2025年AWS认证AWSControlTower第三方访问与供应商账户治理专题试卷及解析.pdfVIP

2025年AWS认证AWSCONTROLTOWER第三方访问与供应商账户治理专题试卷及解析1

2025年AWS认证AWSControlTower第三方访问与供

应商账户治理专题试卷及解析

2025年AWS认证AWSControlTower第三方访问与供应商账户治理专题试卷及解

析

第一部分：单项选择题（共10题，每题2分）

1、在AWSControlTower中，以下哪种服务最适合用于集中管理第三方供应商的

访问权限？

A、AWSIAM

B、AWSOrganizations

C、AWSSSO

D、AWSControlTower

【答案】C

【解析】正确答案是C。AWSSSO（SingleSignOn）专门用于集中管理用户对多个

AWS账户和应用程序的访问权限，特别适合第三方供应商的场景。A选项IAM仅限

于单个账户管理；B选项Organizations主要用于账户组织结构管理；D选项Control

Tower提供整体治理框架但不直接处理第三方访问。知识点：AWSSSO的核心功能。易

错点：容易混淆IAM和SSO的适用范围。

2、当需要为供应商账户实施合规性策略时，AWSControlTower的哪个组件最关

键？

A、LandingZone

B、Guardrails

C、AccountFactory

D、ServiceCatalog

【答案】B

【解析】正确答案是B。Guardrails是ControlTower的核心治理机制，用于强制执

行合规性策略。A选项LandingZone是基础架构；C选项AccountFactory用于账户

创建；D选项ServiceCatalog用于服务发布。知识点：ControlTower的治理机制。易

错点：容易忽视Guardrails的强制执行特性。

3、以下哪种方法最适合为供应商账户提供临时访问权限？

A、长期IAM用户

B、STS临时凭证

C、Root账户访问

D、跨账户角色

【答案】B

2025年AWS认证AWSCONTROLTOWER第三方访问与供应商账户治理专题试卷及解析2

【解析】正确答案是B。STS临时凭证提供短期访问权限，符合最小权限原则。A

选项长期IAM用户风险高；C选项Root账户应禁用；D选项跨账户角色虽然可行但

不如STS灵活。知识点：AWS临时凭证机制。易错点：容易忽略临时凭证的安全优势。

4、在ControlTower环境中，供应商账户的创建应通过哪个组件实现？

A、手动创建

B、AccountFactory

C、CloudFormationStack

D、AWSCLI

【答案】B

【解析】正确答案是B。AccountFactory是ControlTower中用于标准化创建账户

的组件。A选项手动创建违反治理原则；C选项CloudFormation需要额外配置；D选

项AWSCLI无法保证一致性。知识点：ControlTower账户管理。易错点：容易低估

AccountFactory的标准化价值。

5、当需要监控供应商账户的API活动时，应优先启用哪个服务？

A、CloudTrail

B、CloudWatch

C、Config

D、VPCFlowLogs

【答案】A

【解析】正确答案是A。CloudTrail专门记录API调用活动，是审计第三方访问的首

选。B选项CloudWatch主要用于监控指标；C选项Config监控资源配置；D选项VPC

FlowLogs仅记录网络流量。知识点：AWS审计服务。易错点：容易混淆CloudTrail和

Config的功能。

6、以下哪种Guardrail类型最适合限制供应商账户创建特定资源？

A、检测性Guardrail

B、预防性Guardrail

C、强制性Guardrail

D、建议性Guardrail

【答案】B

【解析】正确答案是B。预防性