2025年AWS认证OpsWorksVPC环境下的安全架构设计专题试卷及解析.pdfVIP

2025年AWS认证OPSWORKSVPC环境下的安全架构设计专题试卷及解析1

2025年AWS认证OpsWorksVPC环境下的安全架构设

计专题试卷及解析

2025年AWS认证OpsWorksVPC环境下的安全架构设计专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSOpsWorks中，为确保VPC内的实例只能通过特定端口通信，应优先

使用哪种安全组件？

A、AWSWAF

B、安全组

C、网络ACL

D、IAM角色

【答案】B

【解析】正确答案是B。安全组是实例级别的防火墙，可精确控制入站/出站流量，

符合OpsWorks实例的细粒度安全需求。A选项WAF用于Web应用层防护；C选项

网络ACL是子网级别的粗粒度控制；D选项IAM角色用于权限管理而非网络控制。知

识点：安全组与网络ACL的区别。易错点：混淆安全组（实例级）与网络ACL（子网

级）的作用范围。

2、OpsWorks在VPC中部署时，以下哪种配置能最有效防止SQL注入攻击？

A、启用VPCFlowLogs

B、使用AWSShieldAdvanced

C、结合AWSWAF与RDS安全组

D、配置NAT网关

【答案】C

【解析】正确答案是C。AWSWAF可过滤恶意HTTP请求，RDS安全组限制数据

库访问，两者结合能防御SQL注入。A选项仅记录流量；B选项针对DDoS攻击；D

选项用于出站互联网访问。知识点：多层防御策略。易错点：误认为单一组件可解决所

有安全问题。

3、在OpsWorksVPC架构中，若需允许临时访问管理端口，最佳实践是？

A、永久开放22端口

B、使用Bastion主机

C、禁用所有安全组规则

D、配置VPN直接访问

【答案】B

【解析】正确答案是B。Bastion主机作为跳板机可集中管理临时访问，符合最小权

限原则。A选项违反安全原则；C选项导致服务不可用；D选项VPN适合长期访问而

2025年AWS认证OPSWORKSVPC环境下的安全架构设计专题试卷及解析2

非临时操作。知识点：堡垒机设计模式。易错点：忽略临时访问的审计需求。

4、OpsWorks与VPC集成时，以下哪种方式能确保数据传输加密？

A、使用公有子网部署

B、启用EBS加密

C、配置SSL/TLS证书

D、设置VPC终端节点

【答案】C

【解析】正确答案是C。SSL/TLS可加密应用层数据传输。A选项不涉及加密；B

选项仅加密静态数据；D选项终端节点用于私有连接但不保证应用层加密。知识点：传

输层加密技术。易错点：混淆静态加密与传输加密。

5、在多AZ部署的OpsWorks架构中，为避免单点故障，应如何配置安全组？

A、使用单一安全组

B、跨AZ复制安全组规则

C、引用相同安全组ID

D、禁用AZ间通信

【答案】C

【解析】正确答案是C。相同安全组ID可确保跨AZ实例规则一致，避免配置差

异。A选项可能导致单点故障；B选项增加维护成本；D选项破坏高可用性。知识点：

安全组的高可用设计。易错点：忽视安全组配置的一致性要求。

6、OpsWorks在VPC中使用ElasticLoadBalancer时，以下哪种安全配置是必需

的？

A、配置HTTPS监听器

B、禁用跨区域负载均衡

C、启用代理协议

D、设置经典负载均衡器

【答案】A

【解析】正确答案是A。HTTPS监听器确保客户端到ELB的加密通信。B选项影

响性能；C选项用于获取客户端IP但非安全必需；D选项ALB比CLB更安全。知识

点：ELB安全配置。易错点：忽略传输加密的重要性。

7、在OpsWorksVPC环境中，若需审计API调用，应启用哪个服务