2025年AWS认证AWSControlTower与AWSIAMAccessAnalyzer集成专题试卷及解析.pdfVIP

2025年AWS认证AWSCONTROLTOWER与AWSIAMACCESSANALYZER集成专题试卷及解析1

2025年AWS认证AWSControlTower与

AWSIAMAccessAnalyzer集成专题试卷及解析

2025年AWS认证AWSControlTower与AWSIAMAccessAnalyzer集成专题试卷

及解析

第一部分：单项选择题（共10题，每题2分）

1、AWSControlTower与AWSIAMAccessAnalyzer集成的主要目的是什么？

A、自动化VPC网络配置

B、识别和修复跨账户资源访问权限风险

C、优化EC2实例成本

D、监控S3存储桶性能

【答案】B

【解析】正确答案是B。AWSControlTower与IAMAccessAnalyzer的集成主要用

于持续监控和分析跨账户资源共享中的权限风险，帮助识别意外暴露的资源。A选项属

于网络管理范畴，C选项涉及成本优化，D选项是性能监控，均与权限分析无关。知识

点：IAMAccessAnalyzer的核心功能是分析资源策略。易错点：容易将权限分析与成

本或性能管理混淆。

2、在ControlTower环境中启用IAMAccessAnalyzer时，需要通过什么机制实

现？

A、AWSCloudFormationStackSet

B、手动在每个成员账户中配置

C、AWSLambda函数触发

D、AWSCLI直接调用

【答案】A

【解析】正确答案是A。ControlTower使用StackSet在所有成员账户中统一部署

和配置IAMAccessAnalyzer。B选项不符合ControlTower的自动化管理理念，C选项

Lambda用于事件驱动场景，D选项CLI需要手动操作。知识点：StackSet是Control

Tower实现多账户资源部署的核心工具。易错点：可能误认为需要手动配置而非自动化

部署。

3、IAMAccessAnalyzer生成的分析结果中，“Public”类型的发现表示什么？

A、资源在特定VPC内公开

B、资源可通过互联网公开访问

C、资源仅对AWS组织内账户公开

D、资源通过特定IAM角色公开

【答案】B

2025年AWS认证AWSCONTROLTOWER与AWSIAMACCESSANALYZER集成专题试卷及解析2

【解析】正确答案是B。“Public”类型发现表示资源策略允许互联网上的任何主体访

问。A选项是VPC级别访问，C选项是组织内访问，D选项是角色授权访问。知识点：

AccessAnalyzer的发现类型包括Public、Crossaccount等。易错点：容易混淆”Public”

与”Crossaccount”的区别。

4、ControlTower的哪些预制控件会自动启用IAMAccessAnalyzer？

A、AWSGR_AUDIT_BUCKET

B、AWSGR_IAM_ACCESS_ANALYZER

C、AWSGR_CLOUDTRAIL_ENABLED

D、AWSGR_S3_PUBLIC_WRITE_PROHIBITED

【答案】B

【解析】正确答案是B。AWSGR_IAM_ACCESS_ANALYZER是专门用于启用

IAMAccessAnalyzer的Guardrail控件。A选项涉及审计日志，C选项是CloudTrail

配置，D选项是S3写权限控制。知识点：ControlTowerGuardrail的命名规则通常反

映其功能。易错点：可能被其他安全控件的名称干扰。

5、当IAMAccessAnalyzer发现S3存储桶存在公开访问风险时，ControlTower

会采取什么默认行为？

A、自动删除存储桶

B、生成合规性违规事件

C、修改存储桶策略

D、发送SNS通知

【答案】B

【解析】正确答案是B。ControlTower对检测到的权限问题会标记为合规性违规，

不会自动修改资源。A选项过于激进，C选项需