2025年AWS认证解决方案架构师Fargate安全最佳实践（IAM,SecretsManager）专题试卷及解析.pdfVIP

2025年AWS认证解决方案架构师FARGATE安全最佳实践（IAM,SECRETSMANAGER

2025年AWS认证解决方案架构师Fargate安全最佳实践

（IAM,SecretsManager）专题试卷及解析

2025年AWS认证解决方案架构师Fargate安全最佳实践（IAM,SecretsManager）

专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSFargate中，为任务角色授予最小权限的最佳实践是什么？

A、使用AWS托管式策略AdministratorAccess

B、创建自定义IAM策略，仅包含任务所需的特定API权限

C、直接使用EC2实例角色

D、禁用IAM角色验证

【答案】B

【解析】正确答案是B。最小权限原则要求仅授予完成任务所需的最低权限，自定

义策略可实现精确控制。A选项权限过大违反安全原则；C选项EC2角色不适用于

Fargate；D选项会完全失去安全控制。知识点：IAM最小权限原则。易错点：误以为

托管策略更安全。

2、Fargate任务如何安全访问SecretsManager中的密钥？

A、在容器环境变量中明文存储密钥

B、通过任务IAM角色授权并使用SDK动态获取

C、将密钥编码后写入Docker镜像

D、使用EC2实例元数据服务

【答案】B

【解析】正确答案是B。通过IAM角色授权后，任务可在运行时通过SDK安全获

取密钥。A选项存在泄露风险；C选项违反密钥轮换原则；D选项不适用于Fargate。

知识点：密钥动态获取机制。易错点：混淆静态存储与动态获取的区别。

3、当Fargate任务需要跨账户访问SecretsManager时，应采用哪种方案？

A、在源账户创建全局IAM用户

B、配置资源策略允许跨账户访问

C、共享AWS根账户凭证

D、复制密钥到目标账户

【答案】B

【解析】正确答案是B。资源策略是实现跨账户访问的标准方式。A选项违反账户

隔离原则；C选项存在重大安全风险；D选项会导致密钥同步问题。知识点：AWS跨

账户访问机制。易错点：忽略资源策略的作用。

4、如何验证Fargate任务的IAM权限配置是否正确？

2025年AWS认证解决方案架构师FARGATE安全最佳实践（IAM,SECRETSMANAGER

A、检查容器内的AWS凭证文件

B、使用IAMAccessAnalyzer

C、在任务中运行awsstsgetcalleridentity

D、查看CloudWatch日志中的权限错误

【答案】C

【解析】正确答案是C。该命令可直接验证任务角色身份。A选项Fargate不存储

凭证文件；B选项用于静态分析；D选项只能被动发现问题。知识点：运行时权限验证

方法。易错点：混淆静态分析与运行时验证。

5、SecretsManager密钥轮换时，Fargate任务应如何处理？

A、重启任务获取新密钥

B、使用自动轮换Lambda函数更新密钥

C、手动更新环境变量

D、忽略轮换继续使用旧密钥

【答案】B

【解析】正确答案是B。自动轮换可确保密钥持续有效。A选项会导致服务中断；C

选项违反自动化原则；D选项存在安全风险。知识点：密钥轮换机制。易错点：忽略轮

换对运行中任务的影响。

6、Fargate任务的网络访问控制应优先考虑？

A、使用公共IP配合安全组

B、配置私有子网和NAT网关

C、禁用所有网络访问

D、直接连接互联网

【答案】B

【解析】正确答案是B。私有子网提供网络隔离，NAT网关控制出站流量。A选项

暴露攻击面；C选项影响功能；D选项缺乏防护。知识点：VPC安全设计。易错点：混

淆公共访问与私有访问的适用场景。

7、当检测到Fargate任务权限滥用时，应首先采取的措施是？

A、立即终止所有任务

B、撤销任务IAM角色权限

C、联系AWS支持

D、增加CloudWatch告警

【答案】B

【解析】正确答