2025年AWS认证AWSOrganizations与AWSIAMIdentityCenter集成专题试卷及解析.pdfVIP

2025年AWS认证AWSORGANIZATIONS与AWSIAMIDENTITYCENTER集成专题试卷及解析1

2025年AWS认证AWSOrganizations与

AWSIAMIdentityCenter集成专题试卷及解析

2025年AWS认证AWSOrganizations与AWSIAMIdentityCenter集成专题试卷及

解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSOrganizations中，当启用所有功能（AllFeatures）模式时，以下哪种

服务集成特性是默认启用的？

A、SCP（服务控制策略）强制执行

B、跨账户IAM角色信任

C、集中式billing管理

D、自动创建OU（组织单元）

【答案】A

【解析】正确答案是A。启用所有功能模式后，SCP会自动强制执行，这是与仅支持

整合账单模式的核心区别。知识点：AWSOrganizations的两种模式差异。易错点：考

生可能误选C，因为billing在两种模式下都可用，但SCP是AllFeatures独有的。

2、AWSIAMIdentityCenter（原AWSSSO）与Organizations集成时，用户权限

集（PermissionSet）的作用相当于？

A、IAM角色

B、IAM策略

C、SCP策略

D、资源标签

【答案】A

【解析】正确答案是A。权限集本质上是预定义的IAM角色模板，可分配给用户/组。

知识点：IAMIdentityCenter核心概念。易错点：容易混淆权限集与IAM策略，前者

包含策略但本质是角色容器。

3、在多账户环境中，通过IAMIdentityCenter分配权限时，以下哪种范围限制是

必须配置的？

A、VPC端点策略

B、账户分配范围

C、区域限制

D、时间窗口限制

【答案】B

【解析】正确答案是B。必须指定权限集可应用于哪些成员账户。知识点：IAM

IdentityCenter权限分配机制。易错点：考生可能忽略账户分配是基础要求，而误选其

2025年AWS认证AWSORGANIZATIONS与AWSIAMIDENTITYCENTER集成专题试卷及解析2

他可选限制条件。

4、当组织管理员需要撤销用户对所有账户的访问权限时，最快速的方法是？

A、逐个删除账户中的IAM角色

B、禁用IAMIdentityCenter中的用户

C、修改所有关联的SCP

D、删除权限集

【答案】B

【解析】正确答案是B。禁用用户会立即终止其所有会话和权限。知识点：IAM

IdentityCenter用户生命周期管理。易错点：可能误选D，但删除权限集会影响其他用

户。

5、AWSOrganizations的SCP策略类型中，哪种策略允许显式拒绝特定操作？

A、FullAWSAccess

B、DenyList

C、AllowList

D、边界策略

【答案】B

【解析】正确答案是B。DenyList策略通过显式拒绝实现更严格的控制。知识点：

SCP策略类型及效果。易错点：容易混淆AllowList（白名单）与DenyList（黑名单）的

作用机制。

6、在IAMIdentityCenter中，以下哪种身份源不支持自动用户同步？

A、ActiveDirectory

B、Okta

C、内置身份存储

D、GoogleWorkspace

【答案】C

【解析】正确答案是C。内置身份存储需手动管理用户。知识点：IAMIdentityCenter

身份源类型。易错点：可能误以为所有外部身份源都支持自动同步。

7、当需要限制特定OU只能访问特定区域时，应该使用哪种策略？

A、IAM策略条件键

B、SCP的aws:RequestedRegion条件

C、VPC端点策略

D、资源标签策略

【答案】B

【解析】正确答案是B。SCP可使用aws:RequestedRegion限制区域访