2025年AWS认证ECSIAM角色与权限管理专题试卷及解析.pdfVIP

2025年AWS认证ECSIAM角色与权限管理专题试卷及解析1

2025年AWS认证ECSIAM角色与权限管理专题试卷及

解析

2025年AWS认证ECSIAM角色与权限管理专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSIAM中，以下哪种实体最适合用于需要临时访问权限的跨账户场景？

A、IAM用户

B、IAM角色

C、IAM组

D、根账户

【答案】B

【解析】正确答案是B。IAM角色专为临时访问权限设计，可通过STS令牌实现跨

账户访问。A选项IAM用户具有长期凭证，不适合临时场景；C选项IAM组仅用于权

限管理，不能被直接调用；D选项根账户权限过大且不应日常使用。知识点：IAM角

色与STS临时凭证机制。易错点：混淆IAM用户和角色的使用场景。

2、以下哪个策略类型在AWS中用于控制对特定资源的访问？

A、信任策略

B、权限边界

C、基于资源的策略

D、服务控制策略

【答案】C

【解析】正确答案是C。基于资源的策略直接附加到资源（如S3存储桶），控制谁

可以访问该资源。A选项信任策略定义谁可以代入角色；B选项权限边界限制IAM实

体的最大权限；D选项SCP用于组织单元的权限控制。知识点：AWS策略类型分类。

易错点：混淆信任策略和权限策略的区别。

3、在IAM角色信任策略中，“Principal”元素的作用是什么？

A、定义允许的操作

B、指定可代入角色的实体

C、设置条件限制

D、声明资源ARN

【答案】B

【解析】正确答案是B。Principal元素明确指定哪些AWS账户、用户或服务可以

代入该角色。A选项由Action元素控制；C选项由Condition元素处理；D选项由

Resource元素定义。知识点：IAM策略语法结构。易错点：误将Principal当作权限控

制元素。

2025年AWS认证ECSIAM角色与权限管理专题试卷及解析2

4、以下哪种情况最适合使用IAM角色链？

A、EC2实例需要访问S3

B、Lambda函数需要调用DynamoDB

C、需要通过多个角色逐步提升权限

D、跨账户访问S3存储桶

【答案】C

【解析】正确答案是C。角色链适用于需要通过多个角色逐步获取更高权限的场景。

A、B、D选项通常直接使用单一角色即可。知识点：角色链的使用场景。易错点：过度

使用角色链导致架构复杂化。

5、AWSIAM权限边界的主要目的是什么？

A、限制角色的最大权限

B、定义信任关系

C、设置临时凭证有效期

D、控制API调用频率

【答案】A

【解析】正确答案是A。权限边界为IAM实体（用户/角色）设置权限上限，防止

权限过度分配。B选项由信任策略处理；C选项由STS配置；D选项由服务配额控制。

知识点：IAM权限管理机制。易错点：混淆权限边界与内联策略。

6、以下哪个服务最适合用于集中管理多个AWS账户的权限？

A、AWSIAM

B、AWSOrganizations

C、AWSSTS

D、AWSCloudTrail

【答案】B

【解析】正确答案是B。AWSOrganizations通过SCP实现跨账户权限集中管理。A

选项仅限单账户；C选项处理临时凭证；D选项用于审计日志。知识点：多账户权限管

理。易错点：误以为IAM可以跨账户管理。

7、在IAM策略中，“Effect”:“Deny”的作用是什么？

A、显式拒绝访问

B、隐式拒绝访问

C、允许访问

D、限制访问频率

【答案】A

【解析】正确答案是A。显式Deny会覆盖任何Allow，是AWS权限模型的关键机

制。B选项是默认行为；C选项由Allow控制；D选项由服务配