2025年AWS认证RAM与AWSControlTower集成实现多账户环境资源治理专题试卷及解析.pdf

2025年AWS认证RAM与AWSCONTROLTOWER集成实现多账户环境资源治理专题试卷及解析1

2025年AWS认证RAM与AWSControlTower集成

实现多账户环境资源治理专题试卷及解析

2025年AWS认证RAM与AWSControlTower集成实现多账户环境资源治理专题

试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSControlTower中，以下哪个组件负责定义和管理账户的合规性策略？

A、OrganizationalUnit(OU)

B、ServiceCatalogPortfolio

C、Guardrail

D、AccountFactory

【答案】C

【解析】正确答案是C。Guardrail是AWSControlTower中用于实施合规性策略的

核心组件，分为预防性和检测性两类。A选项OU用于组织账户结构，B选项Service

CatalogPortfolio用于产品组合管理，D选项AccountFactory用于账户创建。知识点：

ControlTower核心组件功能。易错点：容易混淆OU和Guardrail的功能区别。

2、当使用AWSRAM与ControlTower集成时，以下哪种资源类型最适合跨账户

共享？

A、EC2实例

B、VPC子网

C、Route53解析器规则

D、RDS数据库实例

【答案】C

【解析】正确答案是C。Route53解析器规则是AWSRAM支持跨账户共享的典型

资源类型。A和D选项属于计算和数据库资源，不支持直接共享；B选项VPC子网虽

然可以通过VPC共享功能共享，但不是RAM的主要应用场景。知识点：RAM支持

共享的资源类型。易错点：误以为所有AWS资源都可以通过RAM共享。

3、在ControlTower的分层治理模型中，以下哪个层级拥有最高优先级？

A、CoreOU

B、CustomOU

C、ManagementAccount

D、MemberAccount

【答案】C

【解析】正确答案是C。ManagementAccount（管理账户）在ControlTower架构中

拥有最高权限和优先级，可以覆盖其他层级的设置。A选项CoreOU是基础OU，B选

2025年AWS认证RAM与AWSCONTROLTOWER集成实现多账户环境资源治理专题试卷及解析2

项CustomOU是自定义OU，D选项MemberAccount是成员账户。知识点：Control

Tower账户层级关系。易错点：容易混淆OU和管理账户的权限层级。

4、以下哪种Guardrail类型可以在资源创建前阻止不合规操作？

A、检测性Guardrail

B、预防性Guardrail

C、合规性Guardrail

D、监控性Guardrail

【答案】B

【解析】正确答案是B。预防性Guardrail通过ServiceControlPolicies(SCPs)在

资源创建前阻止不合规操作。A选项检测性Guardrail用于事后检测，C和D选项不

是官方分类。知识点：Guardrail类型及作用机制。易错点：容易混淆预防性和检测性

Guardrail的触发时机。

5、在AWSRAM中，以下哪个角色是资源所有者必须创建的？

A、资源共享管理员

B、资源使用者

C、资源所有者

D、资源审核员

【答案】A

【解析】正确答案是A。资源共享管理员是资源所有者必须创建的IAM角色，用

于管理资源共享。B选项资源使用者是接收方账户的角色，C选项资源所有者是账户本

身，D选项资源审核员不是标准角色。知识点：RAM角色管理。易错点：容易混淆资

源所有者和资源共享管理员的角色定义。

6、ControlTower的AccountFactory主要解决什么问题？

A、自动化账户创建和配置

B、管理账户权限

C、监控资源使用

D、优化成本

【答案】A

【