2025年AWS认证IAM策略与Organizations集成专题试卷及解析.pdfVIP

2025年AWS认证IAM策略与ORGANIZATIONS集成专题试卷及解析1

2025年AWS认证IAM策略与Organizations集成专

题试卷及解析

2025年AWS认证IAM策略与Organizations集成专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSOrganizations中，以下哪种策略类型可以控制成员账户的哪些服务可

以访问？

A、服务控制策略（SCP）

B、IAM策略

C、资源控制策略

D、VPC端点策略

【答案】A

【解析】正确答案是A。服务控制策略（SCP）是AWSOrganizations中用于控制成

员账户权限的策略类型，它可以限制成员账户中IAM实体（用户、角色、组）和AWS

根用户可以执行的操作。B选项IAM策略是账户级别的权限控制，不能跨账户控制；C

选项资源控制策略是针对特定资源的策略；D选项VPC端点策略是控制VPC内资源

访问的策略。知识点：SCP的作用范围和功能。易错点：容易混淆SCP和IAM策略

的作用范围。

2、以下哪种IAM策略元素用于指定策略适用的资源？

A、Action

B、Effect

C、Resource

D、Principal

【答案】C

【解析】正确答案是C。Resource元素用于指定策略适用的资源，可以是ARN格

式或通配符。A选项Action指定允许或拒绝的操作；B选项Effect指定允许（Allow）

或拒绝（Deny）；D选项Principal指定策略适用的主体（用户、账户、服务等）。知识

点：IAM策略的基本元素。易错点：容易混淆Action和Resource的作用。

3、在AWSOrganizations中，以下哪种情况会导致SCP失效？

A、成员账户有明确的IAM允许策略

B、SCP与IAM策略冲突

C、SCP未附加到OU或账户

D、成员账户使用了AWS根用户

【答案】C

2025年AWS认证IAM策略与ORGANIZATIONS集成专题试卷及解析2

【解析】正确答案是C。SCP必须附加到组织单位（OU）或账户才能生效，否则不

会产生任何影响。A选项SCP是白名单机制，即使有IAM允许策略，如果SCP不允

许也会被拒绝；B选项SCP和IAM策略冲突时，拒绝优先；D选项SCP同样适用于

AWS根用户。知识点：SCP的生效条件。易错点：容易忽略SCP必须附加才能生效的

前提。

4、以下哪种IAM策略评估逻辑是正确的？

A、默认拒绝，显式允许覆盖

B、默认允许，显式拒绝覆盖

C、显式允许和显式拒绝同时存在时，允许优先

D、SCP优先于IAM策略

【答案】A

【解析】正确答案是A。IAM策略默认拒绝所有操作，必须有显式的Allow才能允

许；如果存在显式Deny，则无论如何都会拒绝。B选项与AWS权限模型相反；C选

项Deny优先于Allow；D选项SCP和IAM策略是叠加关系，不是优先关系。知识点：

IAM策略评估逻辑。易错点：容易混淆默认行为和优先级。

5、在AWSOrganizations中，以下哪种SCP语法是正确的？

A、“Action”:[“s3:”]

B、“NotAction”:[“s3:DeleteObject”]

C、“Effect”:“Allow”

D、“Principal”:{“AWS”:“arn:aws:iam::123456789012:root”}

【答案】B

【解析】正确答案是B。SCP可以使用NotAction来指定除某些操作外的所有操作。

A选项SCP中Action必须使用NotAction；C选项SCP只能是Deny；D选项SCP

不使用Principal元素。知识点：SCP的语法限制。易错点：容易将IAM策略语法直