云计算工程师中级AWS试卷及答案

云计算工程师中级AWS试卷及答案一、单项选择题（共10题，每题1分，共10分）在AWS中，弹性IP（EIP）的主要作用是？A.为EC2实例提供静态公网IP地址，用于固定对外访问B.专门用于访问私有子网的EC2实例C.自动分配给新创建的EC2实例，无需手动绑定D.解决S3存储桶的访问延迟问题答案：A解析：弹性IP是AWS提供的静态公网IP，绑定到EC2实例后，IP不会随实例重启、停机或替换而改变，满足固定对外访问的需求，A正确；B是NAT网关的部分作用，C中EC2自动分配的是临时公网IP而非EIP，D是CloudFront的核心功能，因此B、C、D均错误。AWSS3存储类中，适用于长期归档、访问频率极低的数据的是？A.标准存储类B.智能分层存储类C.冰川通用存储类D.标准-低频访问存储类答案：C解析：S3冰川通用存储类针对访问频率极低、需要长期存储的数据设计，成本远低于其他存储类；A适用于高频实时访问数据，B可自动迁移冷热数据，D适用于低频但需要快速取回的数据，因此选C。AWSRDS的只读副本主要作用是？A.提升数据库的写入性能B.分担主实例的读请求压力，提升读吞吐量C.替代主实例，用于数据灾备D.减少数据库的存储成本答案：B解析：只读副本通过异步复制主实例的日志实现数据同步，核心作用是分担主实例的读请求，提升读吞吐量，不支持写入操作；灾备可作为附加功能，但非主要作用，也无法提升写入性能，因此选B。下列关于AWSIAM权限策略的描述，正确的是？A.权限策略只能附加到IAM用户B.允许在策略中明确拒绝某些操作，优先级高于允许C.只能允许已明确列出的操作，无法拒绝特定操作D.策略中的资源只能指定单个AWS资源答案：B解析：IAM权限策略遵循“明确拒绝优先”原则，拒绝语句的优先级高于允许，B正确；策略可附加到用户、角色、组等，A错误；策略可同时包含允许和拒绝语句，C错误；资源可通过ARN指定单个或多个资源，D错误。AWSCloudWatch的主要功能是？A.记录AWS服务的API调用日志B.监控AWS资源的指标（如CPU利用率、请求数）C.存储长期的归档数据D.管理IAM用户的权限答案：B解析：CloudWatch是AWS的监控服务，用于收集、监控AWS资源和应用的指标，设置告警；A是CloudTrail的功能，C是S3或冰川存储类的功能，D是IAM的功能，因此选B。在AWSVPC中，用于连接私有子网到公网的网关是？A.互联网网关（IGW）B.NAT网关（NATGateway）C.虚拟私有网关（VGW）D.弹性负载均衡（ELB）答案：B解析：NAT网关为私有子网的实例提供主动访问公网的出口，且不会被公网主动连接；IGW用于公共子网连接公网，VGW用于连接本地数据中心，ELB是负载均衡服务，因此选B。AWSLambda函数的执行环境中，默认的内存配置会影响？A.函数的最大并发数B.函数的执行时间和计算性能C.函数的触发器数量D.函数的日志存储大小答案：B解析：Lambda的内存配置决定了分配给函数的计算资源，内存越高，CPU、网络带宽等资源也越高，可缩短执行时间；A的并发数由服务限制，C的触发器数量由配置决定，D的日志存储和CloudWatch的日志保留策略有关，因此选B。AWSAutoScaling组的“冷却时间”作用是？A.避免短时间内频繁调整实例数量，防止波动B.设置实例的最大并发请求数C.定义实例的启动脚本执行时间D.限制实例的最大存储容量答案：A解析：冷却时间是AutoScaling的一个配置项，用于在调整实例数量后等待一段时间再进行下一次调整，防止因指标波动导致的频繁扩容/缩容；B、C、D均与冷却时间无关，因此选A。下列关于AWSS3版本控制的描述，正确的是？A.开启版本控制后，删除对象会永久清除所有版本B.版本控制仅适用于标准存储类，不适用于冰川存储类C.开启版本控制后，可恢复已删除的对象D.每个存储桶的版本控制开启后无法关闭答案：C解析：开启S3版本控制后，删除对象会添加删除标记，仍可通过版本ID恢复，C正确；A错误，删除不会永久清除所有版本；B错误，版本控制适用于大部分存储类；D错误，开启后可暂停但不能永久关闭，因此选C。AWSCloudTrail的日志默认存储在？A.本地服务器B.CloudWatch指标中C.指定的S3存储桶中D.控制台的临时缓存中答案：C解析：CloudTrail的日志会自动交付到用户指定的S3存储桶中，可长期存储和分析；A、B、D均为错误存储位置，因此选C。二、多项选择题（共10题，每题2分，共20分）关于AWSVPC子网，下列说法正确的有？A.子网是VPC内划分的IP地址段，可关联多个可用区B.私有子网中的实例无法直接访问公网，需通过NAT网关C.公共子网的实例可分配公网IP，用于部署负载均衡器D.子网的CIDR块不能与VPC内其他子网的CIDR块重叠答案：ABCD解析：VPC子网是按可用区划分的IP段，CIDR块必须不重叠，公共子网可直接分配公网IP，私有子网需NAT网关访问公网，四个选项均符合VPC子网的规则。下列属于AWSLambda常见触发器的有？A.S3存储桶的对象上传事件B.EventBridge的定时触发事件C.APIGateway的HTTP请求D.RDS数据库的插入操作事件答案：ABC解析：Lambda触发器是触发函数执行的AWS服务事件，S3上传、EventBridge定时、APIGateway请求均为常见触发器；RDS的插入操作需通过DMS或EventBridge间接捕获后触发，本身不是直接触发器，因此D错误。AWSIAM的安全凭证包括？A.访问密钥（AccessKey）B.密码C.多因素认证（MFA）设备D.角色临时凭证答案：ABCD解析：IAM用户的凭证包括长期的访问密钥和密码，MFA是额外的身份验证方式，角色的临时凭证是AssumeRole获取的临时安全凭证，四个均为IAM的安全凭证类型。下列关于AWSS3存储桶策略的描述，正确的有？A.桶策略是基于资源的权限策略，适用于存储桶级别的权限控制B.桶策略支持跨账户授权，允许其他AWS账户访问本桶资源C.桶策略的优先级高于IAM用户的权限策略D.桶策略中可以明确拒绝某些操作，优先级高于允许答案：ABD解析：桶策略是资源级策略，可跨账户授权，遵循拒绝优先原则；权限策略的优先级是“显式拒绝>资源级策略>身份级策略”，因此桶策略优先级高于用户的身份策略，C正确？不对，等下，刚才的选项C说“桶策略的优先级高于IAM用户的权限策略”是对的？那这里应该是ABCD？不对，再仔细想：IAM的权限判断逻辑是，先看身份级策略（用户、组、角色），再看资源级策略（桶策略、KMS密钥策略等），最后看是否有显式拒绝，显式拒绝优先级最高。那桶策略作为资源级策略，和IAM身份策略的关系：如果IAM允许，桶策略拒绝，那最终是拒绝；如果桶策略允许，IAM拒绝，最终是拒绝。所以C选项说“桶策略的优先级高于IAM用户的权限策略”是错误的，因为优先级是显式拒绝>资源级>身份级，资源级和身份级的顺序是：资源级的允许可以覆盖身份级的拒绝？不对，正确的权限判断逻辑是：当用户请求操作时，AWS会检查是否有显式拒绝，如果有，直接拒绝；如果没有拒绝，再检查是否有显式允许，如果有，允许；否则拒绝。显式拒绝的来源包括身份策略、资源策略、SCP等，所以如果有一个显式拒绝，不管来自哪里，都是拒绝。那选项C的描述是错误的，桶策略的优先级不是高于用户策略，而是两者都属于策略，显式拒绝的优先级高于显式允许。那刚才的选项C错误，所以答案是ABD。修正解析：A正确，桶策略是存储桶级的资源权限策略；B正确，桶支持跨账户授权；D正确，遵循显式拒绝优先；C错误，IAM用户策略和桶策略的优先级不是前者高于后者，权限判断以显式拒绝为最高优先级，因此正确答案是ABD。AWSAutoScaling的扩容策略包括？A.简单策略B.步进策略C.跟踪策略D.目标追踪策略答案：ABCD解析：AutoScaling的扩容策略包含简单策略（基于阈值直接调整）、步进策略（基于指标增量调整）、跟踪策略（跟踪指标目标值）、目标追踪策略（维持预设的资源目标，如平均CPU利用率），四个选项均正确。下列属于AWSCloudWatch监控指标的有？A.EC2实例的CPU利用率B.S3存储桶的请求错误数C.RDS数据库的连接数D.Lambda函数的执行时间答案：ABCD解析：CloudWatch覆盖AWS大部分服务的监控指标，包括EC2的CPU、S3的请求数、RDS的连接数、Lambda的执行时间，四个均正确。关于AWSVPCpeering连接，下列说法正确的有？A.peering连接用于连接两个独立的VPC，实现内网通信B.peering连接支持跨区域的VPC互联C.peering连接需要两个VPC的CIDR块不能重叠D.peering连接的流量通过公网传输，安全性较低答案：ABC解析：VPCpeering是内网连接，流量不经过公网，D错误；A、B、C均符合peering连接的规则，两个VPCCIDR不能重叠，支持跨区域互联，实现内网通信。AWSS3的服务端加密（SSE）方式包括？A.SSE-S3（由AWS管理密钥）B.SSE-KMS（由AWSKMS管理密钥）C.SSE-C（用户提供自己的密钥）D.客户端加密（在用户本地加密后上传）答案：ABCD解析：S3的加密分为服务端加密（SSE）和客户端加密，SSE包括SSE-S3、SSE-KMS、SSE-C，客户端加密是用户在本地加密后上传，四个均为S3加密方式。下列关于AWSLambda的描述，正确的有？A.Lambda函数无需管理服务器，仅负责代码开发B.Lambda函数的执行时间最长可达15分钟C.Lambda函数支持多种编程语言，如Python、Java、Node.js等D.Lambda函数的并发数可无限扩展，不受任何限制答案：ABC解析：Lambda有服务级的并发限制（默认为1000），不能无限扩展，D错误；A正确，Lambda是无服务器服务；B正确，默认最大执行时间15分钟；C正确，支持多种语言。AWSCloudTrail的日志包含的信息有？A.API调用的用户名B.API调用的时间戳C.API调用的源IP地址D.API调用的请求参数答案：ABCD解析：CloudTrail记录所有AWSAPI调用的详细信息，包括调用者身份、时间、源IP、请求参数、响应结果等，四个均正确。三、判断题（共10题，每题1分，共10分）AWSS3的标准存储类适用于访问频率高、存储周期长的数据。答案：错误解析：S3标准存储类适用于访问频率高、实时性要求高的数据，长期存储且访问频率低的场景应选择标准-低频访问或冰川存储类，因此错误。AWSEC2实例停机后，实例存储（本地存储）中的数据会永久丢失。答案：正确解析：EC2的实例存储是临时存储，依附于主机，实例停机、终止或主机故障都会导致实例存储的数据永久丢失，需用EBS卷或S3存储持久化数据，因此正确。AWSIAM角色可以直接登录AWS管理控制台，无需转换为用户身份。答案：错误解析：IAM角色本身不能直接登录控制台，用户需要通过AssumeRole获取临时凭证后，才能使用角色的权限登录，因此错误。AWSCloudFront是用于加速S3存储桶和EC2实例内容的全球CDN服务。答案：正确解析：CloudFront是AWS的内容分发网络，可将静态、动态内容缓存到全球边缘节点，加速S3、EC2等资源的访问，因此正确。AWSRDS自动备份的保留周期最长可以设置为1年。答案：错误解析：AWSRDS自动备份的保留周期最长为35天，超过35天的备份需要手动创建快照，因此错误。AWSVPC中的子网必须关联一个路由表，否则无法进行网络通信。答案：正确解析：VPC子网的流量路由由关联的路由表决定，不关联路由表的子网无法实现跨子网或公网通信，因此正确。AWSLambda函数的代码只能上传ZIP压缩包，不支持直接粘贴代码。答案：错误解析：Lambda支持多种代码上传方式，包括直接在线粘贴代码、上传ZIP包、通过镜像部署等，因此错误。AWSS3的跨区域复制（CRR）可以自动将存储桶中的对象复制到其他AWS区域。答案：正确解析：CRR是S3的功能，可自动异步复制存储桶的对象到指定的目标区域，实现数据灾备和合规要求，因此正确。AWSAutoScaling组只能添加一个EC2实例类型，无法混合多种实例类型。答案：错误解析：AutoScaling支持混合实例类型策略，可根据需求选择多种实例（如按需实例、预留实例、Spot实例），优化成本和性能，因此错误。AWSCloudWatch的告警只能基于静态阈值，无法基于机器学习预测的阈值。答案：错误解析：CloudWatch支持基于异常检测（机器学习）的告警，自动识别指标的异常波动，无需设置静态阈值，因此错误。四、简答题（共5题，每题6分，共30分）简述AWSVPC中NAT网关的核心作用及适用场景。答案：第一，核心作用是为私有子网中的EC2实例提供主动访问公网的出口，允许实例发起对外连接（如更新软件、同步数据），但不接受公网主动发起的连接，保障私有资源的安全性；第二，适用场景是私有子网部署无需对外暴露的后端服务（如数据库、应用服务器），同时需要定期对外更新、同步数据，或需要从公网获取必要资源的场景。解析：NAT网关是生产环境中私有子网访问公网的标准方式，相比NAT实例更稳定，无需人工运维，适用于有安全要求的后端服务场景，核心是“私有主动出、公网被动入”，保障安全。简述AWSS3存储类的主要分类及核心适用场景。答案：第一，标准存储类：适用于访问频率高、实时性要求高的数据，如网站静态资源、用户上传的临时文件；第二，智能分层存储类：自动识别冷热数据，将低频访问的数据迁移到低频层，适用于访问频率波动大的业务数据；第三，标准-低频访问存储类：适用于访问频率低、需要快速取回的数据，如备份文件、不常访问的办公数据；第四，冰川通用存储类：适用于长期归档、访问频率极低、成本优先的数据，如合规存档、历史文档。解析：S3存储类的核心是平衡性能和成本，每个存储类针对不同的访问频率和存储周期设计，需要根据业务数据的属性选择，智能分层和冰川类的成本优势是核心特点。简述AWSLambda函数的常见执行模式及核心优势。答案：第一，常见执行模式包括事件驱动（由触发器触发执行）、定时执行（通过EventBridge定时触发）、API触发（通过APIGateway请求触发）；第二，核心优势包括：无需管理服务器运维，仅需开发业务代码；按实际计算时间付费，无空闲成本；自动扩容，应对突发请求量；支持多种语言，适配不同开发需求。解析：Lambda是无服务器架构的核心服务，事件驱动模式是其核心，优势在于降低运维成本和按使用付费的经济性，适合短期执行、无需长期运行的代码场景。简述AWSIAM权限策略的基本结构及判断逻辑。答案：第一，基本结构包含Effect（允许或拒绝）、Action（具体的API操作）、Resource（操作的资源）、Condition（可选的条件，如IP、时间）；第二，判断逻辑遵循“显式拒绝优先”原则：如果任何策略（身份、资源、组织）中有显式拒绝语句，则最终拒绝；如果没有拒绝，且有显式允许语句，则允许；否则默认拒绝。解析：IAM权限判断的核心是显式拒绝的优先级，结构中的四个要素是策略的核心，Condition用于精细化控制权限，如限制仅从公司IP访问某资源。简述AWSCloudWatch与CloudTrail的核心区别。答案：第一，CloudWatch是监控服务，核心是收集AWS资源和应用的指标（如CPU、请求数），用于实时监控、设置告警；第二，CloudTrail是日志服务，核心是记录所有AWSAPI的调用日志（包括用户操作、服务间调用），用于审计、合规排查；第三，CloudWatch聚焦于指标的实时数据，CloudTrail聚焦于API调用的历史日志，两者功能互补，共同支撑AWS的监控和审计需求。解析：两者的核心差异是CloudWatch是实时监控指标，CloudTrail是审计API日志，属于不同维度的服务，常配合使用，如用CloudTrail排查API异常，用CloudWatch设置告警通知。五、论述题（共3题，每题10分，共30分）结合实例论述AWS弹性伸缩（AutoScaling）在业务峰值场景下的应用及优化策略。答案：论点一：弹性伸缩的核心是通过自动调整EC2实例数量，匹配业务的负载波动，应对峰值流量的核心需求。论据：AutoScaling通过配置跟踪策略、目标追踪策略，基于CloudWatch的负载指标（如请求数、CPU利用率），在业务峰值时自动扩容实例，低谷时自动缩容，避免资源浪费和性能瓶颈。实例：某电商平台在大促期间，商品详情页的请求量会日常增长5-10倍，通过设置目标追踪策略，将EC2实例的平均CPU利用率目标设为50%，当指标超过阈值时自动启动新实例，不足时自动终止，保障峰值时页面响应时间不超过200ms。论点二：优化策略是确保弹性伸缩高效、稳定的关键，避免扩容延迟、过度扩容等问题。论据：优化策略包括设置合理的冷却时间、多可用区扩容、预扩容策略、混合实例类型配置。实例：电商平台在大促前，通过历史数据预测峰值时间，设置预扩容策略，提前1小时启动备用实例，避免实例启动的延迟（新实例初始化约需5分钟）；同时将AutoScaling组分布在3个可用区，避免单可用区故障影响；混合按需实例和Spot实例，降低扩容成本，Spot实例的占比控制在20%，确保稳定性。结论：弹性伸缩是应对业务峰值的核心服务，结合优化策略可实现成本与性能的平衡，提升业务的可用性和响应速度，适合电商、互联网等流量波动大的业务场景。论述AWSS3数据安全的核心防护措施，并结合实例说明应用场景。答案：论点一：S3数据安全的核心防护措施包括访问控制、加密、备份恢复三大基础环节，构建多层安全体系。论据：访问控制通过IAM策略、桶策略、ACL限制资源访问，仅允许授权用户或服务操作；加密分为服务端加密（SSE）和客户端加密，保护静态数据的保密性；备份恢复通过版本控制、跨区域复制（CRR）防止数据丢失。实例：某医疗企业将患者的病历数据存储在S3桶，配置桶策略仅允许公司内部的医疗服务角色访问，禁止公共访问；开启SSE-KMS服务端加密，使用自定义KMS密钥保护数据；开启版本控制，当员工误删除某份病历的版本时，可通过版本ID恢复，避免数据丢失。论点二：额外的安全措施如MFA删除、访问日志监控，进一步强化S3的安全防护。论据：MFA删除防止未授权的对象删除操作，访问日志监控可跟踪桶的访问行为，及时发现异常。实