2025年AWS认证CloudFront防止未授权访问起源服务器专题试卷及解析.pdfVIP

2025年AWS认证CLOUDFRONT防止未授权访问起源服务器专题试卷及解析1

2025年AWS认证CloudFront防止未授权访问起源服务

器专题试卷及解析

2025年AWS认证CloudFront防止未授权访问起源服务器专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSCloudFront中，哪种机制最有效地防止用户直接访问起源服务器，从

而强制所有流量通过CloudFront？

A、使用AWSWAF

B、配置OriginAccessIdentity(OAI)

C、启用CloudFront签名URL

D、设置Referer检查

【答案】B

【解析】正确答案是B。OriginAccessIdentity(OAI)是CloudFront提供的特殊身

份，通过在S3存储桶策略中限制只有OAI可以访问，完全阻止直接访问S3。A选项

WAF主要用于过滤恶意请求而非阻止直接访问；C选项签名URL控制内容访问权限

但无法阻止直接访问起源；D选项Referer检查容易被伪造且安全性低。知识点：OAI

是CloudFrontS3集成的核心安全机制。易错点：混淆OAI与签名URL的功能差异。

2、当使用自定义起源服务器（非S3）时，以下哪种方法能最可靠地确保请求来自

CloudFront？

A、检查请求中的CloudFrontViewerCountry头

B、验证XForwardedFor头中的IP范围

C、使用OriginCustomHeader设置共享密钥

D、依赖CloudFront自动添加的Host头

【答案】C

【解析】正确答案是C。OriginCustomHeader允许在CloudFront和起源服务器之

间共享秘密密钥，起源服务器验证该头确保请求来源。A选项ViewerCountry头反映的

是客户端位置；B选项XForwardedFor可能被伪造；D选项Host头仅反映配置的主机

名。知识点：自定义起源需要额外安全层。易错点：误认为HTTP头默认可信。

3、以下哪种CloudFront配置会自动阻止直接访问S3起源？

A、启用FieldLevelEncryption

B、配置SignedCookies

C、选择”OriginAccessControlSettings”

D、设置CacheBasedonSelectedRequestHeaders

【答案】C

2025年AWS认证CLOUDFRONT防止未授权访问起源服务器专题试卷及解析2

【解析】正确答案是C。OriginAccessControl(OAC)是OAI的升级版，自动生成

并应用S3存储桶策略。A选项用于保护敏感字段；B选项用于客户端访问控制；D选

项用于缓存策略。知识点：OAC比OAI更安全且支持更多功能。易错点：忽略OAC

与OAI的演进关系。

4、当需要限制特定用户访问私有内容时，应优先使用哪种CloudFront功能？

A、GeoRestriction

B、SignedURLs

C、Lambda@Edge

D、OriginFailover

【答案】B

【解析】正确答案是B。SignedURLs通过加密签名实现细粒度的访问控制。A选

项按地理位置限制；C选项可自定义逻辑但复杂度高；D选项用于高可用性。知识点：

签名URL是私有内容分发的标准方案。易错点：混淆访问控制与地理位置限制。

5、以下哪种头信息是CloudFront自动添加到发送给起源服务器的请求中？

A、CloudFrontIsSmartViewer

B、XAmzCfId

C、Authorization

D、UserAgent

【答案】B

【解析】正确答案是B。XAmzCfId是CloudFront自动添加的唯一请求标识符。A

选项不存在；C选