2025年AWS认证Fargate网络隔离与安全组精细化配置专题试卷及解析.pdfVIP

2025年AWS认证FARGATE网络隔离与安全组精细化配置专题试卷及解析1

2025年AWS认证Fargate网络隔离与安全组精细化配置

专题试卷及解析

2025年AWS认证Fargate网络隔离与安全组精细化配置专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSFargate中，当任务需要访问外部互联网时，以下哪种配置是必需的？

A、配置私有子网的路由表指向NAT网关

B、配置公有子网的路由表指向互联网网关

C、配置安全组允许所有出站流量

D、配置网络ACL允许所有入站流量

【答案】A

【解析】正确答案是A。Fargate任务在私有子网中运行时，需要通过NAT网关访

问互联网。B选项错误，因为Fargate任务通常部署在私有子网而非公有子网。C选项

虽然必要但不充分，安全组配置只是网络控制的一部分。D选项错误，网络ACL是子

网级别的控制，不是解决互联网访问的主要方案。知识点：Fargate网络架构。易错点：

混淆公有子网和私有子网的互联网访问方式。

2、当需要限制Fargate任务只能访问特定的RDS数据库时，最安全的配置方式

是？

A、在安全组中允许所有数据库端口的出站流量

B、在安全组中仅允许目标RDS安全组的入站流量

C、在安全组中仅允许目标RDS安全组的出站流量

D、在网络ACL中限制数据库端口的流量

【答案】C

【解析】正确答案是C。通过安全组引用规则，可以精确控制Fargate任务只能访问

特定的RDS实例。A选项过于宽泛，不符合最小权限原则。B选项方向错误，应该是

控制出站而非入站。D选项网络ACL不如安全组精确。知识点：安全组引用规则。易

错点：混淆入站和出站规则的方向。

3、在Fargate任务的网络配置中，以下哪种说法是正确的？

A、任务可以跨多个VPC运行

B、任务必须部署在至少一个公有子网中

C、任务的ENI生命周期与任务生命周期一致

D、任务可以动态修改其VPC配置

【答案】C

【解析】正确答案是C。Fargate任务的弹性网络接口(ENI)会随任务的创建而创

建，随任务的终止而删除。A选项错误，任务只能在单个VPC内运行。B选项错误，

2025年AWS认证FARGATE网络隔离与安全组精细化配置专题试卷及解析2

任务可以完全部署在私有子网。D选项错误，VPC配置在任务定义中设定后无法动态

修改。知识点：Fargate网络接口管理。易错点：误认为任务可以跨VPC运行。

4、当需要实现Fargate任务之间的严格隔离时，最有效的方案是？

A、使用不同的安全组

B、使用不同的子网

C、使用不同的集群

D、使用不同的任务定义

【答案】B

【解析】正确答案是B。通过将任务部署在不同子网可以实现网络层面的隔离。A

选项安全组可以控制流量但不如子网隔离彻底。C选项集群是逻辑概念，不提供网络隔

离。D选项任务定义只是配置模板。知识点：AWS网络隔离层级。易错点：高估安全

组的隔离能力。

5、在配置Fargate任务的安全组时，以下哪种最佳实践是推荐的？

A、允许所有流量通过

B、仅允许必要的端口和协议

C、优先使用网络ACL而非安全组

D、为每个任务使用相同的安全组

【答案】B

【解析】正确答案是B。遵循最小权限原则，仅开放必要的端口和协议。A选项严

重违反安全原则。C选项错误，安全组比网络ACL更灵活精确。D选项应根据需要使

用不同的安全组。知识点：安全组配置最佳实践。易错点：忽视最小权限原则。

6、当Fargate任务需要访问AWS服务时，最安全的认证方式是？

A、硬编码IAM凭证

B、使用任务IAM角色

C、使用EC2实例角色

D、使用访问密钥

【答案】B

【解析】正确答案是B。任务IAM角色专为Fargate设计，提供临时凭证。A选项

严重