2026年AWS认证AWSLocalZones安全配置实验专题试卷及解析

2026年AWS认证AWSLocalZones安全配置实验专题试卷及解析单选题（每题1分，共20分，每题仅有一个正确答案）1.在AWSLocalZones中，以下哪项IAM策略条件键可用于限制用户仅能访问特定LocalZone的EC2实例？A.aws:RequestedRegionB.aws:SourceVpceC.ec2:LocalZoneD.aws:LocalZoneName答案：D2.某企业在洛杉矶LocalZone部署了AutoScaling组，若要求扩容事件优先使用LocalZone内专用主机，应在启动模板中设置哪一参数？A.Placement.Tenancy=dedicatedB.Placement.HostId=local-zone-idC.Placement.Tenancy=hostD.Placement.GroupName=local-dedicated答案：A3.在LocalZone子网中启用VPCFlowLogs，日志将首先存储到以下哪个服务？A.LocalZone内的S3存储桶B.父区域CloudWatchLogsC.LocalZoneCloudWatchLogsD.父区域AmazonKinesisDataFirehose答案：B4.当安全组规则引用自身安全组ID作为源时，在LocalZone内该规则对以下哪类流量生效？A.仅子网内IPv4流量B.仅子网内IPv6流量C.所有进出该安全组的流量D.仅来自父区域的流量答案：C5.在LocalZone中部署ApplicationLoadBalancer，必须选择哪种类型的IP地址模式才能支持客户端源IP保持？A.dualstackB.ipv4C.ipv6D.private-ipv4答案：A6.以下哪项AWSConfig托管规则可用于检测LocalZone子网是否缺少网络ACL？A.vpc-network-acl-unused-checkB.restricted-sshC.subnet-acl-checkD.vpc-default-security-group-closed答案：C7.在LocalZone内使用AWSSystemsManagerSessionManager连接EC2，需确保实例附加的IAM角色包含哪条最低权限？A.ssm:StartSessionB.ec2:DescribeInstancesC.ssm:SendCommandD.ssm:UpdateInstanceInformation答案：A8.若LocalZone中的EC2需通过私有DNS解析父区域RDS终端节点，应在VPC启用哪项配置？A.enableDnsHostnames=true且enableDnsSupport=trueB.仅enableDnsSupport=trueC.仅enableDnsHostnames=trueD.创建PrivateHostedZone答案：A9.在LocalZone子网中启用TrafficMirroring，目标可以位于：A.同一LocalZoneB.父区域C.同一VPC其他可用区D.以上均可答案：D10.使用AWSFirewallManager对LocalZone安全组进行策略管控时，策略作用域必须包含：A.仅LocalZoneOUB.仅父区域C.整个OrganizationD.指定LocalZone账户答案：C11.在LocalZone中，若要求EC2实例启动时自动挂载加密EFS，EFS挂载助手需要哪项IAM权限？A.elasticfilesystem:ClientMountB.elasticfilesystem:DescribeMountTargetsC.kms:DecryptD.efs:Mount答案：A12.以下哪项CloudWatch指标可用来监控LocalZoneALB的TLS握手延迟？A.TargetResponseTimeB.TLSHandshakeTimeC.RequestCountD.HTTPCode_Target_2XX_Count答案：B13.在LocalZone中，若将VPCDHCP选项集设置为自定义域名，需确保：A.域名长度≤20字符B.域名与父区域Route53私有域冲突C.域名未与ActiveDirectory域重叠D.域名必须包含local后缀答案：C14.在LocalZone子网中，若安全组出站规则全允许，但实例仍无法访问父区域S3，最可能原因是：A.子网路由表缺少VPCEndpoint路由B.S3桶策略拒绝LocalZoneCIDRC.NACL入站拒绝443D.IAM角色未附加AmazonS3FullAccess答案：A15.使用AWSRAM与外部账户共享LocalZone子网时，外部账户获得子网后，仍需哪项权限才能在该子网启动EC2？A.ec2:RunInstancesB.ram:AcceptResourceShareInvitationC.ec2:CreateNetworkInterfaceD.以上均需答案：D16.在LocalZone中，若要求所有EC2实例强制使用IMDSv2，应在LaunchTemplate中设置：A.MetadataOptions.HttpTokens=requiredB.MetadataOptions.HttpEndpoint=disabledC.MetadataOptions.HttpPutResponseHopLimit=1D.MetadataOptions.InstanceMetadataTags=enabled答案：A17.以下哪项GuardDuty威胁检测可用于发现LocalZone实例被用于加密货币挖矿？A.CryptoCurrency:IAMUser/BitcoinToolB.Trojan:EC2/CryptoMinerC.Backdoor:EC2/C&CD.Behavior:EC2/NetworkPortUnusual答案：B18.在LocalZone中，若使用AWSNetworkFirewall，其端点应部署在：A.LocalZone子网B.父区域公有子网C.父区域防火墙子网D.任何子网均可答案：C19.在LocalZone中，若要求所有快照加密且使用客户托管密钥，需在哪一层级启用“默认加密”？A.EC2全局设置B.EBS快照设置C.KMS密钥策略D.LocalZone设置答案：B20.在LocalZone中，若使用AWSBackup对EC2进行跨区域备份，备份副本将存储到：A.父区域备份库B.LocalZone备份库C.指定目标区域备份库D.S3GlacierDeepArchive答案：C多选题（每题2分，共20分，每题至少两个正确答案，多选少选均不得分）21.以下哪些IAM条件键可用于限制LocalZoneEC2仅能访问指定KMS密钥？A.kms:ViaServiceB.kms:EncryptionContextKeysC.kms:RequestAliasD.kms:ResourceAliases答案：A、C、D22.在LocalZone中，以下哪些服务支持通过VPCEndpoint实现私有访问？A.AmazonS3B.AmazonDynamoDBC.AWSSystemsManagerD.AmazonCloudFront答案：A、B、C23.以下哪些NACL规则组合会导致LocalZone子网无法对外发起HTTPS请求？A.出站100允许TCP443/0B.出站拒绝所有IPv4B.出站拒绝所有IPv4C.入站拒绝所有IPv4C.入站拒绝所有IPv4D.入站100允许TCP80/0答案：B、C24.在LocalZone中，以下哪些日志源可被GuardDuty用于威胁分析？A.VPCFlowLogsB.DNSLogsC.CloudTrailLogsD.ElasticLoadBalancingLogs答案：A、B、C25.以下哪些措施可降低LocalZoneALB遭受Slowloris攻击的风险？A.启用AWSWAF速率限制规则B.调整IdleTimeout=30秒C.启用CloudFront前置D.设置ALB连接耗尽超时=5秒答案：A、B、C26.在LocalZone中，以下哪些场景会导致EC2无法获取IMDSv2令牌？A.安全组出站拒绝TCP80B.用户数据脚本设置防火墙iptables拒绝54C.LaunchTemplate设置MetadataOptions.HttpEndpoint=disabledD.NACL出站拒绝TCP80答案：A、B、C、D27.以下哪些AWSConfig规则可用于评估LocalZone子网是否合规启用IPv6？A.ipv6-subnet-checkB.vpc-subnet-ipv6-checkC.restricted-internet-gatewayD.vpc-sg-open-only-to-authorized-ports答案：A、B28.在LocalZone中，以下哪些操作会触发CloudTrail记录数据事件？A.通过预签名URL上传对象到LocalZoneS3B.通过EC2InstanceConnectSSH登录C.通过KMS解密API调用D.通过ALB转发HTTP请求答案：A、C29.以下哪些策略可用于防止LocalZoneEC2实例被意外终止？A.启用TerminationProtectionB.使用IAM策略拒绝ec2:TerminateInstancesC.启用EC2AutoRecoveryD.使用ResourceGroupsTaggingAPI加锁答案：A、B30.在LocalZone中，以下哪些服务支持使用CustomerManagedKey进行服务器端加密？A.EBSB.S3C.RDSD.DynamoDB答案：A、B、C、D填空题（每空2分，共20分）31.在LocalZone中，若要求所有新创建EBS卷默认加密，应在________设置中开启“默认加密”，该设置作用范围为________。答案：父区域EBS；当前区域所有新卷32.使用AWSCLI命令将LocalZone实例加入SystemsManager管理通道，需先安装________代理，并确保实例IAM角色包含________策略。答案：SSMAgent；AmazonSSMManagedInstanceCore33.在LocalZone子网中，若NACL入站规则需要允许EphemeralRange，应开放________至________端口。答案：1024；6553534.若LocalZoneALB需支持双向TLS，需在________服务上传客户端CA证书，并在________中启用mutualauthentication。答案：ACM；ALB监听器35.在LocalZone中，若使用IPv6-only子网，需通过________服务将IPv4流量转换为IPv6，该服务名称为________。答案：NAT64；Egress-onlyInternetGateway36.使用AWSNetworkFirewall有状态规则组，默认操作顺序按________优先级匹配，规则动作包括________、________、________。答案：从低到高；pass；drop；alert37.在LocalZone中，若要求所有快照共享仅允许特定OU内账户，需在________策略中设置________条件键为________。答案：KMS密钥；aws:PrincipalOrgPaths；ou-xxxx38.若LocalZoneEC2需通过IPv6访问父区域S3双栈终端节点，DNS解析返回的AAAA记录由________服务提供，其域名格式为________。答案：Route53；39.在LocalZone中，使用________命令可验证IMDSv2是否强制，若返回________则表明已强制。答案：curl-XPUT54/latest/api/token；401Unauthorized40.在LocalZone中，若使用AWSBackup跨区域备份RDS，备份窗口由________参数控制，备份保留期最小为________天。答案：BackupRetentionPeriod；1简答题（每题10分，共30分）41.描述在AWSLocalZone中实现EC2实例启动时自动加密EBS卷且使用客户托管密钥的完整配置步骤，并指出关键IAM权限与KMS密钥策略要求。答案：1.在父区域EBS设置中开启“默认加密”并选择客户托管密钥cmk-local。2.确保cmk-local密钥策略允许服务角色有kms:GenerateDataKeyWithoutPlaintext与kms:CreateGrant。3.在LaunchTemplate中设置Encrypted=true，KmsKeyId=arn:aws:kms:region:account:key/cmk-local。4.实例角色无需额外EBS权限，但需确保kms:ViaService条件限制为。5.使用IAM策略禁止ec2:RunInstances当LaunchTemplate.Encrypted=false，强制合规。42.说明如何在LocalZoneALB前部署AWSWAF以防御SQL注入与Bot攻击，要求给出规则组选择、采样请求开启方式、CloudWatch指标监控名称及告警阈值设定。答案：1.在WAF控制台创建WebACL，作用域选择“Regional”并与LocalZoneALB关联。2.添加AWS托管规则组：AWSManagedRulesSQLiRuleSet与AWSManagedRulesBotControl。3.设置默认动作Allow，规则覆盖动作对SQLi设置为Block，BotControl对类别SignalNonBrowserUserAgent设置为Block。4.在WebACL配置中开启采样请求，采样比例10%。5.监控CloudWatch指标：AWS/WAFV2的AllowedRequests、BlockedRequests、BotControlRequests。6.创建CloudWatch告警：当BlockedRequests>100/5min且持续2个周期，触发SNS主题通知安全团队。43.阐述在LocalZone中通过VPCEndpoint私有访问S3时，如何确保数据上传对象级事件被审计至中央CloudTrail，并给出Bucket政策、Endpoint政策与CloudTrail数据事件配置示例。答案：1.在父区域创建组织级CloudTrail，启用数据事件，选择S3桶arn:aws:s3:::localzonedata/，读写事件均记录。2.LocalZone桶策略附加条件：aws:SourceVpce为vpce-xxx，确保仅通过Endpoint访问。3.VPCEndpoint策略：{"Statement":[{"Effect":"Allow","Principal":"","Principal":"","Action":"s3:","Action":"s3:","Resource":["arn:aws:s3:::localzonedata","arn:aws:s3:::localzonedata/"],"Resource":["arn:aws:s3:::localzonedata","arn:aws:s3:::localzonedata/"],"Condition":{"StringEquals":{"aws:PrincipalArn":"arn:aws:iam::123456789012:role/LocalZoneApp"}}}]}4.CloudTrail将数据事件投递至中央S3桶central-audit，桶策略允许CloudTrail服务写入。应用题（共60分）44.（计算类，15分）某金融企业在洛杉矶LocalZone部署100台c5.2xlargeEC2，单台EBSgp3卷500GB，每日每卷快照一次，快照增量平均10GB，保留30天。已知gp3单价0.08/(1)30天累计快照存储成本；(2)若启用跨区域快照复制到东京区域，网络费用$0.02/GB，求30天总成本；(3)采用EBS快照归档，将90天前的快照移至Archive层，归档单价$0.0125/GB月，求第91–120天节省金额。答案：(1)单卷30天增量300GB，100卷30000GB，成本=30000×0.05=$1500。(2)复制流量30000GB，网络费=30000×0.02=600，(3)归档存储30000GB，单价差=0.05−0.0125=0.0375/45.（分析类，15分）给定CloudTrail日志片段："eventName":"CreateNetworkInterface","requestParameters":{"subnetId":"subnet-losangeles-local-1a","groups":["sg-123456"],"privateIpAddresses":[{"primary":true,"privateIpAddress":""}]},"sourceIPAddress":"5","userIdentity":{"type":"IAMUser","userName":"developer"}分析潜在安全风险，给出三条加固建议并写出检测该行为的AWSConfig自定义规则逻辑（伪代码）。答案：风险：公网IP调用创建ENI，可能绕过安全审批；安全组sg-123456出站全通；IP不在企业出口范围。加固：1.在SCP拒绝ec2:CreateNetworkInterface当aws:SourceIp不在/8。2.安全组出站限制仅允许443/80到/0，其余拒绝。3.启用Config规则检测ENI创建事件，若subnetId含local且调用源IP非企业VPN，标记NON_COMPLIANT。伪代码：configRule={resourceType:AWS::EC2::NetworkInterface,evaluate:ifsubnetIdstartsWith"subnet-losangeles"andsourceIpnotin[/8,/12]thenreturnNON_COMPLIANT}46.（综合类，30分）设计一套满足等保三级要求的LocalZone三层Web架构，给出：(1)网络拓扑图文字描述（含子网划分、ACL、安全组、Endpoint、WAF、NAT、InspectionVPC）；(2)数据加密清单（传输、存储、备份、密钥管理）；(3)审计与监控方案（日志汇聚、告警、留存周期、不可篡改）；(4)使用CloudFormation模板片段展示核心安全资源（参数、资源、输出）。答案：(1)拓扑：LocalZone公有子网/26：ALB、WAF、NATGateway。LocalZone私有子网/26：Web服务器，安全组仅允许ALB安全组入站80/443。LocalZone数据子网/26：RDSMySQL，安全组仅允许Web安全组3306。父区域InspectionVPC：NetworkFire