2025年AWS认证TransitGateway网络审计与合规性检查专题试卷及解析.pdfVIP

2025年AWS认证TRANSITGATEWAY网络审计与合规性检查专题试卷及解析1

2025年AWS认证TransitGateway网络审计与合规性

检查专题试卷及解析

2025年AWS认证TransitGateway网络审计与合规性检查专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在进行TransitGateway网络审计时，以下哪项工具最适合用于监控VPC之间

的流量模式？

A、AWSCloudTrail

B、VPCFlowLogs

C、AWSConfig

D、AmazonCloudWatch

【答案】B

【解析】正确答案是B。VPCFlowLogs专门用于捕获进出网络接口的IP流量信息，

是分析VPC间流量模式的核心工具。A选项CloudTrail记录API调用而非流量数据；

C选项Config监控资源配置变更；D选项CloudWatch主要收集指标和日志但无法直

接提供流量详情。知识点：网络流量监控工具的选择。易错点：容易混淆CloudTrail和

FlowLogs的功能范围。

2、TransitGateway的哪个特性支持对跨账户连接进行集中式合规性检查？

A、RouteTables

B、Attachments

C、AWSRAM(ResourceAccessManager)

D、NetworkManager

【答案】C

【解析】正确答案是C。AWSRAM允许跨账户共享TransitGateway资源，是实

现集中式合规管理的关键机制。A选项路由表仅控制流量转发；B选项连接仅表示网络

端点；D选项NetworkManager提供可视化但不是权限控制工具。知识点：跨账户资

源共享机制。易错点：容易忽视RAM在合规审计中的核心作用。

3、当需要审计TransitGateway的路由变更历史时，应该优先启用哪个服务？

A、AWSCloudTrail

B、AmazonS3

C、AWSLambda

D、AWSKMS

【答案】A

【解析】正确答案是A。CloudTrail自动记录所有TransitGateway的路由表变更

API调用，提供完整的审计轨迹。B选项S3仅用于存储；C选项Lambda用于计算；

2025年AWS认证TRANSITGATEWAY网络审计与合规性检查专题试卷及解析2

D选项KMS用于加密。知识点：审计日志来源。易错点：可能误选S3作为日志存储

而忽略CloudTrail的记录功能。

4、TransitGateway的哪个配置项最可能影响PCIDSS合规性？

A、ASN(AutonomousSystemNumber)

B、Propagation选项

C、DNSSupport

D、FlowLogs状态

【答案】D

【解析】正确答案是D。PCIDSS要求详细的网络流量记录，FlowLogs是满足此

要求的关键配置。A选项ASN仅影响BGP路由；B选项Propagation控制路由传播；

C选项DNS支持影响域名解析。知识点：合规性要求与配置项关联。易错点：容易忽

略日志记录在合规中的重要性。

5、在TransitGateway多可用区部署中，以下哪项是审计时必须检查的高可用性

配置？

A、EC2实例类型

B、子网分配

C、EBS卷类型

D、安全组规则

【答案】B

【解析】正确答案是B。TransitGateway需要至少两个不同AZ的子网才能实现高

可用部署。A、C、D选项与TransitGateway本身的高可用性无关。知识点：高可用性

架构要求。易错点：可能混淆EC2层和网关层的高可用配置。

6、当需要验证TransitGateway是否满足HIPAA加密要求时，应重点检查哪个方

面？

A、路由表加密

B、传输中加密

C、静态数据加密

D、API调用加密

【答案】B

【解析】正确答案是