2025年AWS认证IAM自动化任务中的权限配置与调试专题试卷及解析.docxVIP

2025年AWS认证IAM自动化任务中的权限配置与调试专题试卷及解析

2025年AWS认证IAM自动化任务中的权限配置与调试专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSIAM中，当需要为EC2实例分配临时访问S3存储桶的权限时，最佳实践是使用哪种方式？

A、直接将AccessKey和SecretKey硬编码在应用程序中

B、为EC2实例分配IAM角色并附加相应策略

C、在EC2实例上创建长期有效的IAM用户凭证

D、使用root账户的访问密钥

【答案】B

【解析】正确答案是B。IAM角色是AWS推荐的临时凭证管理方式，它自动轮换凭证且无需存储密钥。A选项存在安全风险，C选项违背最小权限原则，D选项root账户应避免日常使用。知识点：IAM角色与实例配置文件。易错点：混淆IAM用户和角色的使用场景。

2、当使用AWSCLI调试IAM策略时，哪个命令可以模拟特定用户或角色的权限？

A、awsiamgetpolicy

B、awsstsassumerole

C、awsiamsimulateprincipalpolicy

D、awsiamlistattachedrolepolicies

【答案】C

【解析】正确答案是C。simulateprincipalpolicy是专门用于权限模拟的调试工具。A选项获取策略内容，B选项用于角色代入，D选项列出附加策略。知识点：IAM策略模拟器工具。易错点：误用其他IAM命令进行权限测试。

3、在JSON策略文档中，哪个元素用于指定策略适用的资源？

A、Action

B、Effect

C、Resource

D、Principal

【答案】C

【解析】正确答案是C。Resource元素明确指定策略作用的AWS资源ARN。A定义操作，B定义允许/拒绝，D定义委托人（仅用于基于资源的策略）。知识点：IAM策略语法结构。易错点：混淆Action和Resource的位置。

4、当需要限制IAM用户只能从特定IP地址访问AWS管理控制台时，应该在策略中使用哪个条件键？

A、aws:SourceIp

B、aws:RequestedRegion

C、aws:MultiFactorAuthPresent

D、aws:PrincipalTag

【答案】A

【解析】正确答案是A。SourceIp条件键专门用于IP地址限制。B限制区域，C检查MFA，D检查主体标签。知识点：IAM条件键使用。易错点：误用其他条件键实现IP限制。

5、在自动化部署中，如何通过CloudFormation模板创建IAM角色？

A、使用AWS::IAM::Role资源类型

B、使用AWS::IAM::User资源类型

C、使用AWS::IAM::Policy资源类型

D、使用AWS::IAM::Group资源类型

【答案】A

【解析】正确答案是A。CloudFormation中AWS::IAM::Role专门用于创建角色。其他选项分别创建用户、策略和组。知识点：CloudFormationIAM资源类型。易错点：混淆不同IAM资源的CloudFormation类型。

6、当需要为Lambda函数授予访问DynamoDB的权限时，最佳实践是？

A、在Lambda代码中嵌入AWS凭证

B、为Lambda函数创建IAM角色并附加策略

C、使用root账户的访问密钥

D、在Lambda环境变量中存储凭证

【答案】B

【解析】正确答案是B。Lambda角色是AWS推荐的权限管理方式。A和D存在安全风险，C违背最小权限原则。知识点：Lambda权限模型。易错点：误用硬编码凭证方式。

7、在IAM策略中，Effect:Deny的优先级如何？

A、低于Allow

B、高于Allow

C、与Allow相同

D、取决于策略顺序

【答案】B

【解析】正确答案是B。显式Deny始终覆盖Allow，这是IAM的核心安全原则。知识点：IAM策略评估逻辑。易错点：误认为Allow优先或顺序相关。

8、当需要为跨账户访问配置权限时，应该使用哪种策略类型？

A、基于身份的策略

B、基于资源的策略

C、服务控制策略

D、权限边界

【答案】B

【解析】正确答案是B。基于资源的策略（如S3桶策略）专门用于跨账户访问控制。A用于账户内权限，C用于组织单元，D用于权限限制。知识点：跨账户权限配置。易错点：混淆不同策略类型的应用场景。

9、在AWSOrganizations中，哪种策略可以限制成员账户的权限？

A、IAM策略

B、SCP（服务控制策略）

C、VPC端点策略

D、S3桶策略

【答案】B

【解析】正确答案是B。SCP是Organizations中用于权限控制的特殊策略。其他选项分别用于不同场景。知识点：Organization