2025年AWS认证AWSControlTower核心账户类型与职责专题试卷及解析.pdfVIP

2025年AWS认证AWSCONTROLTOWER核心账户类型与职责专题试卷及解析1

2025年AWS认证AWSControlTower核心账户类型与

职责专题试卷及解析

2025年AWS认证AWSControlTower核心账户类型与职责专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSControlTower中，哪个账户类型被称为”着陆区”（LandingZone）的核

心管理账户？

A、成员账户

B、管理账户

C、审计账户

D、日志账户

【答案】B

【解析】正确答案是B。管理账户（ManagementAccount）是AWSControlTower

着陆区的核心，负责创建和管理整个组织结构。成员账户是组织中的普通账户，审计账

户和日志账户是ControlTower自动创建的特定功能账户。知识点：ControlTower账

户架构。易错点：容易混淆管理账户和成员账户的职责。

2、AWSControlTower自动创建的日志账户主要用于存储什么？

A、用户活动日志

B、AWSCloudTrail日志

C、应用程序日志

D、数据库日志

【答案】B

【解析】正确答案是B。日志账户专门用于集中存储所有账户的AWSCloudTrail日

志和AWSConfig日志。用户活动日志属于CloudTrail的一部分，应用程序日志和数据

库日志不属于ControlTower管理的范围。知识点：ControlTower日志管理机制。易错

点：容易误认为日志账户存储所有类型的日志。

3、在ControlTower中，哪个账户类型负责接收合规性监控数据？

A、管理账户

B、审计账户

C、日志账户

D、成员账户

【答案】B

【解析】正确答案是B。审计账户（AuditAccount）专门用于集中存储合规性监控

数据，包括AWSSecurityHub和AmazonGuardDuty的发现。管理账户负责整体管

2025年AWS认证AWSCONTROLTOWER核心账户类型与职责专题试卷及解析2

理，日志账户存储日志，成员账户是普通工作账户。知识点：ControlTower安全监控

架构。易错点：容易混淆审计账户和日志账户的功能。

4、ControlTower中的成员账户通常由谁创建？

A、AWS自动创建

B、用户手动创建

C、通过ControlTower控制台创建

D、通过CLI命令创建

【答案】C

【解析】正确答案是C。成员账户必须通过ControlTower控制台或API创建，以

确保符合着陆区的配置要求。AWS不会自动创建成员账户，用户也不能手动创建不符

合规范的账户。知识点：ControlTower账户创建流程。易错点：容易误以为可以随意

创建成员账户。

5、哪个账户类型在ControlTower中拥有最高权限？

A、管理账户

B、审计账户

C、日志账户

D、成员账户

【答案】A

【解析】正确答案是A。管理账户拥有整个AWS组织的最高权限，可以管理所有账

户和服务。其他账户都是受限的特定功能账户。知识点：ControlTower权限模型。易

错点：容易误以为审计账户有最高权限。

6、ControlTower的审计账户默认启用了哪些服务？

A、EC2和S3

B、SecurityHub和GuardDuty

C、CloudTrail和Config

D、IAM和VPC

【答案】B

【解析】正确答案是B。审计账户默认启用SecurityHub和GuardDuty用于安全

监控。EC2和S3是计算和存储服务，CloudTrail和Config在日志账户，IAM和VPC

是基础服务。知识点：ControlTower默认服务配置。易错点：容易混淆各账户的默认

服务。

7、在ControlTower中，哪个账户类型不应该用于运行生产工作负载？

A、管理账户

B、成员账