2025年AWS认证AWSOrganizations多合作伙伴账户管理专题试卷及解析.pdfVIP

2025年AWS认证AWSORGANIZATIONS多合作伙伴账户管理专题试卷及解析1

2025年AWS认证AWSOrganizations多合作伙伴账户

管理专题试卷及解析

2025年AWS认证AWSOrganizations多合作伙伴账户管理专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSOrganizations中，以下哪种服务允许外部合作伙伴直接管理特定成员

账户的资源，而无需共享根账户凭证？

A、AWSIAMIdentityCenter

B、AWSControlTower

C、AWSServiceCatalog

D、AWSOrganizationsDelegatedAdministrator

【答案】D

【解析】正确答案是D。DelegatedAdministrator功能允许将特定服务的管理权限

委托给成员账户，这是多合作伙伴场景的核心机制。知识点：AWSOrganizations的权

限委托模型。易错点：容易与IAMIdentityCenter的SSO功能混淆，但后者主要解决

用户访问而非账户管理权限问题。

2、当需要为不同合作伙伴创建完全隔离的账户组时，应使用哪种Organizations结

构？

A、单个OU包含所有账户

B、为每个合作伙伴创建独立OU

C、使用SCP限制跨OU访问

D、启用所有功能的服务控制策略

【答案】B

【解析】正确答案是B。独立OU是实现合作伙伴隔离的最佳实践，每个OU可应

用独立的SCP和标签策略。知识点：OU的逻辑隔离机制。易错点：误以为SCP可以

完全替代OU隔离，但SCP仅控制权限不改变账户归属关系。

3、以下哪种方法可以安全地授予合作伙伴对特定S3存储桶的只读访问权限？

A、共享根账户访问密钥

B、使用跨账户IAM角色

C、在成员账户创建IAM用户

D、禁用S3存储桶策略

【答案】B

【解析】正确答案是B。跨账户角色是AWS推荐的安全访问方式，支持临时凭证和

细粒度权限控制。知识点：IAM角色与跨账户访问。易错点：直接创建IAM用户会违

反最小权限原则，且无法有效轮换凭证。

2025年AWS认证AWSORGANIZATIONS多合作伙伴账户管理专题试卷及解析2

4、在多合作伙伴环境中，如何确保每个合作伙伴只能看到其管理的账户成本？

A、在CostExplorer中创建成本分配标签

B、使用AWSBudgets设置预算

C、启用CostandUsageReport

D、在成员账户级别禁用成本查看

【答案】A

【解析】正确答案是A。成本分配标签是实现成本可视化的关键，可按合作伙伴维

度筛选数据。知识点：AWS成本管理标签策略。易错点：误以为Budgets能解决可见

性问题，但它主要用于预算控制而非数据隔离。

5、当合作伙伴需要部署CloudFormation模板时，应如何配置权限？

A、授予管理员权限

B、使用服务角色限制模板范围

C、禁用CloudFormation

D、共享模板文件

【答案】B

【解析】正确答案是B。服务角色可限制CloudFormation的操作范围，防止合作伙

伴越权操作。知识点：CloudFormation执行角色。易错点：直接授予管理员权限会违反

安全原则，服务角色才是最佳实践。

6、以下哪种SCP策略能阻止合作伙伴创建EC2实例？

A、{“Effect”:“Allow”,“Action”:“ec2:“}

B、{“Effect”:“Deny”,“Action”:“ec2:RunInstances”}

C、{“Effect”:“Deny”,“Action”:““}

D、{“Effect”:“Allow”,“NotAction”:“ec2:“}

【答案】B

【解析】正确答案是B。显式Deny策略是阻止特定操作的最直接方式。知识点：SCP

的Effect机制。易错点：容易混淆Allow和NotAction的用法，Deny策略优先级最高。