2025年AWS认证ECS审计与合规性日志分析专题试卷及解析.pdfVIP

2025年AWS认证ECS审计与合规性日志分析专题试卷及解析1

2025年AWS认证ECS审计与合规性日志分析专题试卷

及解析

2025年AWS认证ECS审计与合规性日志分析专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWS中，用于记录AmazonECS集群和服务的API调用及状态变更的核心

服务是？

A、AWSCloudTrail

B、AmazonCloudWatch

C、AWSConfig

D、AWSXRay

【答案】A

【解析】正确答案是A。AWSCloudTrail专门用于记录AWS账户内的API调用和

管理事件，包括ECS的创建、更新、删除等操作，是审计的核心工具。B选项CloudWatch

主要监控性能指标和日志，不直接记录API调用；C选项Config跟踪资源配置变更历

史，但不如CloudTrail全面；D选项XRay用于应用性能追踪，与审计无关。知识点：

CloudTrail的审计功能。易错点：混淆CloudTrail与Config的记录范围。

2、ECS任务角色（TaskRole）的权限变更事件应通过哪个服务监控？

A、AWSIAMAccessAnalyzer

B、AWSCloudTrail

C、AmazonGuardDuty

D、AWSSecurityHub

【答案】B

【解析】正确答案是B。CloudTrail会记录IAM角色相关的API调用，包括ECS

任务角色的权限变更。A选项AccessAnalyzer用于权限分析但不记录事件；C选项

GuardDuty检测威胁而非权限变更；D选项SecurityHub聚合安全事件但依赖原始日

志。知识点：IAM权限变更的审计源。易错点：误认为IAM变更需专用工具。

3、ECS容器实例的宿主机操作系统日志应如何收集？

A、通过ECS日志驱动直接发送到CloudWatch

B、使用SSMAgent配置日志转发

C、安装CloudWatchAgent

D、默认自动上传到S3

【答案】C

【解析】正确答案是C。CloudWatchAgent是收集宿主机系统日志的标准方式。A

选项仅收集容器内日志；B选项SSMAgent用于管理而非日志收集；D选项需手动配

2025年AWS认证ECS审计与合规性日志分析专题试卷及解析2

置。知识点：宿主机日志收集方法。易错点：混淆容器日志与宿主机日志的收集机制。

4、合规性要求ECS任务必须使用特定IAM角色，应通过哪种工具强制执行？

A、AWSServiceControlPolicies(SCP)

B、IAM条件键(ConditionKeys)

C、AWSConfig规则

D、ECS任务定义参数

【答案】C

【解析】正确答案是C。AWSConfig规则可持续检查ECS任务是否符合IAM角

色要求。A选项SCP限制账户级权限；B选项条件键需在策略中预设；D选项任务定

义无强制校验功能。知识点：合规性自动化检查。易错点：误以为任务定义参数可强制

执行策略。

5、ECS服务部署的回滚事件记录在哪里？

A、CloudWatchEvents

B、CloudTrail事件历史

C、ECS服务事件

D、AWSCodePipeline日志

【答案】C

【解析】正确答案是C。ECS服务事件（如deploymentrollback）记录在服务的事

件流中。A选项CloudWatchEvents需额外配置；B选项CloudTrail不记录部署状态；

D选项CodePipeline仅记录CI/CD流程。知识点：ECS服务事件类型。易错点：混淆

部署事件与API调用日志。

6、检测ECS容器内异常进程的最有效工具是？