2025年AWS认证CloudTrail综合案例分析与应用场景设计专题试卷及解析.pdfVIP

2025年AWS认证CLOUDTRAIL综合案例分析与应用场景设计专题试卷及解析1

2025年AWS认证CloudTrail综合案例分析与应用场景

设计专题试卷及解析

2025年AWS认证CloudTrail综合案例分析与应用场景设计专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、某公司需要监控所有AWS账户的API调用活动，并要求日志数据至少保留

2555天（7年）以满足合规性要求。以下哪种方案最符合需求？

A、启用CloudTrail并配置日志传输到S3存储桶，设置S3生命周期策略为2555

天后删除

B、使用CloudTrail默认配置，因为CloudTrail会自动保留日志7年

C、启用CloudTrail并配置日志传输到CloudWatchLogs，设置保留期限为2555天

D、仅使用AWSConfig记录配置变更，无需CloudTrail

【答案】A

【解析】正确答案是A。CloudTrail本身不提供长期日志存储功能，需要结合S3实

现长期存储。S3生命周期策略可精确控制保留期限。B错误，CloudTrail默认不提供7

年存储；C错误，CloudWatchLogs最长保留期仅10年且成本更高；D错误，Config

仅记录配置变更，无法满足API调用监控需求。知识点：CloudTrail日志存储机制与

S3生命周期管理。易错点：混淆CloudTrail与CloudWatchLogs的存储能力。

2、在多账户环境中，安全团队希望集中管理所有账户的CloudTrail日志。最佳实

践是？

A、在每个账户中创建独立CloudTrail，分别存储到各自S3存储桶

B、使用AWSOrganizations创建集中式CloudTrail，将所有账户日志聚合到组织

级S3存储桶

C、仅在管理账户创建CloudTrail，依赖自动跨账户日志收集

D、使用第三方日志聚合工具收集各账户CloudTrail日志

【答案】B

【解析】正确答案是B。AWSOrganizations支持创建组织级CloudTrail，可自动收

集所有成员账户日志到指定S3存储桶。A方案分散管理效率低；C方案无法收集成员

账户日志；D方案增加复杂性和成本。知识点：CloudTrail多账户管理架构。易错点：

误以为单账户CloudTrail能自动收集其他账户日志。

3、某企业发现CloudTrail日志中缺少某些API调用记录，可能的原因是？

A、未启用数据事件记录

B、CloudTrail服务未启用

C、日志传输到S3失败

D、时间同步问题

2025年AWS认证CLOUDTRAIL综合案例分析与应用场景设计专题试卷及解析2

【答案】A

【解析】正确答案是A。CloudTrail默认不记录数据事件（如S3对象操作），需单

独启用。B错误，管理事件默认记录；C错误，传输失败会报错而非部分缺失；D错误，

时间问题不会导致记录缺失。知识点：CloudTrail事件类型配置。易错点：忽略数据事

件需单独配置的特性。

4、在安全审计场景中，需要实时检测可疑的IAM角色活动。最合适的方案是？

A、定期分析S3中的CloudTrail日志

B、配置CloudTrail将日志发送到CloudWatchLogs并设置告警

C、使用CloudTrail实时监控功能

D、启用CloudTrail数据事件并集成Lambda处理

【答案】B

【解析】正确答案是B。CloudWatchLogs可实时接收CloudTrail日志，通过Met-

ricFilter和告警实现实时检测。A方案延迟高；C错误，CloudTrail本身不提供实时监

控；D方案复杂度高且成本高。知识点：CloudTrail与CloudWatch集成。易错点：误

以为CloudTrail自身具备实时分析能力。

5、某金融企业需要确保CloudTrail日志的完整性，防止篡改。应采取的措施是？

A、启用S3版本控制