2025年AWS认证IAM跨账户访问策略配置专题试卷及解析.pdfVIP

2025年AWS认证IAM跨账户访问策略配置专题试卷及解析1

2025年AWS认证IAM跨账户访问策略配置专题试卷及

解析

2025年AWS认证IAM跨账户访问策略配置专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSIAM中，要允许账户A中的角色访问账户B中的S3存储桶，需要在

账户B中配置哪种策略？

A、基于身份的策略

B、基于资源的策略

C、SCP策略

D、权限边界

【答案】B

【解析】正确答案是B。基于资源的策略（如S3存储桶策略）用于指定谁可以访问

该资源，包括跨账户访问。A选项基于身份的策略附加到IAM用户/角色，不能直接授

权跨账户资源。C选项SCP用于Organizations中的权限管理。D选项权限边界限制

IAM实体的最大权限。知识点：跨账户访问必须通过基于资源的策略实现。易错点：混

淆基于身份和基于资源的策略适用场景。

2、在配置跨账户访问时，AWSSTSAssumeRole操作的作用是什么？

A、创建新的IAM角色

B、临时获取另一账户中的权限

C、永久转移权限

D、删除现有角色

【答案】B

【解析】正确答案是B。AssumeRole用于临时获取另一账户中角色的权限，返回临

时凭证。A选项创建角色是CreateRole操作。C选项权限转移不符合最小权限原则。D

选项删除角色是DeleteRole操作。知识点：STSAssumeRole是跨账户访问的核心机制。

易错点：误以为AssumeRole会永久改变权限。

3、在跨账户访问配置中，Principal元素应该设置为？

A、当前账户的ARN

B、目标账户的ARN

C、AWS服务名称

D、公网IP地址

【答案】B

【解析】正确答案是B。Principal指定谁可以扮演角色，跨账户场景下应设置为目

标账户的ARN。A选项当前账户ARN会导致权限循环。C选项AWS服务名称用于

2025年AWS认证IAM跨账户访问策略配置专题试卷及解析2

服务角色。D选项IP地址用于条件限制而非主体。知识点：Principal必须明确指定可

信账户。易错点：混淆源账户和目标账户的ARN。

4、在跨账户S3访问中，存储桶策略中必须包含的元素是？

A、Condition

B、Effect

C、Action

D、Resource

【答案】B

【解析】正确答案是B。Effect（Allow/Deny）是策略必需元素。A选项Condition

是可选的。C选项Action必需但不是存储桶策略特有。D选项Resource在存储桶策略

中隐含。知识点：策略基本结构包含Effect、Action、Principal等。易错点：误以为所

有元素都是必需的。

5、在跨账户访问中，临时凭证的默认有效期是？

A、15分钟

B、1小时

C、12小时

D、24小时

【答案】B

【解析】正确答案是B。STS临时凭证默认1小时有效期，可配置最长12小时。A

选项15分钟过短。C选项12小时是最大值。D选项24小时超出限制。知识点：临时

凭证生命周期管理。易错点：混淆默认值和最大值。

6、在跨账户访问配置中，角色信任策略的作用是？

A、定义角色权限

B、指定谁可以扮演角色

C、限制访问时间

D、设置资源标签

【答案】B

【解析】正确答案是B。信任策略（TrustPolicy）定义哪些主体可以扮演角色。A

选项权限由权限策略定义。C选项时间限制在条件中设置。D选项标签用于资源管理。

知识点：角色包含信任策略和权限策略两部分。易错点：混淆信任策略和权限策略的功

能。

7、在跨账户访问中，ExternalId参数的主要作用是？

A、标识资源所有者