2025年AWS认证IAM策略考试复习计划与建议专题试卷及解析.docxVIP

2025年AWS认证IAM策略考试复习计划与建议专题试卷及解析

2025年AWS认证IAM策略考试复习计划与建议专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSIAM中，以下哪种策略类型用于直接附加到用户、组或角色？

A、AWS托管策略

B、内联策略

C、基于资源的策略

D、权限边界

【答案】B

【解析】正确答案是B。内联策略是直接附加到单个用户、组或角色的策略，它们与实体一一对应。A选项AWS托管策略是可重用的独立策略；C选项基于资源的策略附加到资源而非身份；D选项权限边界用于限制实体可获得的最高权限。知识点：IAM策略类型区别。易错点：混淆内联策略与托管策略的适用场景。

2、以下哪个IAM策略元素用于指定策略生效的条件？

A、Effect

B、Action

C、Resource

D、Condition

【答案】D

【解析】正确答案是D。Condition元素用于指定策略生效的条件，如时间限制、IP地址等。A选项Effect定义允许/拒绝；B选项Action指定操作；C选项Resource指定资源范围。知识点：IAM策略语法结构。易错点：误将Condition当作Resource使用。

3、当需要为EC2实例临时授予S3访问权限时，最佳实践是？

A、在EC2实例中直接存储AccessKey

B、使用IAM角色

C、创建长期有效的用户凭证

D、禁用S3访问控制

【答案】B

【解析】正确答案是B。IAM角色提供临时安全凭证，是EC2访问AWS资源的推荐方式。A选项存在安全风险；C选项不符合最小权限原则；D选项完全错误。知识点：IAM角色应用场景。易错点：混淆角色与用户凭证的使用场景。

4、以下哪个AWS服务可用于集中管理跨账户的IAM策略？

A、AWSOrganizations

B、AWSConfig

C、AWSCloudTrail

D、AWSKMS

【答案】A

【解析】正确答案是A。AWSOrganizations通过服务控制策略(SCP)实现跨账户权限集中管理。B选项用于配置审计；C选项用于API日志记录；D选项用于加密管理。知识点：AWS多账户管理。易错点：混淆Organizations与其他管理服务的功能。

5、在IAM策略中，通配符*可以用于？

A、仅Action元素

B、仅Resource元素

C、Action和Resource元素

D、所有元素

【答案】C

【解析】正确答案是C。通配符*可用于Action(如s3:*)和Resource(如arn:aws:s3:::bucket/*)元素。知识点：IAM策略通配符使用。易错点：误以为*可用于所有元素。

6、以下哪种情况会导致IAM策略显式拒绝？

A、没有匹配的Allow语句

B、存在匹配的Deny语句

C、资源不在策略范围内

D、用户未附加策略

【答案】B

【解析】正确答案是B。显式Deny会覆盖任何Allow，是IAM评估逻辑中的最高优先级。A、C、D情况属于隐式拒绝。知识点：IAM策略评估逻辑。易错点：混淆显式拒绝与隐式拒绝的区别。

7、IAM角色信任策略中的Principal元素用于指定？

A、可担任该角色的实体

B、角色可访问的资源

C、允许的操作

D、生效条件

【答案】A

【解析】正确答案是A。Principal元素定义哪些AWS账户、用户或服务可以担任该角色。B选项由Resource定义；C选项由Action定义；D选项由Condition定义。知识点：IAM角色信任策略。易错点：混淆信任策略与权限策略的元素。

8、以下哪个IAM策略变量表示当前请求的用户名？

A、${aws:userid}

B、${aws:username}

C、${aws:principaltag}

D、${aws:sourceip}

【答案】B

【解析】正确答案是B。${aws:username}变量包含当前用户的友好名称。A选项包含唯一ID；C选项用于主体标签；D选项用于源IP。知识点：IAM策略变量。易错点：混淆不同变量的含义。

9、当需要限制IAM用户只能通过特定IP地址访问AWS时，应使用？

A、权限边界

B、SCP

C、Condition元素

D、Session标签

【答案】C

【解析】正确答案是C。Condition元素中的aws:SourceIp条件键可实现IP限制。A选项用于权限上限；B选项用于组织级控制；D选项用于会话级属性。知识点：IAM条件键使用。易错点：误以为权限边界可实现细粒度控制。

10、以下哪种方法可以最安全地临时授予第三方AWS访问权限？

A、创建长期IAM用户

B、使用IAM角色和外部ID

C、共享根账户凭证

D、禁用MFA

【答案】B

【解析】正确答案是B。IAM角色配合外部ID是安全的跨账户访问方式。A选项