2025年AWS认证安全专家Fargate审计与合规性（CloudTrail,Config,SecurityHub）专题试卷及解析.pdfVIP

2025年AWS认证安全专家FARGATE审计与合规性（CLOUDTRAIL,CONFIG,SECURITYHUB

2025年AWS认证安全专家Fargate审计与合规性

（CloudTrail,Config,SecurityHub）专题试卷及解析

2025年AWS认证安全专家Fargate审计与合规性（CloudTrail,Config,SecurityHub）

专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、某公司使用AWSFargate运行关键业务容器，需要确保所有API调用都被记

录。以下哪项服务最适合实现此需求？

A、AWSConfig

B、AmazonCloudWatchLogs

C、AWSCloudTrail

D、AWSSecurityHub

【答案】C

【解析】正确答案是C。AWSCloudTrail专门用于记录AWS账户中的API调用活

动，包括控制台操作和SDK调用。知识点：CloudTrail是AWS的审计日志服务，可

记录所有API操作。易错点：考生可能混淆Config（配置记录）和CloudTrail（操作记

录）的功能差异。

2、在Fargate环境中，如何通过AWSConfig监控容器镜像的安全扫描状态？

A、启用Config规则进行ECR镜像扫描检查

B、配置CloudTrail事件触发器

C、设置SecurityHub自定义操作

D、使用CloudWatchLogs订阅过滤器

【答案】A

【解析】正确答案是A。AWSConfig提供预定义规则（如ecrimagescanfindingscheck）

可监控ECR镜像扫描结果。知识点：Config规则用于评估资源配置合规性。易错点：

考生可能误认为CloudTrail能直接监控镜像状态，实际它只记录API操作。

3、当Fargate任务违反安全策略时，如何通过SecurityHub自动触发响应？

A、配置CloudTrail事件规则

B、启用SecurityHub自动化响应

C、设置Config修正操作

D、使用Lambda函数处理事件

【答案】B

【解析】正确答案是B。SecurityHub支持自动化响应功能，可对安全发现自动执

行预定义操作。知识点：SecurityHub集成EventBridge实现自动化响应。易错点：考

生可能混淆Config修正和SecurityHub自动化的适用场景。

2025年AWS认证安全专家FARGATE审计与合规性（CLOUDTRAIL,CONFIG,SECURITYHUB

4、如何确保Fargate任务的IAM角色权限最小化？

A、使用IAMAccessAnalyzer

B、配置CloudTrail日志分析

C、启用Config规则检查

D、通过SecurityHub评估

【答案】A

【解析】正确答案是A。IAMAccessAnalyzer可分析IAM策略并提供最小权限

建议。知识点：IAMAccessAnalyzer是权限管理专用工具。易错点：考生可能误认为

Config或SecurityHub能直接优化IAM权限。

5、在Fargate审计中，哪种CloudTrail事件类型最需要关注？

A、ReadOnly事件

B、Management事件

C、Data事件

D、Insight事件

【答案】B

【解析】正确答案是B。Management事件记录对AWS资源的控制操作，对安全审

计最关键。知识点：CloudTrail事件类型包括Management、Data、ReadOnly等。易错

点：考生可能忽视Management事件的重要性而过度关注Data事件。

6、如何通过Config监控Fargate任务的公开访问风险？

A、检查安全组规则

B、分析IAM角色策略

C、评估子网配置

D、监控VPC端点

【答案】A

【解析】正确答案是A。Config