2025年AWS认证AWSLocalZones零信任架构实践专题试卷及解析.pdfVIP

2025年AWS认证AWSLOCALZONES零信任架构实践专题试卷及解析1

2025年AWS认证AWSLocalZones零信任架构实践专

题试卷及解析

2025年AWS认证AWSLocalZones零信任架构实践专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSLocalZones中实施零信任架构时，以下哪项服务最适合用于实现微分

段？

A、AWSNetworkFirewall

B、AWSSecurityGroups

C、AWSTransitGateway

D、AWSPrivateLink

【答案】B

【解析】正确答案是B。AWSSecurityGroups是AWS中实现网络层微分段的核心

服务，可以在实例级别控制入站和出站流量。A选项NetworkFirewall主要用于子网

级别的流量过滤，C选项TransitGateway用于跨区域网络连接，D选项PrivateLink

用于安全访问服务。知识点：零信任架构中的微分段原则。易错点：容易混淆Security

Groups和NetworkFirewall的应用场景。

2、AWSLocalZones支持以下哪种零信任身份验证机制？

A、仅支持IAM角色

B、仅支持IAM用户

C、支持IAM角色和IAM用户

D、不支持IAM身份验证

【答案】C

【解析】正确答案是C。AWSLocalZones完全支持AWSIAM的身份验证机制，包

括IAM角色和IAM用户。这是零信任架构中”永不信任，始终验证”原则的基础。知识

点：IAM身份验证机制。易错点：可能误以为LocalZones有特殊的身份验证限制。

3、在LocalZones环境中，以下哪项服务最适合实现零信任架构中的持续监控？

A、AWSCloudTrail

B、AmazonCloudWatch

C、AWSConfig

D、AWSGuardDuty

【答案】D

【解析】正确答案是D。AWSGuardDuty提供智能威胁检测，是零信任架构中持续

监控的核心服务。A选项CloudTrail记录API调用，B选项CloudWatch监控性能指

2025年AWS认证AWSLOCALZONES零信任架构实践专题试卷及解析2

标，C选项Config跟踪资源配置变更。知识点：零信任架构中的持续监控原则。易错

点：容易混淆不同监控服务的侧重点。

4、AWSLocalZones中的数据加密实现零信任原则时，应该优先考虑？

A、仅传输中加密

B、仅静态加密

C、传输中和静态加密

D、不需要加密

【答案】C

【解析】正确答案是C。零信任架构要求对数据进行全生命周期保护，包括传输中

和静态加密。这是零信任”最小权限”和”深度防御”原则的体现。知识点：零信任架构中

的数据保护原则。易错点：可能忽视传输中加密的重要性。

5、在LocalZones中实施零信任网络访问时，以下哪项AWS服务最适合？

A、AWSClientVPN

B、AWSSitetoSiteVPN

C、AWSDirectConnect

D、AWSTransitGateway

【答案】A

【解析】正确答案是A。AWSClientVPN提供基于用户的零信任网络访问，符合

零信任架构的”永不信任，始终验证”原则。B选项SitetoSiteVPN用于站点间连接，C

选项DirectConnect提供专用连接，D选项TransitGateway用于网络中转。知识点：

零信任网络访问(ZTNA)。易错点：容易混淆不同VPN服务的应用场景。

6、AWSLocalZones中的零信任架构实施需要考虑以下哪个关键因素？

A、物理位置

B、网络延迟

C、数据主权

D、以上都是

【答案】D