2025年AWS认证CloudTrail与AWSOrganizations集成实现组织级监控专题试卷及解析.pdfVIP

2025年AWS认证CLOUDTRAIL与AWSORGANIZATIONS集成实现组织级监控专题试卷及解析1

2025年AWS认证CloudTrail与AWSOrganizations

集成实现组织级监控专题试卷及解析

2025年AWS认证CloudTrail与AWSOrganizations集成实现组织级监控专题试

卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSOrganizations中启用CloudTrail后，日志默认存储在哪个位置？

A、组织管理账户的S3存储桶

B、成员账户的S3存储桶

C、CloudWatchLogs

D、AWSSecretsManager

【答案】A

【解析】正确答案是A。当在AWSOrganizations中启用CloudTrail时，日志默认存

储在组织管理账户指定的S3存储桶中。B选项错误，因为成员账户不会单独存储日志；

C选项错误，CloudWatchLogs是可选的日志存储方式；D选项错误，SecretsManager

用于存储密钥而非日志。知识点：CloudTrail与Organizations集成机制。易错点：混

淆管理账户和成员账户的权限差异。

2、以下哪项是CloudTrail与AWSOrganizations集成的核心优势？

A、降低存储成本

B、实现跨账户的统一日志管理

C、提高API调用速度

D、自动加密所有日志

【答案】B

【解析】正确答案是B。集成后可集中管理所有成员账户的CloudTrail日志。A选

项错误，存储成本取决于S3配置；C选项错误，API速度与集成无关；D选项错误，

加密需手动配置。知识点：CloudTrail组织级监控价值。易错点：将功能优势与基础特

性混淆。

3、在组织级CloudTrail中，如何确保成员账户无法禁用日志记录？

A、使用IAM策略限制权限

B、启用SCP（服务控制策略）

C、配置CloudTrail加密

D、启用多区域日志记录

【答案】B

【解析】正确答案是B。SCP可强制成员账户保留CloudTrail配置。A选项错误，

IAM策略仅限单账户；C选项错误，加密不影响禁用权限；D选项错误，多区域记录

2025年AWS认证CLOUDTRAIL与AWSORGANIZATIONS集成实现组织级监控专题试卷及解析2

不防止禁用。知识点：SCP在CloudTrail中的应用。易错点：混淆SCP与IAM的作

用范围。

4、CloudTrail日志文件默认的加密方式是什么？

A、SSEKMS

B、SSES3

C、客户端加密

D、不加密

【答案】B

【解析】正确答案是B。CloudTrail默认使用SSES3加密。A选项错误，SSEKMS

需手动启用；C选项错误，客户端加密需自定义；D选项错误，AWS默认加密静态数

据。知识点：CloudTrail日志加密机制。易错点：忽略默认加密方式。

5、在AWSOrganizations中，以下哪项操作需要管理账户执行？

A、创建成员账户的CloudTrail

B、修改SCP策略

C、查看成员账户日志

D、配置CloudWatch告警

【答案】B

【解析】正确答案是B。SCP策略只能由管理账户修改。A选项错误，成员账户可

创建自己的CloudTrail；C选项错误，成员账户可查看自身日志；D选项错误，告警配

置无账户限制。知识点：管理账户与成员账户权限划分。易错点：混淆操作权限层级。

6、CloudTrail与AWSOrganizations集成后，日志文件命名规则包含以下哪项信

息？

A、账户ID

B、区域名称

C、时间戳

D、以上全部

【答案】D

【解析】正确答案是D。日志文件名包含账户ID、区域和时间戳。A、B、C选项均

不完整。知识点：CloudTrail日志文件结构。易错点：忽略命名规则的完整性。

7、如何验证CloudTrail是否成功捕获了AWSOr