2025年AWS认证防止EBS快照意外泄露的安全配置专题试卷及解析.pdfVIP

2025年AWS认证防止EBS快照意外泄露的安全配置专题试卷及解析1

2025年AWS认证防止EBS快照意外泄露的安全配置专

题试卷及解析

2025年AWS认证防止EBS快照意外泄露的安全配置专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、为了防止EBS快照被意外共享给其他AWS账户，以下哪种配置是最有效的控

制措施？

A、启用EBS快照加密

B、设置EBS快照的BlockPublicAccess

C、使用IAM策略限制快照共享权限

D、启用EBS默认加密

【答案】C

【解析】正确答案是C。IAM策略可以精确控制哪些用户/角色有权修改快照的共

享属性，是防止意外泄露的核心控制手段。A和D选项主要解决数据加密问题，不能

阻止共享行为；B选项是针对S3的功能，不适用于EBS快照。知识点：IAM权限控

制是AWS安全的基础。易错点：容易混淆加密和访问控制的作用。

2、当需要共享EBS快照给特定AWS账户时，以下哪种方法最安全？

A、将快照设为公开

B、通过AWSManagementConsole手动共享

C、使用AWSCLI指定账户ID共享

D、通过AMI共享间接实现

【答案】C

【解析】正确答案是C。AWSCLI可以精确指定目标账户ID，避免误操作。A选

项完全不可取；B选项容易误操作；D选项会增加额外复杂度。知识点：程序化操作比

手动操作更可靠。易错点：认为通过AMI共享更安全。

3、检测EBS快照是否被意外公开的最佳实践是？

A、定期检查AWSConsole

B、使用AWSConfig规则

C、依赖CloudTrail日志

D、设置CloudWatch告警

【答案】B

【解析】正确答案是B。AWSConfig可以持续监控快照的公开状态并自动告警。A

选项效率低；C选项需要额外分析；D选项需要自定义配置。知识点：自动化监控优于

人工检查。易错点：认为CloudTrail能直接检测状态变化。

4、以下哪种EBS快照特性会增加泄露风险？

2025年AWS认证防止EBS快照意外泄露的安全配置专题试卷及解析2

A、跨区域复制

B、增量快照

C、快照共享功能

D、快照生命周期策略

【答案】C

【解析】正确答案是C。共享功能直接增加了数据暴露面。A和B是技术特性；D

是管理功能。知识点：理解各功能的安全影响。易错点：认为跨区域复制更危险。

5、限制EBS快照只能共享给特定组织的正确方法是？

A、使用SCP策略

B、在快照属性中设置组织ID

C、通过VPC端点控制

D、使用AWSOrganizations功能

【答案】A

【解析】正确答案是A。SCP可以限制整个组织的快照共享行为。B选项不存在；C

选项不适用；D选项过于宽泛。知识点：组织级控制的重要性。易错点：混淆SCP和

IAM策略。

6、EBS快照意外泄露后，首要响应措施是？

A、立即删除快照

B、修改快照权限

C、通知AWS支持

D、评估影响范围

【答案】B

【解析】正确答案是B。立即撤销访问权限可以阻止进一步泄露。A选项可能影响

业务；C选项不是首要措施；D选项应在权限控制后进行。知识点：安全事件的响应优

先级。易错点：急于删除快照。

7、以下哪种IAM权限最危险？

A、ec2:CreateSnapshot

B、ec2:ModifySnapshotAttribute

C、ec2:DeleteSnapshot

D、ec2:DescribeSnapshots

【答案】B

【解析】正确答案是B。修改快照属性包括共享权限，最容易导致泄露。A和C是

正常操作；D是只读权限。知识点：权限的危险程度评估。易错点：认为删除权限最危

险。