2025年AWS认证Route53审计日志与合规性检查专题试卷及解析.pdfVIP

2025年AWS认证ROUTE53审计日志与合规性检查专题试卷及解析1

2025年AWS认证Route53审计日志与合规性检查专题

试卷及解析

2025年AWS认证Route53审计日志与合规性检查专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSRoute53中，以下哪项服务可以用于记录和监控所有DNS查询活动，

以满足合规性审计要求？

A、CloudTrail

B、VPCFlowLogs

C、Route53QueryLogging

D、CloudWatchLogs

【答案】C

【解析】正确答案是C。Route53QueryLogging是专门用于记录DNS查询活动的

服务，可以记录所有发往Route53的DNS查询请求，包括源IP、查询域名、查询类型

等信息，这是满足DNS审计合规性的最佳选择。A选项CloudTrail主要记录API调

用活动，不记录DNS查询；B选项VPCFlowLogs记录网络流量信息，不包含DNS

查询详情；D选项CloudWatchLogs是日志存储服务，本身不产生DNS查询日志。知

识点：Route53审计日志机制。易错点：容易混淆CloudTrail和QueryLogging的功

能范围。

2、某企业需要确保其Route53托管区域的所有DNS记录变更都经过审批流程，

以下哪种方法最符合合规要求？

A、使用IAM策略限制直接修改权限

B、启用Route53配置变更通知

C、通过AWSConfig规则监控变更

D、实施变更集(ChangeSets)机制

【答案】D

【解析】正确答案是D。变更集(ChangeSets)机制允许在应用变更前预览所有DNS

记录变更，并提供审批流程，这是最符合合规要求的做法。A选项只是限制权限，无法

提供审批流程；B选项只能通知变更，无法阻止未经授权的变更；C选项只能监控变更，

无法预防。知识点：Route53变更管理最佳实践。易错点：容易忽视变更集的审批功能

而选择其他监控手段。

3、在Route53健康检查中，以下哪种检查方式最能满足金融行业对服务可用性的

严格合规要求？

A、基本健康检查

B、计算健康检查

2025年AWS认证ROUTE53审计日志与合规性检查专题试卷及解析2

C、字符串匹配健康检查

D、HTTPS健康检查

【答案】D

【解析】正确答案是D。HTTPS健康检查不仅检查服务可用性，还验证SSL证书

有效性，最符合金融行业的严格合规要求。A选项基本检查过于简单；B选项计算检查

主要用于监控阈值；C选项字符串匹配检查不够全面。知识点：Route53健康检查类

型。易错点：容易忽略金融行业对SSL证书验证的特殊要求。

4、当需要保留Route53DNS查询日志超过默认的30天期限以满足长期合规要求

时，应该采用哪种方法？

A、修改Route53日志保留策略

B、将日志定期归档到S3Glacier

C、启用CloudWatch日志长期保留

D、使用Lambda函数自动处理日志

【答案】B

【解析】正确答案是B。将日志归档到S3Glacier是成本效益最高的长期存储方案，

符合合规要求。A选项Route53本身不支持修改日志保留期；C选项CloudWatch长

期保留成本较高；D选项Lambda处理增加复杂度。知识点：日志长期存储策略。易错

点：容易直接选择CloudWatch而忽略成本因素。

5、在Route53中实施DNSSEC时，以下哪项操作是确保密钥安全的关键步骤？

A、定期轮换KSK密钥

B、使用CloudHSM管理密钥

C、启用密钥签名验证

D、实施密钥访问审计

【答案】B

【解析】正确答案是B。使用CloudHSM管理密钥可以提供硬件级别的安全保护，