的全球内容分发网络（CDN）服务。12.________是一项AWS服务，用于审计AWS账户和资源的合规性，并评估资源配置。13.Amazon________是一项全托管的可扩展数据仓库服务，用于进行复杂的数据分析。14.在IAM中，________是一种临时的安全凭证，允许受信任的实体（如IAM用户、FederatedUser）执行特定任务。15.AWS________是一项应用程序管理服务，使得在AWS上部署和扩展容器化应用程序变得容易，而无需学习底层基础设施。四、简答题（共10题，每题5分）1.请简述“共享责任模型”在AWS云安全中的核心概念，并列举两个由AWS负责和两个由客户负责的安全任务。2.解释AmazonS3的“一致性模型”特性，特别是关于新对象的PUT请求。3.某公司希望最小化其AWS账单，请列举三种不同的成本优化策略，并简要说明其适用场景。4.什么是AmazonVPC中的“子网”？请解释“公有子网”和“私有子网”的区别。5.简述AWSLambda的“按需付费”计费模式是如何工作的？6.解释什么是“基础设施即代码”，并给出一个在AWS中实现IaC的服务名称。7.AmazonEC2的“按需实例”和“预留实例”在定价和使用承诺上有什么主要区别？8.简述AWSCloudTrail和AmazonCloudWatch在监控和审计方面的主要区别。9.某用户在尝试访问S3存储桶时收到“403AccessDenied”错误，请列举两种可能导致此错误的原因。10.解释什么是“停机保护”，它在AWSAutoScaling组中的作用是什么？五、应用题（共5题，每题10分）1.某媒体公司需要构建一个视频点播平台。他们拥有大量的高清视频文件，用户遍布全球。需求如下：(1)视频文件需要高持久性存储。(2)用户播放视频时延迟必须极低。(3)为了保护版权，视频内容不能被未授权的第三方轻松下载。请设计一个包含至少三种AWS服务的架构方案，并解释每种服务如何满足上述需求。2.一家金融科技公司正在开发一个交易处理系统。该系统必须具备极高的可用性和数据持久性，且能够处理每秒数千笔交易。数据结构是关系型的，需要强一致性。(1)您会推荐哪种AWS数据库服务？为什么？(2)为了确保高可用性，您应该如何部署该数据库？(3)在发生区域级灾难时，如何确保数据不丢失且服务可快速恢复？3.一个Web应用程序在高峰期经常响应缓慢。经过调查，发现瓶颈在于数据库的读取压力过大。数据库目前运行在AmazonRDSforMySQL上，只有一个只读副本。(1)您如何利用AWS服务来进一步缓解读取压力？(2)如果查询主要是复杂的聚合分析，您会建议引入哪种服务来减轻主生产数据库的负担？(3)请描述一个完整的解决方案，包括缓存层和分析层的引入。4.某企业拥有一个运行在本地数据中心的遗留ERP系统，由于业务扩展，他们需要将ERP系统的部分模块（如报表生成模块）迁移到AWS，同时保留核心数据库在本地，因为存在数据主权合规要求。(1)您会建议使用哪种网络连接方式来确保本地与AWS之间的低延迟、高带宽连接？(2)在架构上，如何让AWS上的计算资源安全地访问本地数据库？(3)如果ERP系统需要使用ActiveDirectory进行身份验证，如何在AWS中实现这一集成？5.一家初创公司正在开发一个移动后端应用。该应用具有以下特征：(1)流量波动极大，有时每天只有几个请求，有时每秒数千个。(2)开发团队规模小，希望尽可能减少运维工作。(3)需要存储用户配置文件和社交关系数据。请设计一个完全“无服务器”的架构方案。详细说明计算层、数据存储层和集成层分别应选择哪些AWS服务，并解释选择理由。答案及详细解析一、单项选择题答案1.B解析：AWSElasticBeanstalk是一项平台即服务（PaaS），它自动处理容量预置、负载均衡、自动缩放和应用程序健康监控等基础设施细节。虽然它底层使用EC2，但用户无需直接管理EC2实例，符合团队缺乏运维人员且希望专注代码的需求。EC2是IaaS，需要更多管理；Lightsail是VPS，适合简单场景；VPC是网络服务。2.D解析：在VPC中，通过创建公有子网和私有子网可以实现网络隔离。Web层放在公有子网（有IGW），应用层和数据库层放在私有子网。虽然安全组用于实例级流量控制，但“层级隔离”的基础架构概念是通过子网划分来实现的。NACL是子网级别的防火墙，但子网本身是隔离结构的基础。3.B解析：AmazonCloudFront是AWS的全球内容分发网络（CDN），专门用于以低延迟分发内容。它支持Lambda@Edge，允许在边缘节点运行代码。S3是存储，Route53是DNS，GlobalAccelerator是网络加速服务，不专门用于分发Web内容。4.D解析：根据共享责任模型，AWS负责“云的安全性”，包括物理硬件、网络基础设施和虚拟化软件的维护。客户负责“云中的安全性”，包括配置安全组、IAM、数据加密等。物理控制数据中心是AWS的责任。5.B解析：S3ObjectLock防止对象版本被删除或覆盖一段保留时间，符合WORM（WriteOnceReadMany）合规要求。Versioning只是保留所有版本，不禁止覆盖；Lifecycle用于转换存储类别；CRR用于跨区域复制。6.B解析：AutoScaling组合CloudWatch（监控指标）可以根据CPU利用率自动增减EC2实例。ElasticBeanstalk虽然也包含此功能，但题目强调的是“自动增加...数量”的具体机制，ASG是核心组件。选项B最直接描述了实现该功能的服务组合。7.C解析：AWSOrganizations允许创建多个账户并将其组织成OU（组织单位），并启用整合计费功能，从而统一支付和获得批量折扣。Budgets和CostExplorer是查看和设置预算的工具，不是多账户支付管理的工具。8.C解析：AWSLambda是无服务器计算服务，按执行时间和请求数付费，无需管理服务器，非常适合运行简单的API后端。EC2需要管理OS；ElasticBeanstalk虽然托管环境但仍需管理应用环境；ECS是容器服务。9.C解析：客户负责管理客户数据（包括加密）、管理IAM凭证、配置安全组等。物理设备、数据中心网络、AWS控制台的SSL证书（AWS负责控制台本身的安全）是AWS的责任。10.C解析：AmazonAurora是一种兼容MySQL和PostgreSQL的关系数据库引擎，它结合了高端商用数据库的性能和可用性与开源数据库的simplicity。RDSforMySQL也是选项，但Aurora在性能和自动扩展/管理上更优，且题目暗示“减少管理开销”，Aurora在这方面表现更突出（如存储自动扩展）。但若仅看兼容性，RDS也符合，但通常考题中若提到高性能和兼容性，Aurora是优选。此处C为最佳答案。11.B解析：AWSCloudTrail记录对AWS账户发出的API调用，包括控制台操作和SDK调用，并记录到S3和CloudWatchLogs。它是审计API请求权限问题的首选工具。CloudWatch主要监控指标和性能，不专门记录API调用历史。12.B解析：AWSBudgets允许用户设置自定义预算（成本或使用量），并在超过阈值（如预测成本超过1000美元）时触发警报（通过SNS通知电子邮件）。CostExplorer用于查看历史数据。13.A解析：AWSCodePipeline是一项持续集成和持续交付（CI/CD）服务，用于建模、可视化和自动化发布应用程序的步骤。它可以协调CodeBuild（构建）、CodeDeploy（部署）等步骤。14.A解析：NATGateway允许私有子网中的实例连接到互联网（用于下载更新等出站流量），同时阻止互联网主动发起的入站连接。InternetGateway用于公有子网双向通信。15.B解析：AWSTrustedAdvisor提供实时指导，帮助用户通过检查优化AWS基础设施，涵盖成本优化、性能、安全性、容错能力等。Shield是DDoS防护，GuardDuty是威胁检测，SecurityHub是安全合规中心。16.B解析：AWSDirectConnect在本地数据中心和AWS之间建立专用的网络连接，比基于互联网的VPN更稳定、延迟更低、带宽更高。VPN是基于公网的。17.B解析：AmazonKinesisDataStreams专门用于实时收集和处理大量数据流（如IoT、日志）。SQS是消息队列，适合解耦组件，不一定针对高吞吐实时流处理；SNS是发布/订阅。18.B解析：S3预签名URL允许临时授权访问私有对象，URL在指定时间后失效。IAM用户凭证是长期的；Public是公开的；CloudFront签名URL用于CDN分发。19.C解析：SpotInstances是AWS的闲置计算资源，价格最高可比On-Demand低90%，但可能被AWS回收中断。适合容错、批处理任务。20.B解析：AmazonCloudWatchLogs主要用于收集和存储日志数据（如Lambda函数日志）。CloudWatch是监控指标，X-Ray是分析请求链路，CloudTrail是API审计。21.B解析：IAMPolicies是JSON文档，用于定义权限。通过将Policy附加给用户、组或角色，可以实现精细的访问控制（如限制特定S3桶的读操作）。SecurityGroups是网络层防火墙。22.B解析：AmazonRoute53是高度可用且可扩展的DNS服务，提供基于延迟的路由、地理路由等策略。CloudFront是CDN，GlobalAccelerator是网络加速，ELB是负载均衡。23.C解析：P3实例系列配备高性能GPU（如NVIDIAV100），专为机器学习、高性能计算（HPC）和计算密集型工作负载设计。T3是通用型，M5是通用型平衡ECU和内存，R5是内存优化型。24.B解析：AWSWAF（WebApplicationFirewall）保护Web应用免受常见Web攻击，可部署在CloudFront或ALB前。Shield是DDoS防护，Inspector是漏洞扫描，Macie是数据安全。25.D解析：AmazonAthena是一种无服务器的交互式查询服务，可以直接使用标准SQL查询S3中的数据，无需设置基础设施。Redshift是数据仓库服务（需要集群），RDS是关系数据库。二、多项选择题答案1.BD解析：AWS的优势包括将资本支出转为可变的运营支出（A错，是转为OpEx而不是CAPEX）、提高部署速度和敏捷性（B对）、全球规模扩展（D对）。客户仍需关心合规性（C错），无需长期承诺（E错）。2.AB解析：EC2购买选项包括On-Demand（按需）、Reserved（预留）、Spot（竞价）和DedicatedHost（专用主机）。Transient和Perpetual不是官方分类。3.AC解析：S3Standard用于频繁访问（A对）。Intelligent-Tiering自动移动数据以优化成本（B对）。GlacierDeepArchive是长期归档（C对）。OneZone-IA是单可用区，持久性低于Standard-IA（D错）。不同存储类别访问速度不同（E错）。注：题目要求选两项，若严格按题意，B也是对的，但通常考试中若A、C极其明显，B也是对的。但若必须选两项最典型的，A和C是类别定义的核心。修正：B也是正确的描述。但在考试中可能考察的是特定类别。如果题目限定两项，可能存在歧义。根据题意“描述正确”，A、B、C均正确。假设题目要求选两项最典型的，或者考察的是特定类别。修正策略：鉴于这是多选题，且B也是正确描述，但题目限制选两项。通常此类题目会设定特定陷阱。这里A、C是基础类别的定义，B是高级功能。最稳妥的答案是A和C，或者A和B。根据标准题库，S3Standard和Glacier是常考对比点。此处选A、C作为最典型的类别描述。4.BC解析：跨区域高可用需要多区域部署（B对）和数据跨区域复制（C对）。单可用区AutoScaling（A）无法防止单个区域故障。集中资源（D）降低了可用性。仅依赖硬件（E）是不够的。5.AD解析：AWSLambda（A）和AWSFargate（D）是无服务器计算服务。Fargate是无需管理服务器的容器计算。EC2需管理服务器，ElasticBeanstalk仍需管理环境（虽然简化了），Lightsail是VPS。6.AB解析：TrustedAdvisor提供CostOptimization（成本优化）、Security（安全）、Performance（性能）、FaultTolerance（容错）等检查。不包括MarketingStrategy（D）或HR（E）。7.AB解析：IAM用户是身份（A对），策略定义权限（B对）。根账户不应日常使用（C错）。角色可以分配给EC2实例（D错）。组是集合（E对）。注：E也是正确的。但题目限制选两项。A和B是IAM的核心定义。8.AB解析：启用默认EBS加密（A）和使用KMSCMK（B）是保护EBS的方法。存入S3不是EBS加密方式（C）。仅OS加密不够（D）。禁用快照不能保护数据（E）。9.AB解析：ECS（A）和EKS（B）是AWS上的容器管理服务。AWSBatch也是计算服务但偏重批处理，SQS是消息队列，S3是存储。10.AD解析：CloudWatch监控资源（A）和设置警报（D）。收集日志也是其功能（B对）。自动修复实例需借助AutoScaling或Lambda（C错）。管理计费是Billing服务（E错）。注：B也是CloudWatch的功能。但题目限制两项。A和D是其核心监控和报警功能。11.AB解析：SQS（队列）和SNS（发布/订阅）都是消息传递服务。EBS是块存储，DirectConnect是网络，VPC是网络。12.BC解析：子网和路由表是VPC内部网络通信的基础。InternetGateway是出口，Cloud9是IDE，S3是存储。13.CD解析：AWS支持计划包括Basic、Developer、Business、Enterprise。其中Business和Enterprise是主要付费支持层级。14.AC解析：S3（A）是数据湖的核心存储，AWSGlue（C）是ETL/数据目录服务，用于发现和整理数据。EC2是计算，ELB是负载均衡，CloudFormation是编排。15.AB解析：DirectConnect支持专用连接和托管连接。VPN是另一种服务。支持IPv4和IPv6。支持所有区域。三、填空题答案1.可用区2.AWSSDK3.MariaDB4.AmazonDynamoDB5.AWSShield6.AWSPricingCalculator7.AWSCloudFormation8.AMI(AmazonMachineImage)9.AmazonEventBridge10.AmazonSimpleQueueService(SQS)11.CloudFront12.AWSConfig13.Redshift14.IAMRole15.AppRunner(或ElasticBeanstalk，但AppRunner更符合“无需学习底层”的描述，填Fargate也对，但AppRunner是服务名。通常此处填ElasticBeanstalk或Fargate。鉴于定义“使得部署...容易”，ElasticBeanstalk是传统答案，但AppRunner更现代。此处填AWSElasticBeanstalk或AWSAppRunner均可，标准答案倾向于AWSElasticBeanstalk)四、简答题答案1.核心概念：AWS共享责任模型界定了AWS和客户各自的安全责任。AWS负责保护运行云服务的底层基础设施（硬件、软件、网络等），即“云的安全性”；客户负责配置和使用这些服务来保护自己的数据、应用程序和操作系统，即“云中的安全性”。AWS负责任务示例：物理数据中心安全、硬件维护、网络基础设施保护。客户负责任务示例：管理IAM用户和权限、配置安全组和NACL、加密客户数据、操作系统补丁（针对EC2）。2.S3一致性模型：AmazonS3为所有AWS区域中的所有新对象提供强一致性。这意味着，一旦对对象的PUT请求成功返回，对该对象的任何后续读取请求（GET或LIST）都将返回最新写入的数据。简单来说，写入后立即可读，保证数据一致性。3.成本优化策略：(1)使用预留实例或SavingsPlans：针对长期稳定运行的工作负载，承诺使用1年或3年，以换取大幅折扣。(2)使用Spot实例：针对容错、批处理或无状态的应用，使用闲置计算资源，最高可节省90%成本。(3)清理闲置资源：定期检查并删除未使用的EBS卷、未附加的EIP或停止的EC2实例，利用AWSTrustedAdvisor识别闲置资源。4.子网定义：子网是VPC中的IP地址段。区别：公有子网：包含通往互联网网关的路由，其中的资源（如EC2实例）拥有公网IP或EIP，可以直接与互联网通信。私有子网：没有通往互联网网关的直接路由（通常通过NATGateway），其中的资源无法直接从互联网访问，也不能直接发起到互联网的出站连接（除非通过NAT），主要用于后端数据库等不需要公网暴露的资源。5.Lambda计费模式：Lambda按照代码执行时间和请求数量计费。计费精度精确到毫秒（通常最小100ms）。只有当代码实际运行时才产生费用，如果代码没有触发执行，则不产生费用。此外，Lambda提供免费套餐额度。6.IaC定义：基础设施即代码是一种使用代码（如JSON、YAML）来管理和配置基础设施（如服务器、网络、数据库）的实践，而不是通过手动控制台操作。它允许版本控制、重复部署和自动化。AWS服务：AWSCloudFormation或AWSTerraform（第三方，但在AWS上广泛使用）。官方答案是AWSCloudFormation。7.区别：按需实例：按小时或秒付费，没有长期承诺，可以随时启动和终止。价格最高，灵活性最高。预留实例：需要承诺使用1年或3年（全预付或部分预付），提供大幅折扣（最高可达75%）。适合长期、稳定的工作负载。8.区别：AWSCloudTrail：专注于审计。它记录账户中发生的API调用历史（谁在什么时候做了什么操作），用于合规性检查和安全分析。AmazonCloudWatch：专注于监控。它收集AWS资源的运行指标（如CPU利用率、延迟）和日志文件，用于设置警报和运维故障排查。9.403错误原因：(1)IAM权限不足：用户的IAM策略中没有授予对该S3存储桶或对象的`s3:GetObject`权限。(2)存储桶策略限制：S3存储桶级别的策略（BucketPolicy）明确拒绝了该用户的访问，或者只允许特定IP/账户访问。(3)ACL设置：对象的ACL未授予读取权限，且用户不是对象所有者。(4)加密密钥权限：对象使用KMS加密，但用户没有使用该KMS密钥解密的权限。10.停机保护：定义：停机保护是AutoScaling组中的一个设置。当启用时，AutoScaling不会从AutoScaling组中终止受此保护的实例。作用：主要用于保护实例中包含不应因自动缩放活动（如缩容）而丢失的重要数据或状态。例如，如果实例正在处理长时间运行的任务且不能中断，或者实例本地有未持久化的缓存数据，可以启用此功能（尽管最佳实践是将数据持久化到EBS或S3）。五、应用题答案1.架构方案：存储层：AmazonS3。使用S3Standard或Intelligent-Tiering存储原始高清视频文件。S3提供极高的持久性（99.999999999%），满足需求(1)。分发层：AmazonCloudFront。创建一个CloudFront分发，源设置为S3存储桶。CloudFront利用全球边缘节点缓存视频，向用户提供低延迟播放体验，满足需求(2)。安全层：AWSWAF或CloudFrontSignedURLs。方案A：使用CloudFrontSignedCookies或SignedURLs。生成带有过期时间的签名URL，只有持有