2025年AWS认证基于IAM策略的Kinesis精细化访问控制专题试卷及解析.pdfVIP

2025年AWS认证基于IAM策略的KINESIS精细化访问控制专题试卷及解析1

2025年AWS认证基于IAM策略的Kinesis精细化访问

控制专题试卷及解析

2025年AWS认证基于IAM策略的Kinesis精细化访问控制专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSKinesisDataStreams中，以下哪个IAM策略元素用于限制访问权限

仅适用于特定的Kinesis流？

A、Action

B、Resource

C、Effect

D、Condition

【答案】B

【解析】正确答案是B。Resource元素用于指定策略适用的资源ARN，在Kinesis场

景中可以限定到特定流。Action定义允许的操作，Effect决定允许/拒绝，Condition添

加额外限制条件。知识点：IAM策略四要素。易错点：容易混淆Resource和Condition

的作用范围。

2、某开发团队需要为Lambda函数配置仅能读取Kinesis流数据的权限，应使用

以下哪个Action？

A、kinesis:PutRecord

B、kinesis:GetRecords

C、kinesis:DescribeStream

D、kinesis:CreateStream

【答案】B

【解析】正确答案是B。GetRecords是KinesisDataStreams中读取数据的专用

API。PutRecord用于写入数据，DescribeStream用于获取流元数据，CreateStream用

于创建流。知识点：KinesisAPI权限粒度控制。易错点：容易混淆读取操作相关的API。

3、以下哪种条件键可以限制Kinesis操作必须来自特定VPC端点？

A、aws:SourceVpce

B、kinesis:StreamName

C、aws:RequestedRegion

D、kinesis:RecordType

【答案】A

【解析】正确答案是A。aws:SourceVpce是AWS全局条件键，用于验证请求是否

来自指定VPC端点。其他选项要么不存在，要么不符合VPC端点控制场景。知识点：

VPC端点访问控制。易错点：容易忽略全局条件键的适用性。

2025年AWS认证基于IAM策略的KINESIS精细化访问控制专题试卷及解析2

4、在KinesisDataFirehose中，以下哪个权限是向S3目标传送数据所必需的？

A、firehose:PutRecord

B、s3:PutObject

C、kinesis:DescribeStream

D、iam:PassRole

【答案】B

【解析】正确答案是B。Firehose需要s3:PutObject权限才能向S3写入数据。Pu-

tRecord是向Firehose发送数据的权限，DescribeStream用于KinesisStreams，PassRole

用于角色传递。知识点：跨服务权限链。易错点：容易忽略目标服务的权限需求。

5、以下哪种IAM策略语法可以限制Kinesis操作仅允许前缀为”prod”的流？

A、“Resource”:“arn:aws:kinesis:::stream/prod”

B、“Condition”:{“StringLike”:{“kinesis:StreamName”:“prod“}}

C、“Action”:[“kinesis:prod”]

D、“Effect”:“Allow”“Resource”:“prod”

【答案】A

【解析】正确答案是A。在Resource元素中使用通配符匹配ARN是最直接的方式。

Condition虽然可行但更复杂，Action不支持通配符匹配资源名，D选项语法错误。知

识点：ARN模式匹配。易错点：容易混淆Resource和Conditi