2025年AWS认证子网与AWSOrganizations网络隔离专题试卷及解析.docxVIP

2025年AWS认证子网与AWSOrganizations网络隔离专题试卷及解析

2025年AWS认证子网与AWSOrganizations网络隔离专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSOrganizations中，以下哪种服务策略类型最适合用于限制特定OU（组织单元）下的账户只能创建特定区域的VPC？

A、SCP（服务控制策略）

B、IAM策略

C、VPC端点策略

D、NACL（网络访问控制列表）

【答案】A

【解析】正确答案是A。SCP是AWSOrganizations中用于控制账户权限的策略类型，可以限制账户在特定区域创建资源（如VPC）。B选项IAM策略仅适用于单个账户内的权限控制，无法跨账户限制；C选项VPC端点策略用于控制对特定服务的访问，不涉及VPC创建；D选项NACL是子网级别的流量控制，不涉及资源创建权限。知识点：SCP的作用范围和限制。易错点：混淆SCP与IAM策略的作用范围。

2、以下哪种VPC对等连接（VPCPeering）配置可以实现跨AWS账户的网络隔离？

A、同一区域内VPC对等连接

B、跨区域VPC对等连接

C、通过中转网关（TransitGateway）的VPC附件

D、通过私有链接（PrivateLink）的接口VPC端点

【答案】D

【解析】正确答案是D。PrivateLink通过接口VPC端点实现安全的跨账户服务访问，无需VPC对等连接，保持网络隔离。A和B选项VPC对等连接会直接打通VPC间的网络，破坏隔离；C选项中转网关会集中管理流量，不符合隔离需求。知识点：PrivateLink的隔离机制。易错点：误认为VPC对等连接可以实现隔离。

3、在AWSOrganizations中，以下哪种SCP语法可以禁止账户创建公共子网？

A、Effect:Deny,Action:[ec2:CreateSubnet],Condition:{StringEquals:{ec2:SubnetType:Public}}

B、Effect:Deny,Action:[ec2:CreateSubnet],Condition:{StringNotEquals:{ec2:SubnetType:Private}}

C、Effect:Deny,Action:[ec2:CreateSubnet],Resource:arn:aws:ec2:*:*:subnet/*

D、Effect:Allow,Action:[ec2:CreateSubnet],Condition:{StringEquals:{ec2:SubnetType:Private}}

【答案】B

【解析】正确答案是B。SCP通过条件键`ec2:SubnetType`限制子网类型，`StringNotEquals`表示非私有子网（即公共子网）被禁止。A选项`StringEquals`语法错误；C选项未指定子网类型；D选项是允许而非禁止。知识点：SCP条件键的使用。易错点：混淆`StringEquals`与`StringNotEquals`的逻辑。

4、以下哪种AWS服务最适合实现跨账户VPC的流量审计？

A、VPCFlowLogs

B、CloudTrail

C、AWSConfig

D、GuardDuty

【答案】A

【解析】正确答案是A。VPCFlowLogs记录VPC内流量，支持跨账户共享，适合审计。B选项CloudTrail记录API调用，不直接记录流量；C选项Config监控资源配置变更；D选项GuardDuty是威胁检测服务。知识点：VPCFlowLogs的作用。易错点：误认为CloudTrail可以记录流量。

5、在AWSOrganizations中，以下哪种SCP配置可以限制账户只能使用特定的VPCCIDR块？

A、Effect:Deny,Action:[ec2:CreateVpc],Condition:{StringNotEquals:{ec2:VpcCidrBlock:10.0.0.0/16}}

B、Effect:Allow,Action:[ec2:CreateVpc],Condition:{StringEquals:{ec2:VpcCidrBlock:10.0.0.0/16}}

C、Effect:Deny,Action:[ec2:CreateVpc],Resource:arn:aws:ec2:*:*:vpc/*

D、Effect:Allow,Action:[ec2:CreateVpc],Resource:arn:aws:ec2:*:*:vpc/*

【答案】A

【解析】正确答案是A。SCP通过