2025年AWS认证VPC共享责任模型专题试卷及解析.pdfVIP

2025年AWS认证VPC共享责任模型专题试卷及解析1

2025年AWS认证VPC共享责任模型专题试卷及解析

2025年AWS认证VPC共享责任模型专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWS共享责任模型中，以下哪项是AWS客户的责任？

A、AWS全球基础设施的物理安全

B、底层虚拟化技术的维护

C、VPC内安全组和网络ACL的配置

D、AWS服务的软件更新和补丁管理

【答案】C

【解析】正确答案是C。在AWS共享责任模型中，AWS负责云本身（包括硬件、软

件、网络和设施）的安全，而客户负责云中内容的安全。VPC内安全组和网络ACL的

配置属于客户的责任，因为这些是客户用来控制其资源网络访问权限的工具。A、B、D

选项均为AWS的责任。知识点：AWS共享责任模型的核心是明确划分AWS和客户各

自的安全责任范围。易错点：容易混淆基础设施安全和客户配置安全的界限。

2、一个公司希望将其本地数据中心与AWSVPC通过私有连接进行安全通信，应

该使用以下哪项AWS服务？

A、AWSDirectConnect

B、AWSVPN

C、AWSTransitGateway

D、VPCPeering

【答案】A

【解析】正确答案是A。AWSDirectConnect提供了从本地数据中心到AWS的

私有专用网络连接，绕过公共互联网，提供更高的带宽和更稳定的网络性能。B选项

VPN通过公共互联网建立加密隧道，虽然也是私有连接，但不是专用物理连接。C选

项TransitGateway用于连接多个VPC和VPN，但本身不提供与本地数据中心的直接

连接。D选项VPCPeering用于VPC之间的连接。知识点：不同AWS网络连接服务

的适用场景。易错点：混淆DirectConnect和VPN的区别，前者是专用物理线路，后

者是基于互联网的VPN。

3、在VPC中，以下哪个组件主要用于控制子网级别的流量，作为有状态的防火

墙？

A、安全组

B、网络ACL

C、路由表

D、Internet网关

2025年AWS认证VPC共享责任模型专题试卷及解析2

【答案】A

【解析】正确答案是A。安全组是作用于实例级别的有状态防火墙，它会跟踪返回

的流量并自动允许。B选项网络ACL是作用于子网级别的无状态防火墙，需要为入站

和出站流量分别配置规则。C选项路由表决定网络流量的去向。D选项Internet网关

是VPC与公共互联网通信的出口。知识点：安全组和网络ACL的区别，特别是有状

态和无状态的区别。易错点：容易记错安全组和网络ACL的作用范围和状态特性。

4、当创建一个VPC时，以下哪项是必须配置的？

A、子网

B、路由表

C、互联网网关

D、NAT网关

【答案】A

【解析】正确答案是A。创建VPC时，必须指定一个CIDR块，并且VPC创建后

默认会包含一个主路由表。虽然VPC本身可以没有子网存在，但为了在其中启动资源，

必须创建子网。然而，从VPC的定义和功能来看，子网是VPC网络地址空间划分的

基本单元，是VPC功能实现的基础。B选项路由表在创建VPC时会自动创建一个默

认的。C和D选项是可选的，用于特定的网络访问场景。知识点：VPC的基本构成组

件。易错点：可能认为路由表是必须的，因为它自动创建，但子网是划分网络和部署资

源的前提。

5、一个企业希望其部署在私有子网中的EC2实例能够访问互联网以下载软件更

新，但不允许从互联网发起对这些实例的连接。以下哪种配置最符合此需求？

A、为实例分配公有IP地址

B、在公有子网中部署NAT网关，并将私有子网的路由指向它

C、在私有子网中部署NAT实例

D、配置VPC端点

【答案】B

【解析】正确答案是B。NAT网关部署在公有子网中，可以让私有子网中的实例通

过它访问互联网，而互