2026年AWS认证IAM用户与组管理策略专题试卷及解析

2026年AWS认证IAM用户与组管理策略专题试卷及解析第一部分：单选题1.一家公司的安全团队要求所有AWS管理控制台的访问必须通过多因素认证（MFA）进行保护。作为管理员，你需要编写一个IAM策略，以确保只有通过MFA认证的用户才能执行EC2操作。以下哪个策略条件键能够正确实现这一要求？A.aws:MultiFactorAuthPresentB.aws:MultiFactorAuthAgeC.aws:useridD.aws:username2.在AWSIAM中，关于策略评估逻辑的描述，以下哪项是正确的？A.默认拒绝所有请求，显式允许覆盖显式拒绝。B.默认允许所有请求，显式拒绝覆盖显式允许。C.默认拒绝所有请求，显式拒绝覆盖显式允许。D.默认允许所有请求，显式允许覆盖显式拒绝。3.你正在为一个名为“Developers”的IAM组设置权限。该组需要完全访问AmazonS3，但只能读取特定的DynamoDB表。为了遵循最小权限原则，你应该采取以下哪种最佳实践？A.为该组直接附加AdministratorAccess托管策略。B.创建两个内联策略，一个允许S3的完全访问，另一个允许特定DynamoDB表的读取访问，并将它们附加到该组。C.创建一个自定义托管策略，包含S3完全访问和DynamoDB完全访问，并附加到该组。D.为组内的每个用户单独设置权限，以实现更精细的控制。4.AWSIAM中的“权限边界”是一项高级功能。关于权限边界，以下哪项描述是准确的？A.权限边界用于设置基于资源的策略，限制谁可以访问该资源。B.权限边界是一个托管策略，它设置了基于身份的策略可以授予的IAM实体的最大权限。C.权限边界一旦设置，任何管理员都无法更改，除非删除并重新创建用户。D.权限边界主要用于AWSOrganizations的SCP（服务控制策略），不能应用于单个IAM用户。5.一个IAM用户尝试访问一个S3存储桶。该用户拥有一个允许访问S3的托管策略，同时该用户所属的组拥有一个拒绝访问该S3存储桶的内联策略。该用户是否能够访问该S3存储桶？A.能，因为用户的托管策略优先级高于组的内联策略。B.不能，因为显式的Deny总是会覆盖显式的Allow。C.能，因为托管策略比内联策略更新。D.不能，因为组的策略总是覆盖用户的策略。6.你需要创建一个跨账户访问角色，允许账户B中的IAM用户访问账户A中的S3资源。在账户A中创建的信任策略中，`Principal`元素应该指定什么？A.账户A的根账户ARNB.账户B的根账户ARNC.账户B中特定用户的ARND.AWS服务名称，例如``7.在AWSIAM策略的`Resource`元素中，以下哪种ARN格式用于引用特定的EC2实例？A.arn:aws:ec2:region:account-id:instance/instance-idB.arn:aws:ec2:::instance/instance-idC.arn:aws:ec2:region:account-id:instance-idD.arn:aws:ec2:region:account-id:resource/instance-id8.你的公司要求每90天轮换一次IAM用户的访问密钥。作为管理员，你希望收到即将过期的访问密钥的通知。你应该使用哪种AWS服务或功能来最有效地实现这一点？A.AWSConfigB.AWSTrustedAdvisorC.IAM凭证报告D.AWSCloudTrail9.以下哪个IAM策略变量用于代表当前请求者的友好名称？A.${aws:userid}B.${aws:username}C.${aws:principalid}D.${aws:callerid}10.你正在查看一个IAM策略，其中包含以下语句片段：```json"Condition":{"StringLike":{"aws:SourceIp":"/24"}}```该条件的含义是什么？A.源IP地址必须精确匹配"/24"。B.源IP地址必须属于"/24"这个CIDR块。C.源IP地址不能是"/24"。D.这是一个无效的条件运算符，应该使用"IpAddress"。11.AWSIAM支持标签。你可以使用标签来控制对AWS资源的访问。以下哪个全局条件键用于在策略中检查请求中传递的标签？A.aws:PrincipalTagB.aws:RequestTagC.aws:ResourceTagD.aws:TagKeys12.当你创建一个IAM用户时，以下哪种凭证是默认创建的？A.控制台密码和访问密钥。B.控制台密码。C.访问密钥。D.默认不创建任何凭证，必须手动生成。13.你需要限制一个IAM用户只能在特定的时间段（例如周一到周五的9:00到17:00UTC）调用AWSAPI。你应该使用哪种条件键？A.aws:CurrentTimeB.aws:EpochTimeC.aws:MultiFactorAuthAgeD.aws:RequestedRegion14.关于AWSIAM的“最后访问信息”功能，以下哪项描述是正确的？A.它实时显示用户最后一次访问服务的时间，精确到秒。B.它可以显示用户或角色在过去400天内最后一次尝试访问每个服务的时间。C.它只能通过AWSCLI获取，无法在控制台查看。D.它显示的是CloudTrail日志中记录的所有失败访问尝试。15.你正在编写一个策略，希望允许用户管理自己的访问密钥。以下哪组操作是必需的？A.CreateAccessKey,DeleteAccessKeyB.CreateAccessKey,DeleteAccessKey,ListAccessKeys,UpdateAccessKeyC.CreateAccessKey,DeleteAccessKey,ListAccessKeys,GetAccessKeyLastUsedD.AllIAMactions第二部分：多选题16.AWSIAM策略主要由哪几个元素组成？（请选择所有正确项）A.VersionB.IdC.StatementD.PrincipalE.Effect17.为了保护AWS账户的根用户，安全团队建议采取以下哪些措施？（请选择所有正确项）A.为根用户启用MFA。B.删除根用户的访问密钥。C.将根用户的访问密钥轮换频率设置为每天。D.使用根用户仅执行必须由根用户完成的任务。E.将根用户凭证共享给其他管理员以进行日常操作。18.在设计IAM策略时，可以使用通配符来匹配操作或资源。以下关于通配符的描述，哪些是正确的？（请选择所有正确项）A.``可以匹配零个或多个字符。A.``可以匹配零个或多个字符。B.`?`可以匹配任何单个字符。C.在Resource元素中，``可以跨资源类型分隔符（如`/`或`:`）进行匹配。C.在Resource元素中，``可以跨资源类型分隔符（如`/`或`:`）进行匹配。D.在Action元素中，`iam:`表示所有IAM操作。D.在Action元素中，`iam:`表示所有IAM操作。19.你需要为一个应用程序分配权限，该应用程序运行在EC2实例上并需要访问S3。以下哪些方法是最佳实践？（请选择所有正确项）A.在EC2实例的代码中硬编码AWS访问密钥和秘密密钥。B.为EC2实例分配IAM角色。C.通过启动实例时传递的用户数据脚本将凭证存储在实例文件系统中。D.使用IAM实例配置文件。E.使用AWSSystemsManagerParameterStore存储凭证并配合IAM角色。20.关于IAM组的特性，以下哪些说法是准确的？（请选择所有正确项）A.组不能嵌套，即组内不能包含其他组。B.组可以用来同时管理多个用户的权限。C.组本身不是一种身份，不能用来直接登录AWS管理控制台。D.组可以拥有多因素认证（MFA）设备。21.策略变量`aws:PrincipalTag`可以用于基于附加到IAM主体（用户或角色）的标签来控制访问。以下哪些场景适合使用此条件键？（请选择所有正确项）A.只有拥有`Department=HR`标签的用户才能访问HR专用的S3存储桶。B.只有拥有`Project=Phoenix`标签的角色才能启动带有特定标签的EC2实例。C.限制来自特定IP地址的请求。D.强制请求必须来自特定的VPC端点。22.你正在审计IAM策略的安全性。以下哪些情况可能被视为安全隐患或违反最佳实践？（请选择所有正确项）A.在策略的Action元素中使用``通配符。A.在策略的Action元素中使用``通配符。B.在策略的Resource元素中使用``通配符。B.在策略的Resource元素中使用``通配符。C.对生产环境的管理员使用`AdministratorAccess`托管策略。D.在策略中显式拒绝某些敏感操作的权限。23.AWSIAM支持多种策略类型。以下哪些属于IAM策略的类型？（请选择所有正确项）A.基于身份的策略B.基于资源的策略C.数据边界策略D.权限边界E.服务控制策略（SCP）24.当使用`sts:AssumeRole`操作时，你可以传递可选参数。以下哪些参数可以影响临时凭证的权限或元数据？（请选择所有正确项）A.PolicyB.PolicyArnsC.DurationSecondsD.Tags25.你需要限制IAM用户只能创建特定类型的EC2实例（例如`t2.micro`）。你应该在IAM策略的`Condition`块中使用哪个条件键？A.ec2:InstanceTypeB.ec2:VolumeTypeC.aws:RequestTagD.ec2:Region第三部分：填空题26.在IAMJSON策略中，`Effect`元素的取值只能是"Allow"或________。27.若要引用当前AWS账户中的所有S3对象，Resource元素应填写为`arn:aws:s3:::bucket-name/________`。28.IAM策略的默认版本是________。29.为了限制用户只能通过特定的VPC端点访问服务，可以使用条件键________。30.在IAM策略中，如果要指定多个条件键，它们之间的逻辑关系默认是________（填“AND”或“OR”）。31.AWSIAM访问密钥由两部分组成：AccessKeyID和________。32.当你使用IAM角色进行跨账户访问时，信任策略中的`Principal`元素通常使用`AWS`字段指定另一个账户的________ARN。33.条件键`aws:SecureTransport`用于检查请求是否通过________发送。34.在AWSCLI或SDK中使用临时凭证时，除了AccessKeyId和SecretAccessKey外，还必须包含________参数。35.IAM策略的`NotAction`元素用于匹配除指定列表之外的所有________。第四部分：简答题36.请简述IAM策略中“显式拒绝”和“默认拒绝”的区别，并说明在权限评估中它们的优先级。37.什么是IAM权限边界？请解释它如何与基于身份的策略共同作用来限制实体的权限。38.某公司开发团队需要访问位于不同AWS账户中的共享S3存储桶。请描述实现这一需求的两种主要方法，并比较它们的优缺点。39.解释在IAM策略中使用`Condition`块的目的，并列举至少三个常用的条件键及其用途。40.为什么建议使用IAM组而不是直接为单个用户附加策略？请列举至少两个好处。第五部分：应用题41.场景分析：你管理着AWS账户A（AccountID:111122223333）。你希望允许账户B（AccountID:444455556666）中的IAM用户能够访问账户A中的S3存储桶`example-app-bucket`。要求：1.在账户A中创建一个名为`CrossAccountS3Access`的角色。2.该角色的信任策略应允许账户B中的用户代入该角色。3.该角色的权限策略应允许对`example-app-bucket`进行读写操作。4.账户B中的用户需要使用STSAssumeRoleAPI来获取临时凭证。请写出：(1)账户A中`CrossAccountS3Access`角色的信任策略（TrustPolicy）JSON文档。(2)账户A中`CrossAccountS3Access`角色的权限策略（PermissionsPolicy）JSON文档。42.策略逻辑综合分析：假设有一个IAM用户`Alice`。她属于`Developers`组。此外，管理员为她设置了一个权限边界。以下是附加到该用户、组以及权限边界的策略摘要：用户`Alice`的内联策略:允许`s3:`（所有S3操作）。允许`s3:`（所有S3操作）。组`Developers`的托管策略:允许`ec2:`（所有EC2操作）。允许`ec2:`（所有EC2操作）。拒绝`s3:DeleteBucket`。权限边界:允许`s3:Get`,`s3:List`,`ec2:Describe`。允许`s3:Get`,`s3:List`,`ec2:Describe`。请分析并回答以下问题：(1)`Alice`是否可以创建一个新的S3存储桶？请说明理由。(2)`Alice`是否可以删除一个现有的S3存储桶？请说明理由。(3)`Alice`是否可以启动一个新的EC2实例？请说明理由。(4)`Alice`是否可以查看EC2实例的状态？请说明理由。43.高级条件策略设计：你需要编写一个IAM策略，附加给一组名为`Interns`的IAM用户。该策略的要求如下：1.允许用户在`us-east-1`区域拥有对DynamoDB的完全访问权限。2.仅允许用户在工作时间（UTC时间周一至周五的09:00:00到17:00:00）访问。3.如果用户启用了MFA，则允许他们在任何时间访问DynamoDB（忽略时间限制）。4.拒绝所有其他服务的访问。请设计一个满足上述条件的IAM策略JSON文档。注意处理条件逻辑中的“如果MFA存在则忽略时间”这一逻辑（提示：可能需要使用多个Statement或利用逻辑组合）。答案与解析第一部分：单选题答案1.A解析：`aws:MultiFactorAuthPresent`是一个布尔键，用于检查请求是否通过MFA认证。如果值为`true`，则表示已认证。`aws:MultiFactorAuthAge`用于检查MFA认证通过后的时间（秒），通常用于强制重新认证。`aws:userid`和`aws:username`用于标识用户身份，与MFA状态无关。解析：`aws:MultiFactorAuthPresent`是一个布尔键，用于检查请求是否通过MFA认证。如果值为`true`，则表示已认证。`aws:MultiFactorAuthAge`用于检查MFA认证通过后的时间（秒），通常用于强制重新认证。`aws:userid`和`aws:username`用于标识用户身份，与MFA状态无关。2.C解析：IAM的默认行为是拒绝所有请求。在评估过程中，显式的`Deny`拥有最高优先级，它会覆盖任何`Allow`。只有没有显式`Deny`且存在显式`Allow`时，请求才会被允许。解析：IAM的默认行为是拒绝所有请求。在评估过程中，显式的`Deny`拥有最高优先级，它会覆盖任何`Allow`。只有没有显式`Deny`且存在显式`Allow`时，请求才会被允许。3.B解析：遵循最小权限原则，应只授予必要的权限。选项B通过两个策略分别授予S3完全访问和特定DynamoDB表的读取权限，既满足了需求，又避免了授予不必要的DynamoDB写权限或其他服务权限。内联策略适用于特定实体的独特权限需求。解析：遵循最小权限原则，应只授予必要的权限。选项B通过两个策略分别授予S3完全访问和特定DynamoDB表的读取权限，既满足了需求，又避免了授予不必要的DynamoDB写权限或其他服务权限。内联策略适用于特定实体的独特权限需求。4.B解析：权限边界是一个高级功能，它设置了一个基于身份的策略所能授予的权限上限。即使附加给用户的策略允许`s3:`，如果权限边界只允许`s3:Get`，那么用户实际上只能执行`s3:Get`。它用于防止权限过度授予。解析：权限边界是一个高级功能，它设置了一个基于身份的策略所能授予的权限上限。即使附加给用户的策略允许`s3:`，如果权限边界只允许`s3:Get`，那么用户实际上只能执行`s3:Get`。它用于防止权限过度授予。5.B解析：IAM策略评估逻辑中，显式的`Deny`优先级最高。无论有多少`Allow`，只要存在任何匹配的`Deny`，请求就会被拒绝。解析：IAM策略评估逻辑中，显式的`Deny`优先级最高。无论有多少`Allow`，只要存在任何匹配的`Deny`，请求就会被拒绝。6.B解析：在跨账户角色的信任策略中，`Principal`通常指定为信任账户的根账户ARN（即`arn:aws:iam::444455556666:root`）。这表示账户B中的任何拥有代入该角色权限的实体（由账户B的权限控制）都可以代入此角色。如果指定特定用户，管理开销会非常大且不灵活。解析：在跨账户角色的信任策略中，`Principal`通常指定为信任账户的根账户ARN（即`arn:aws:iam::444455556666:root`）。这表示账户B中的任何拥有代入该角色权限的实体（由账户B的权限控制）都可以代入此角色。如果指定特定用户，管理开销会非常大且不灵活。7.A解析：ARN的通用格式为`arn:aws:service:region:account-id:resource`。对于EC2实例，资源类型为`instance`，因此正确的格式是`arn:aws:ec2:region:account-id:instance/instance-id`。解析：ARN的通用格式为`arn:aws:service:region:account-id:resource`。对于EC2实例，资源类型为`instance`，因此正确的格式是`arn:aws:ec2:region:account-id:instance/instance-id`。8.B解析：AWSTrustedAdvisor提供安全检查，包括检查IAM用户是否正在使用访问密钥以及这些密钥是否已轮换。它可以直接提供关于未轮换密钥的警报。虽然IAM凭证报告可以生成CSV文件供分析，但TrustedAdvisor提供了更直接的监控和通知机制。解析：AWSTrustedAdvisor提供安全检查，包括检查IAM用户是否正在使用访问密钥以及这些密钥是否已轮换。它可以直接提供关于未轮换密钥的警报。虽然IAM凭证报告可以生成CSV文件供分析，但TrustedAdvisor提供了更直接的监控和通知机制。9.B解析：`aws:10.B解析：`StringLike`运算符用于字符串匹配，支持通配符（如``和`?`）。在IP地址匹配的上下文中，虽然`IpAddress`更常用，但`StringLike`也可以用于匹配CIDR块字符串。这里的条件意味着源IP必须匹配该字符串模式。在AWSConditionKey中，`aws:SourceIp`通常配合`IpAddress`运算符使用，但`StringLike`也是一种合法的字符串匹配方式，尽管对于CIDR通常使用`IpAddress`。不过，严格来说，对于IP范围，`IpAddress`是标准做法。但就选项而言，B描述了匹配该CIDR块的逻辑意图。注意：标准写法应为`IpAddress`，但`StringLike`在某些特定字符串匹配场景下也被视为合法逻辑，尽管此处`IpAddress`更佳。但在本题语境下，考察的是对CIDR块含义的理解，即属于该网段。解析：`StringLike`运算符用于字符串匹配，支持通配符（如``和`?`）。在IP地址匹配的上下文中，虽然`IpAddress`更常用，但`StringLike`也可以用于匹配CIDR块字符串。这里的条件意味着源IP必须匹配该字符串模式。在AWSConditionKey中，`aws:SourceIp`通常配合`IpAddress`运算符使用，但`StringLike`也是一种合法的字符串匹配方式，尽管对于CIDR通常使用`IpAddress`。不过，严格来说，对于IP范围，`IpAddress`是标准做法。但就选项而言，B描述了匹配该CIDR块的逻辑意图。注意：标准写法应为`IpAddress`，但`StringLike`在某些特定字符串匹配场景下也被视为合法逻辑，尽管此处`IpAddress`更佳。但在本题语境下，考察的是对CIDR块含义的理解，即属于该网段。11.A解析：`aws:PrincipalTag`用于检查请求者（Principal）身上所附带的标签。`aws:RequestTag`用于检查请求中传递的参数标签（如在创建资源时指定的标签）。`aws:ResourceTag`用于检查资源上已有的标签。解析：`aws:PrincipalTag`用于检查请求者（Principal）身上所附带的标签。`aws:RequestTag`用于检查请求中传递的参数标签（如在创建资源时指定的标签）。`aws:ResourceTag`用于检查资源上已有的标签。12.D解析：创建IAM用户时，默认不创建任何形式的凭证（控制台密码或访问密钥）。这是出于安全考虑，确保管理员明确授予凭证。解析：创建IAM用户时，默认不创建任何形式的凭证（控制台密码或访问密钥）。这是出于安全考虑，确保管理员明确授予凭证。13.A解析：`aws:CurrentTime`用于进行日期/时间条件比较，可以使用特定的日期格式或条件运算符（如`DateGreaterThan`）。`aws:EpochTime`是Unix时间格式。虽然两者都可以，但`aws:CurrentTime`更常见于业务逻辑描述。解析：`aws:CurrentTime`用于进行日期/时间条件比较，可以使用特定的日期格式或条件运算符（如`DateGreaterThan`）。`aws:EpochTime`是Unix时间格式。虽然两者都可以，但`aws:CurrentTime`更常见于业务逻辑描述。14.B解析：IAM的“最后访问信息”功能会报告用户或角色在过去400天内最后一次尝试访问每个服务的时间。它不是实时的，且有一定的延迟。解析：IAM的“最后访问信息”功能会报告用户或角色在过去400天内最后一次尝试访问每个服务的时间。它不是实时的，且有一定的延迟。15.C解析：要管理自己的访问密钥，用户至少需要`CreateAccessKey`（创建）、`DeleteAccessKey`（删除）、`ListAccessKeys`（列出以便选择删除）和`GetAccessKeyLastUsed`（查看最后使用情况以便决定是否删除）。`UpdateAccessKey`不是标准的IAM操作（通常通过创建新密钥和删除旧密钥来轮换）。解析：要管理自己的访问密钥，用户至少需要`CreateAccessKey`（创建）、`DeleteAccessKey`（删除）、`ListAccessKeys`（列出以便选择删除）和`GetAccessKeyLastUsed`（查看最后使用情况以便决定是否删除）。`UpdateAccessKey`不是标准的IAM操作（通常通过创建新密钥和删除旧密钥来轮换）。第二部分：多选题答案16.A,C,E解析：标准的IAM策略JSON包含`Version`（可选，但推荐指定为2012-10-17）和`Statement`（必需）。每个`Statement`包含`Effect`、`Action`、`Resource`等元素。`Principal`通常用于基于资源的策略（如S3BucketPolicy或IAMRoleTrustPolicy），不在标准的基于身份的策略中出现。`Id`是可选的标识符。解析：标准的IAM策略JSON包含`Version`（可选，但推荐指定为2012-10-17）和`Statement`（必需）。每个`Statement`包含`Effect`、`Action`、`Resource`等元素。`Principal`通常用于基于资源的策略（如S3BucketPolicy或IAMRoleTrustPolicy），不在标准的基于身份的策略中出现。`Id`是可选的标识符。17.A,B,D解析：保护根用户的最佳实践包括：启用MFA（A）、删除访问密钥（避免编程访问风险，B）、仅用于必须由根账户执行的任务（如更改账户设置、关闭账户，D）。选项C是错误的，因为根用户不应有访问密钥。选项E是错误的，绝不应共享根用户凭证。解析：保护根用户的最佳实践包括：启用MFA（A）、删除访问密钥（避免编程访问风险，B）、仅用于必须由根账户执行的任务（如更改账户设置、关闭账户，D）。选项C是错误的，因为根用户不应有访问密钥。选项E是错误的，绝不应共享根用户凭证。18.A,D解析：``可以匹配零个或多个字符（A）。`?`在IAM策略中通常不被支持作为通配符（正则表达式风格的通配符仅限于``）。在Resource元素中，``不会跨分隔符（如`/`或`:`）进行匹配，除非使用了特定的通配符逻辑如`arn:aws:s3:::my-bucket/`，这里的``只匹配`/`后面的内容，不能匹配前面的部分（C错误）。`iam:`表示所有IAM操作（D正确）。解析：``可以匹配零个或多个字符（A）。`?`在IAM策略中通常不被支持作为通配符（正则表达式风格的通配符仅限于``）。在Resource元素中，``不会跨分隔符（如`/`或`:`）进行匹配，除非使用了特定的通配符逻辑如`arn:aws:s3:::my-bucket/`，这里的``只匹配`/`后面的内容，不能匹配前面的部分（C错误）。`iam:`表示所有IAM操作（D正确）。19.B,D,E解析：在EC2上运行的应用程序的最佳实践是使用IAM角色（B）。IAM角色通过实例配置文件（D）附加到EC2实例上。这避免了硬编码凭证。使用SSMParameterStore（E）存储敏感数据并配合IAM角色读取也是一种安全模式。硬编码（A）和用户数据存储（C）都是不安全的做法。解析：在EC2上运行的应用程序的最佳实践是使用IAM角色（B）。IAM角色通过实例配置文件（D）附加到EC2实例上。这避免了硬编码凭证。使用SSMParameterStore（E）存储敏感数据并配合IAM角色读取也是一种安全模式。硬编码（A）和用户数据存储（C）都是不安全的做法。20.A,B,C解析：IAM组不能嵌套（A）。组用于管理多个用户的权限（B）。组本身不是一种身份，不能用来登录（C）。组是纯粹的权限管理容器，因此不能拥有MFA设备（MFA设备属于用户，D错误）。解析：IAM组不能嵌套（A）。组用于管理多个用户的权限（B）。组本身不是一种身份，不能用来登录（C）。组是纯粹的权限管理容器，因此不能拥有MFA设备（MFA设备属于用户，D错误）。21.A,B解析：`aws:PrincipalTag`基于主体标签控制访问。A和B都是基于用户/角色标签来授权访问资源的典型场景。C（IP限制）使用`aws:SourceIp`，D（VPC端点）使用`aws:SourceVpce`。解析：`aws:PrincipalTag`基于主体标签控制访问。A和B都是基于用户/角色标签来授权访问资源的典型场景。C（IP限制）使用`aws:SourceIp`，D（VPC端点）使用`aws:SourceVpce`。22.A,B,C解析：在Action或Resource中使用``（通配符）可能授予过度的权限，是安全隐患。在生产环境给管理员使用`AdministratorAccess`虽然方便，但在安全审计中通常被视为应尽量减少或监控的对象，因为它拥有完全不受限的权限。显式拒绝敏感操作（D）是一种深度防御手段，不是安全隐患。解析：在Action或Resource中使用``（通配符）可能授予过度的权限，是安全隐患。在生产环境给管理员使用`AdministratorAccess`虽然方便，但在安全审计中通常被视为应尽量减少或监控的对象，因为它拥有完全不受限的权限。显式拒绝敏感操作（D）是一种深度防御手段，不是安全隐患。23.A,B,D,E解析：IAM策略类型包括基于身份的策略（Identity-based，如用户/组策略）、基于资源的策略（Resource-based，如S3BucketPolicy）、权限边界（PermissionsBoundary）以及属于AWSOrganizations的服务控制策略（SCP）。数据边界策略不是标准的IAM术语。解析：IAM策略类型包括基于身份的策略（Identity-based，如用户/组策略）、基于资源的策略（Resource-based，如S3BucketPolicy）、权限边界（PermissionsBoundary）以及属于AWSOrganizations的服务控制策略（SCP）。数据边界策略不是标准的IAM术语。24.A,B,C,D解析：`sts:AssumeRole`支持传递`Policy`（内联策略限制）、`PolicyArns`（托管策略限制）、`DurationSeconds`（会话时长）和`Tags`（传递会话标签）。这些参数都可以进一步限制或影响生成的临时凭证。解析：`sts:AssumeRole`支持传递`Policy`（内联策略限制）、`PolicyArns`（托管策略限制）、`DurationSeconds`（会话时长）和`Tags`（传递会话标签）。这些参数都可以进一步限制或影响生成的临时凭证。25.A解析：要限制创建特定类型的实例，需要在`ec2:RunInstances`的条件中使用`ec2:InstanceType`键。这允许过滤请求参数中的实例类型。解析：要限制创建特定类型的实例，需要在`ec2:RunInstances`的条件中使用`ec2:InstanceType`键。这允许过滤请求参数中的实例类型。第三部分：填空题答案26.Deny27.\28.2012-10-1729.aws:SourceVpce30.AND31.SecretAccessKey32.根账户或root33.SSL/TLS或HTTPS34.SessionToken35.操作第四部分：简答题答案36.答案：在AWSIAM中，“默认拒绝”是指如果没有显式的策略允许某个操作，IAM默认会拒绝该请求。这是AWS的安全基线。“显式拒绝”是指在策略中明确写出`"Effect":"Deny"`的语句。优先级：显式拒绝的优先级高于显式允许。在评估逻辑中，AWS首先检查是否存在任何匹配的显式拒绝。如果存在，请求立即被拒绝，无论存在多少显式允许。只有在没有显式拒绝的情况下，AWS才会检查是否存在显式允许。37.答案：IAM权限边界是一个高级功能，它是一个托管策略，用于设置基于身份的策略可以授予的IAM实体的最大权限集合。共同作用机制：当权限边界应用于一个用户或角色时，该实体的有效权限是其基于身份的策略（直接附加或通过组继承）与权限边界策略的交集。也就是说，实体只能执行那些既被基于身份的策略允许，又被权限边界策略允许的操作。即使基于身份的策略允许`s3:`，如果权限边界只允许`s3:Get`，用户实际上只能执行读取操作。这主要用于防止授予超过预期的权限，特别是在委托权限创建的场景中。38.答案：两种主要方法：1.IAM角色（推荐）：在账户A中创建一个角色，信任策略指定账户B，权限策略允许访问S3。账户B中的用户代入该角色获取临时凭证进行访问。优点：安全性高，无需长期凭证，支持自动轮换，可审计。优点：安全性高，无需长期凭证，支持自动轮换，可审计。缺点：需要配置STSAssumeRole调用，应用代码需修改以使用临时凭证。缺点：需要配置STSAssumeRole调用，应用代码需修改以使用临时凭证。2.资源型策略（S3存储桶策略）：在账户A的S3存储桶策略中，显式允许账户B中的特定IAM用户或根账户访问。优点：配置相对直接，不需要修改代码使用STS（如果用户已有账户B的凭证）。优点：配置相对直接，不需要修改代码使用STS（如果用户已有账户B的凭证）。缺点：管理复杂，随着用户增多难以维护；可能涉及PrincipalID混淆问题；如果使用账户B根账户授权，则账户B中所有拥有S3权限的用户都能访问，粒度较粗。缺点：管理复杂，随着用户增多难以维护；可能涉及PrincipalID混淆问题；如果使用账户B根账户授权，则账户B中所有拥有S3权限的用户都能访问，粒度较粗。39.答案：目的：`Condition`块用于指定策略生效的条件。只有当请求中的上下文信息满足条件键指定的逻辑时，策略语句（Allow或Deny）才会生效。这实现了动态的、基于上下文的访问控制。常用条件键及用途：1.`aws:CurrentTime`：用于限制访问的时间段（如仅允许工作时间访问）。2.`aws:SourceIp`：用于限制请求的来源IP地址范围。3.`aws:MultiFactorAuthPresent`：用于强制要求用户必须进行MFA认证才能访问。4.`aws:userid`或`aws:username`：用于针对特定用户实施特定策略。40.答案：使用IAM组的好处包括：1.简化权限管理：当多个用户需要相同的权限时，只需将策略附加到组，然后将用户添加到组，而不是为每个用户单独附加策略。这大大减少了管理开销。2.确保一致性：组确保了组内所有用户拥有相同的权限级别。当权限需求变更时，只需修改组的策略，所有成员会自动继承变更，降低了配置错误的风险。第五部分：应用题答案41.答案：(1)信任策略:```json{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::444455556666:root"},"Action":"sts:AssumeRole","Condition":{}}]}```注：Principal指定账户B的根账户，意味着账户B管理员可以授权其用户代入此角色。注：Principal指定账户B的根账户，意味着账户B管理员可以授权其用户代入此角色。(2)权限策略:```json{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["s3:Get","s3:Get","s3:List","s3:List","s3:Put""s3:Put"],"Resource":["arn:aws:s3:::example-app-bucket","arn:aws:s3:::example-app-bucket/""arn:aws:s3:::example-app-bucket/"]}]}```注：Resource包含了存储桶本身和存储桶内的对象。Action包含了读写所需的操作。注：Resource包含了存储桶本身和存储桶内的对象。Action包含了读写所需的操作。42.答案：(1)可以创建S3存储桶。理由：理由：用户策略：Allow`s3:`（包含`s3:CreateBucket`）。用户策略：Allow`s3:`（包含`s3:CreateBucket`）。组策略：没有Deny`s3:CreateBucket`。组策略：没有Deny`s3:CreateBucket`。权限边界：Allow`s3:Get`,`s3:List`。注意：`s3:CreateBucket`不在权限边界的允许列表中。修正分析：权限边界限制了最大权限。由于权限边界没有明确允许`s3:CreateBucket`（只允许Get和List），因此，即使用户策略允许，权限边界会拦截。修正分析：权限边界限制了最大权限。由于权限边界没有明确允许`s3:CreateBucket`（只允许Get和List），因此，即使用户策略允许，权限边界会拦截。最终结论：不可以。因为权限边界只允许`s3:Get`和`s3:List`，不包含`s3:CreateBucket`。有效权限是（用户策略∪组策略）∩权限边界。(2)不可以删除S3存储桶。理由：理由：用户策略：Allow`s3:`。用户策略：Allow`s3:`。组策略：Deny`s3:DeleteBucket`。显式Deny优先级最高。无论权限边界如何，Deny都会生效。显式Deny优先级最高。无论权限边界如何，Deny都会生效。最终结论：不可以。(3)不可以启动新的EC2实例。理由：理由：用户策略：没有提及EC2（默认拒绝）。用户策略：没有提及EC2（默认拒绝）。组策略：Allow`ec2:`（包含`ec2:RunInstances`）。组策略：Allow`ec2:`（包含`ec2:RunInstances`）。权限边界：Allow`ec2:Describe`。不包含`ec2:RunInstances`。权限边界：Allow`ec2:Describe`。不包含`ec2:RunInstances`。最终结论：不可以。虽然组策略允许，但权限边界限制了权限，只允许`Describe`操作。(4)可以查看EC2实例状态。理由：理由：用户策略：没有提及EC2。用户策略：没有提及EC2。组策略：Allow`ec2:`（包含`ec2:DescribeInstances`）。组策略：Allow`ec2:`（包含`ec2:DescribeInstances`）。权限边界：Allow`ec2:Describe`（包含`ec2:DescribeInstances`）。权限边界：Allow`ec2:Describe`（包含`ec2:DescribeInstances`）。组策略允许，且权限边界也允许。组策略允许，且权限边界也允许。最终结论：可以。43.答案：为了满足“如果启用MFA则忽略时间限制”这一逻辑，我们需要利用“Deny优先”的特性，或者构造复杂的Allow逻辑。通常的做法是：1.使用一个Deny语句，拒绝在工作时间之外的请求，除非（IfNotExists）MFA存在。2.或者，使用两个Allow语句：一个允许在工作时间内的请求，另一个允许MFA存在的请求。这里采用更严谨的Deny策略来限制未认证用户的时间，配合Allow策略：```json{"Version":"2012-10-17","Statement":[{"Sid":"AllowDynamoDBInUsEast1","Effect":"Allow","Action":"dynamodb:","Action":"dynamodb:","Resource":"","Resource":"","Condition":{"StringEquals":{"aws:RequestedRegion":"us-east-1"}}},{"Sid":"DenyAccessOutsideBusinessHoursIfNoMFA","Effect":"Deny","Action":"dynamodb:","Action":"dynamodb:","Resource":"","Resource":"","Condition":{"Bool":{"aws:MultiFactorAuthPresent":"false"},"NotIpAddress":{"aws:SourceIp":["/24"]},"DateGreaterThan":{"aws:CurrentTime":"2023-01-01T17:00:00Z"},"DateLessThan":{"aws:CurrentTime":"2023-01-01T09:00:00Z"}}}]}```注：上述JSON中的时间条件`DateGreaterThan`和`Dat