2025年AWS认证AWSCostandUsageReport数据安全与访问控制最佳实践专题试卷及解析.pdfVIP

2025年AWS认证AWSCOSTANDUSAGEREPORT数据安全与访问控制最佳实践专题试卷及解析1

2025年AWS认证AWSCostandUsageReport数据安

全与访问控制最佳实践专题试卷及解析

2025年AWS认证AWSCostandUsageReport数据安全与访问控制最佳实践专题试

卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSCostandUsageReport(CUR)中，为了确保报告数据在传输过程中的

安全性，应该采用哪种方式？

A、通过HTTP协议直接下载报告

B、使用S3预签名URL通过HTTPS访问

C、将报告公开分享给外部用户

D、通过电子邮件发送报告文件

【答案】B

【解析】正确答案是B。AWSCUR数据应始终通过HTTPS加密传输，S3预签名

URL提供了安全的临时访问机制。A选项HTTP不加密不安全；C选项公开分享违反

最小权限原则；D选项邮件传输存在安全风险。知识点：数据传输安全。易错点：可能

忽略HTTPS的重要性。

2、以下哪个AWS服务最适合用于控制对CUR数据的细粒度访问？

A、IAM用户策略

B、S3存储桶策略

C、VPC端点策略

D、CloudTrail日志

【答案】B

【解析】正确答案是B。S3存储桶策略可以精确控制对CUR存储桶的访问权限。A

选项IAM策略粒度较粗；C选项VPC端点主要控制网络访问；D选项CloudTrail用

于审计而非访问控制。知识点：S3访问控制。易错点：可能混淆IAM和S3策略的适

用场景。

3、当需要长期存储CUR数据以满足合规要求时，应该采用哪种S3存储类别？

A、S3标准存储

B、S3智能分层

C、S3GlacierDeepArchive

D、S3OneZoneIA

【答案】C

【解析】正确答案是C。GlacierDeepArchive提供最低成本的长期存储，适合合规

归档需求。A选项成本较高；B选项适合访问模式不定的数据；D选项可用性较低。知

2025年AWS认证AWSCOSTANDUSAGEREPORT数据安全与访问控制最佳实践专题试卷及解析2

识点：S3存储类别选择。易错点：可能忽略成本与访问频率的平衡。

4、以下哪种方法可以防止未经授权的用户访问CUR数据？

A、禁用S3存储桶的公共访问

B、仅使用IAM用户凭证

C、依赖网络隔离

D、定期轮换密码

【答案】A

【解析】正确答案是A。禁用公共访问是基础安全措施。B选项IAM凭证不能完全

控制S3访问；C选项网络隔离不够全面；D选项密码轮换不适用于S3访问。知识点：

S3安全配置。易错点：可能忽视公共访问阻断的重要性。

5、在CUR数据访问审计中，应该使用哪个AWS服务？

A、AWSConfig

B、AmazonCloudWatch

C、AWSCloudTrail

D、AWSTrustedAdvisor

【答案】C

【解析】正确答案是C。CloudTrail记录所有API调用，包括CUR访问。A选项

Config跟踪资源配置；B选项CloudWatch监控指标；D选项TrustedAdvisor提供优

化建议。知识点：审计服务选择。易错点：可能混淆Config和CloudTrail的功能。

6、以下哪种加密方式最适合保护静态CUR数据？

A、客户端加密

B、S3托管密钥(SSES3)

C、AWSKMS托管密钥(SSEKMS)

D、无加密

【答案】C

【解析】正确答案是C。SSEKMS提供密钥管理和审计功能。A选项客户端加密增

加复杂性；B选项SSES3管理功能有限；D选项无加密不安全。知识点：静态数据加

密。易错点：可能低估KMS的管理优势。

7、当需要限制特定IP地址访问CUR数据时，应该配置什么？

A、IAM角色条件

B、S3存储桶策略条件

C、VPC安