2025年AWS认证CloudTrail与IAM身份验证及授权专题试卷及解析.pdfVIP

2025年AWS认证CLOUDTRAIL与IAM身份验证及授权专题试卷及解析1

2025年AWS认证CloudTrail与IAM身份验证及授权

专题试卷及解析

2025年AWS认证CloudTrail与IAM身份验证及授权专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、AWSCloudTrail的主要功能是什么？

A、自动扩展EC2实例

B、记录AWS账户的API调用和操作日志

C、管理S3存储桶的生命周期

D、提供内容分发网络服务

【答案】B

【解析】正确答案是B。CloudTrail的核心功能是记录AWS账户内的API调用和

管理事件，用于审计和合规监控。A选项是AutoScaling的功能，C选项是S3生命周

期策略，D选项是CloudFront的功能。知识点：CloudTrail基础功能。易错点：可能

混淆CloudTrail与其他AWS服务的功能。

2、在IAM中，哪种策略类型用于直接附加到用户、组或角色？

A、基于资源的策略

B、基于身份的策略

C、权限边界

D、服务控制策略

【答案】B

【解析】正确答案是B。基于身份的策略直接附加到IAM主体（用户、组、角色）

来管理权限。A选项基于资源的策略附加到资源（如S3存储桶），C选项权限边界限制

基于身份策略的最大权限，D选项SCP用于Organizations。知识点：IAM策略类型。

易错点：混淆基于身份和基于资源的策略适用场景。

3、CloudTrail日志默认存储在哪里？

A、EC2实例本地存储

B、DynamoDB表

C、S3存储桶

D、EBS卷

【答案】C

【解析】正确答案是C。CloudTrail日志默认交付到S3存储桶，用户可指定存储桶

名称和加密设置。A、B、D选项均非CloudTrail的默认存储位置。知识点：CloudTrail

日志存储机制。易错点：可能误认为日志存储在EC2或DynamoDB中。

4、IAM角色和用户的主要区别是什么？

2025年AWS认证CLOUDTRAIL与IAM身份验证及授权专题试卷及解析2

A、角色可以附加策略，用户不能

B、角色适用于临时访问，用户适用于长期访问

C、角色需要密码登录，用户不需要

D、角色只能由AWS服务使用

【答案】B

【解析】正确答案是B。IAM角色设计用于临时访问（如跨账户访问或EC2实例），

而用户适用于长期访问。A选项错误，两者均可附加策略；C选项错误，角色无需密码；

D选项错误，角色也可由人员使用。知识点：IAM角色与用户区别。易错点：混淆角色

和用户的适用场景。

5、CloudTrail数据事件记录哪些操作？

A、IAM用户创建

B、S3对象级别的API调用

C、EC2实例启动

D、VPC创建

【答案】B

【解析】正确答案是B。数据事件记录资源级别的操作（如S3对象PUT/GET），而

管理事件记录控制面操作（如A、C、D）。知识点：CloudTrail事件类型。易错点：可

能混淆数据事件和管理事件的覆盖范围。

6、IAM策略的”Principal”元素通常用于哪种策略？

A、基于身份的策略

B、基于资源的策略

C、权限边界

D、访问控制列表

【答案】B

【解析】正确答案是B。Principal元素定义谁可以访问资源，仅用于基于资源的策

略（如S3存储桶策略）。A选项基于身份的策略隐含主体为附加的IAM实体。知识点：

IAM策略元素。易错点：可能误认为Principal可用于所有策略类型。

7、CloudTrail日志文件默认加密方式是什么？

A、AWSKMS

B、SSES3

C、客户端加密

D、不加密

【答案】B

【解析】正确答案是B。CloudTrai