1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 计算机等级考试

2025年AWS认证EKSIAMRolesforServiceAccounts高级应用专题试卷及解析.docxVIP

2025年AWS认证EKSIAMRolesforServiceAccounts高级应用专题试卷及解析.docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    2025年AWS认证EKSIAMRolesforServiceAccounts高级应用专题试卷及解析

    2025年AWS认证EKSIAMRolesforServiceAccounts高级应用专题试卷及解析

    第一部分:单项选择题(共10题,每题2分)

    1、在EKS集群中,当Pod需要访问S3存储桶时,使用IAMRolesforServiceAccounts(IRSA)的主要优势是什么?

    A、通过静态AK/SK直接嵌入Pod配置

    B、避免长期凭证存储,实现临时权限控制

    C、自动创建跨区域VPC对等连接

    D、强制使用EC2实例角色替代Pod权限

    【答案】B

    【解析】正确答案是B。IRSA的核心价值是通过OIDC身份提供商为Pod动态生成临时凭证,避免静态凭证泄露风险。A选项违反安全最佳实践,C选项与权限管理无关,D选项中EC2角色无法实现Pod级权限隔离。知识点:IRSA临时凭证机制。易错点:混淆EC2实例角色与Pod级权限的区别。

    2、配置IRSA时,必须创建的AWS资源不包括以下哪项?

    A、IAMOIDC身份提供商

    B、KubernetesServiceAccount

    C、EC2安全组规则

    D、IAM角色与策略

    【答案】C

    【解析】正确答案是C。IRSA依赖OIDC身份提供商、ServiceAccount注解和IAM角色,但不需要修改安全组。A、B、D均为必需组件。知识点:IRSA架构依赖。易错点:误认为网络层配置与权限管理相关。

    3、当ServiceAccount与IAM角色关联后,Pod如何获取AWS凭证?

    A、通过环境变量注入静态凭证

    B、调用AWSSTSAssumeRoleWithWebIdentityAPI

    C、直接读取EC2元数据服务

    D、使用KubernetesSecrets存储凭证

    【答案】B

    【解析】正确答案是B。IRSA通过OIDC令牌调用STSAPI获取临时凭证。A选项存在安全风险,C选项是EC2实例角色的获取方式,D选项不符合IRSA设计原则。知识点:STS令牌交换流程。易错点:混淆不同凭证获取方式。

    4、在多租户EKS集群中,IRSA如何实现命名空间级别的权限隔离?

    A、为每个命名空间创建独立的OIDC提供商

    B、通过ServiceAccount注解限定角色作用域

    C、强制使用NetworkPolicy限制流量

    D、在IAM策略中限定kubernetes.io/namespace条件键

    【答案】D

    【解析】正确答案是D。IAM策略的条件键可限制角色仅对特定命名空间生效。A选项不现实,B选项无作用域限制,C选项是网络层隔离。知识点:IAM条件键应用。易错点:忽略策略条件键的隔离能力。

    5、当Pod使用IRSA访问DynamoDB时,出现AccessDenied错误,最可能的原因是?

    A、Pod未安装AWSCLI

    B、IAM角色缺少DynamoDB权限

    C、ServiceAccount未设置automountServiceAccountToken

    D、集群版本过低不支持IRSA

    【答案】B

    【解析】正确答案是B。权限错误通常源于IAM策略缺失。A选项与权限无关,C选项影响OIDC令牌挂载,D选项在1.14+版本已支持。知识点:权限排查逻辑。易错点:优先检查网络而非权限配置。

    6、IRSA与K8sRBAC的关系是?

    A、IRSA替代RBAC实现集群内权限控制

    B、两者互补,分别管理AWS资源和K8s资源

    C、RBAC必须依赖IRSA才能生效

    D、IRSA通过RBAC验证ServiceAccount

    【答案】B

    【解析】正确答案是B。IRSA管理AWS权限,RBAC管理K8s权限,二者独立协作。A、C、D均错误描述了关系。知识点:权限模型分层。易错点:混淆不同权限体系的作用域。

    7、在IRSA场景下,Pod重启后凭证会如何变化?

    A、继续使用相同的临时凭证

    B、自动获取新的临时凭证

    C、需要手动更新IAM角色

    D、凭证永久有效

    【答案】B

    【解析】正确答案是B。每次Pod启动都会重新获取临时凭证。A选项违反短期凭证原则,C、D选项不符合自动轮换机制。知识点:凭证生命周期管理。易错点:忽略凭证的动态性。

    8、配置IRSA时,ServiceAccount注解中必须包含的参数是?

    A、/rolearn

    B、/rolearn

    C、/rolearn

    D、/rolearn

    【答案】A

    【解析】正确答案是A。官方注解格式为/rolearn。其他选项均为错误格式。知识点:注解规范。易错点:记忆注解键名时容易混淆域名。

    9、当需要限制IRSA角色仅能被特定ServiceAccount使用时,应如何配置?

    A、在IAM策略中设置sts:ExternalId条件

    B、使用IAM角色的信任策略限制sub条

    您可能关注的文档

    最近下载

    文档评论(0)

    文章交流借鉴 + 关注
    实名认证
    文档贡献者

    妙笔如花

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >