2025年AWS认证CloudFront起源端到端加密专题试卷及解析.pdfVIP

2025年AWS认证CLOUDFRONT起源端到端加密专题试卷及解析1

2025年AWS认证CloudFront起源端到端加密专题试卷

及解析

2025年AWS认证CloudFront起源端到端加密专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在CloudFront端到端加密中，哪种加密方法确保数据从客户端到源服务器的全

程加密？

A、仅使用CloudFront提供的TLS加密

B、仅使用源服务器的SSL/TLS证书

C、同时使用CloudFrontTLS和源服务器SSL/TLS证书

D、不使用任何加密方法

【答案】C

【解析】正确答案是C。端到端加密要求数据在传输全程都保持加密状态，因此需

要同时使用CloudFront的TLS加密和源服务器的SSL/TLS证书。选项A和B都只

覆盖了部分传输路径，选项D完全不加密。知识点：CloudFront加密机制。易错点：容

易混淆部分加密与端到端加密的区别。

2、CloudFront的哪种行为配置可以强制所有请求使用HTTPS？

A、ViewerProtocolPolicy设置为RedirectHTTPtoHTTPS

B、OriginProtocolPolicy设置为HTTPSOnly

C、CachePolicy设置为ManagedCachingOptimized

D、OriginAccessIdentity设置为Yes

【答案】A

【解析】正确答案是A。ViewerProtocolPolicy控制客户端与CloudFront之间的通

信协议，设置为RedirectHTTPtoHTTPS可以强制HTTPS。选项B控制CloudFront

与源服务器的通信，选项C与缓存相关，选项D与访问控制相关。知识点：CloudFront

行为配置。易错点：容易混淆ViewerProtocolPolicy和OriginProtocolPolicy的作用

范围。

3、当使用CloudFront与S3作为源时，哪种方式可以实现最安全的访问控制？

A、使用公共S3存储桶

B、使用S3存储桶策略限制CloudFront访问

C、使用CloudFront签名URL

D、使用OriginAccessControl(OAC)

【答案】D

【解析】正确答案是D。OAC是最新且最安全的CloudFront访问S3的方式，支持

所有区域和KMS加密。选项B的OAI已逐渐被淘汰，选项C仅控制客户端访问，选

2025年AWS认证CLOUDFRONT起源端到端加密专题试卷及解析2

项A完全不安全。知识点：CloudFrontS3访问控制。易错点：容易混淆OAI和OAC

的区别。

4、CloudFront的哪种功能可以实现基于地理位置的访问限制？

A、GeoRestriction

B、WAF

C、Lambda@Edge

D、OriginFailover

【答案】A

【解析】正确答案是A。GeoRestriction是CloudFront内置的地理位置限制功能。

选项B是Web应用防火墙，选项C是边缘计算，选项D是源故障转移。知识点：

CloudFront访问控制。易错点：容易将GeoRestriction与WAF的地理位置规则混淆。

5、在CloudFront中，哪种缓存策略最适合API端点？

A、ManagedCachingOptimized

B、ManagedNoCache

C、ManagedCachingDisabled

D、ManagedForAPIs

【答案】D

【解析】正确答案是D。ManagedForAPIs是专门为API设计的缓存策略。选项A

适合静态内容，选项B和C实际上相同，都是不缓存。知识点：CloudF