2025年AWS认证安全-专业级：通过TrustedAdvisor进行安全审计与漏洞修复全流程案例分析专题试卷及解析.pdfVIP

2025年AWS认证安全专业级：通过TRUSTEDADVISOR

2025年AWS认证安全专业级：通过TrustedAdvisor进

行安全审计与漏洞修复全流程案例分析专题试卷及解析

2025年AWS认证安全专业级：通过TrustedAdvisor进行安全审计与漏洞修复全

流程案例分析专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、某安全团队在使用AWSTrustedAdvisor进行安全审计时，发现一个S3存储桶

被配置为公开读写。根据TrustedAdvisor的建议，最优先的修复措施是什么？

A、立即删除该存储桶

B、修改存储桶策略，限制访问权限

C、启用S3版本控制

D、创建CloudWatch警报监控访问

【答案】B

【解析】正确答案是B。公开读写存储桶存在严重安全风险，应立即通过修改策略

限制访问权限。A选项过于激进，可能导致数据丢失；C选项与当前问题无关；D选项

属于监控而非修复措施。知识点：S3存储桶安全配置。易错点：混淆监控与修复的优

先级。

2、TrustedAdvisor的”安全组未受限制的入站流量”检查项发现一个安全组允许

/0访问SSH端口。以下哪个解决方案最符合最小权限原则？

A、删除该安全组规则

B、将源IP限制为特定办公网络IP段

C、将协议改为HTTPS

D、添加多因素认证

【答案】B

【解析】正确答案是B。最小权限原则要求仅允许必要的访问，限制源IP是最直接

有效的措施。A选项可能影响业务；C选项与SSH协议无关；D选项无法通过安全组

配置实现。知识点：安全组配置原则。易错点：忽略业务连续性需求。

3、在TrustedAdvisor的”IAM使用”检查中，发现root用户拥有访问密钥。最佳

实践要求如何处理？

A、定期轮换密钥

B、立即删除访问密钥

C、为root用户启用MFA

D、创建IAM用户替代root

【答案】B

2025年AWS认证安全专业级：通过TRUSTEDADVISOR

【解析】正确答案是B。root用户不应长期持有访问密钥，应立即删除。A选项不

符合最佳实践；C选项虽必要但非首要措施；D选项是正确做法但未直接解决密钥问

题。知识点：IAMroot用户安全。易错点：混淆不同安全措施的优先级。

4、TrustedAdvisor报告显示某EC2实例使用过时的AMI。安全团队应优先考虑

什么？

A、立即停止实例

B、升级到最新AMI

C、创建AMI快照

D、添加安全组规则

【答案】B

【解析】正确答案是B。过时AMI可能包含已知漏洞，升级是根本解决措施。A选

项影响业务；C选项无法解决漏洞问题；D选项与AMI漏洞无关。知识点：AMI安全

管理。易错点：过度依赖网络层防护。

5、在处理TrustedAdvisor的”CloudTrail日志”检查项时，发现某区域未启用Cloud-

Trail。正确的操作顺序是什么？

A、创建S3存储桶→启用Trail→配置日志加密

B、启用Trail→创建S3存储桶→配置日志加密

C、配置日志加密→创建S3存储桶→启用Trail

D、创建S3存储桶→配置日志加密→启用Trail

【答案】A

【解析】正确答案是A。必须先创建存储桶存储日志，再启用Trail，最后配置加密。

其他顺序会导致配置失败。知识点：CloudTrail配置流程。易错点：忽略依赖关系。

6、TrustedAdvisor检测到RDS实例使用默认参数组。安全团队应如何响应？

A、修改默认参数组

B、创建自定义参数组

C、启用RDS加密

D、配置只读副本

【答案】B

【解析】正确答案是B。默认参数组不可修改，必须创建自定义参数组。A选项无

法实现；C、D选项与参数组问题无关。知识点：RDS参数组管理。易错点：误以为默

认参数组可修改。

7、在处理TrustedAdvisor的”ELB安全监听器”检查时，发现负载均衡器使用过时

协议。最佳做法是什么？

A、禁