2025年AWS认证AWSShield与AWSOrganizations多账户管理集成专题试卷及解析.pdfVIP

2025年AWS认证AWSSHIELD与AWSORGANIZATIONS多账户管理集成专题试卷及解析1

2025年AWS认证AWSShield与AWSOrganizations

多账户管理集成专题试卷及解析

2025年AWS认证AWSShield与AWSOrganizations多账户管理集成专题试卷及

解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSOrganizations中，以下哪种服务控制策略（SCP）格式是正确的？

A、{“Version”:,“Statement”:[{“Effect”:“Allow”,“Action”:“”,”Resource”:””

}]}

B、{“Version”:,“Statement”:[{“Effect”:“Deny”,“Action”:“shield:”,”Re-

source”:””}]}

C、{“Version”:,“Statement”:[{“Effect”:“Allow”,“Action”:“organizations:”,”

Resource”:””}]}

D、{“Version”:,“Statement”:[{“Effect”:“Deny”,“Action”:“ec2:”,”Resource”

:””}]}

【答案】B

【解析】正确答案是B。SCP必须使用”Deny”效果来限制权限，且AWSShield服

务需要”shield:“权限。A选项使用”Allow”是错误的，SCP默认允许所有权限。C选项”

organizations:”权限过于宽泛。D选项虽然格式正确但与Shield主题无关。知识点：SCP

语法规则。易错点：混淆SCP与IAM策略的”Allow”用法。

2、AWSShieldAdvanced在多账户环境中如何实现集中管理？

A、通过IAM角色跨账户访问

B、通过AWSOrganizations集成

C、通过CloudFormation模板部署

D、通过API网关代理

【答案】B

【解析】正确答案是B。AWSShieldAdvanced通过AWSOrganizations实现多账

户集中管理，这是官方推荐方式。A选项IAM角色需要手动配置，不够高效。C选项

CloudFormation只能部署资源不能实现管理。D选项API网关与Shield管理无关。知

识点：ShieldAdvanced多账户架构。易错点：误以为需要自定义解决方案。

3、以下哪种DDoS攻击类型需要ShieldAdvanced防护？

A、SYNFlood

B、HTTPFlood

C、UDPFlood

D、DNSAmplification

2025年AWS认证AWSSHIELD与AWSORGANIZATIONS多账户管理集成专题试卷及解析2

【答案】B

【解析】正确答案是B。HTTPFlood属于应用层攻击，只有ShieldAdvanced能防

护。其他选项都是网络层攻击，标准Shield即可防护。知识点：Shield防护层级。易错

点：混淆网络层和应用层攻击的防护要求。

4、在AWSOrganizations中启用ShieldAdvanced后，成员账户的哪种权限会被

自动授予？

A、创建ShieldAdvanced订阅

B、修改全局设置

C、查看防护状态

D、删除防护资源

【答案】C

【解析】正确答案是C。成员账户自动获得查看权限，管理权限仍由管理账户控制。

A、B、D选项都需要管理账户显式授权。知识点：ShieldAdvanced权限模型。易错点：

误以为成员账户拥有完整权限。

5、以下哪种情况需要使用ShieldAdvanced的紧急响应团队？

A、检测到SYNFlood攻击

B、遭受超过100Gbps的攻击

C、发现应用层攻击

D、需要24/7技术支持

【答案】D

【解析】正确答案是D。紧急响应团队是ShieldAdvanced的专属服务，提供全天候

支持。A、B、C