2025年AWS认证LocalZonesIAM角色与策略精细化管理专题试卷及解析.pdf

2025年AWS认证LOCALZONESIAM角色与策略精细化管理专题试卷及解析1

2025年AWS认证LocalZonesIAM角色与策略精细化

管理专题试卷及解析

2025年AWS认证LocalZonesIAM角色与策略精细化管理专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSLocalZones中部署应用程序时，以下哪种IAM角色最适合用于EC2

实例访问S3存储桶中的特定资源？

A、AWSLambdaBasicExecutionRole

B、AmazonEC2RoleforSSM

C、自定义IAM角色附加S3访问策略

D、AWSGlueServiceRole

【答案】C

【解析】正确答案是C。LocalZones中的EC2实例需要精细化的S3访问权限，自

定义IAM角色可以精确控制访问范围。A选项用于Lambda执行，B选项用于Systems

Manager，D选项用于Glue服务，均不符合场景需求。知识点：IAM角色最小权限原

则。易错点：容易误选预定义角色而忽略精细化权限需求。

2、当需要限制IAM策略仅在特定LocalZone生效时，应该使用哪个条件键？

A、aws:RequestedRegion

B、aws:SourceVpce

C、aws:RequestedLocalZone

D、aws:SourceIdentity

【答案】A

【解析】正确答案是A。aws:RequestedRegion可以限制资源访问的区域范围，适用

于LocalZones场景。B选项用于VPC端点控制，C选项不存在此条件键，D选项用于

身份标识。知识点：IAM策略条件键使用。易错点：容易混淆区域级和资源级条件键。

3、在LocalZones中配置IAM角色信任策略时，以下哪个服务主体是正确的？

A、

B、

C、

D、

【答案】A

【解析】正确答案是A。EC2实例的信任策略必须使用服务主

体。B、D选项不存在，C选项用于S3服务。知识点：IAM角色信任关系配置。易错

点：容易混淆不同服务的主体标识符。

4、以下哪种IAM策略类型最适合管理LocalZones中的跨区域资源访问？

2025年AWS认证LOCALZONESIAM角色与策略精细化管理专题试卷及解析2

A、基于身份的策略

B、基于资源的策略

C、权限边界

D、服务控制策略

【答案】B

【解析】正确答案是B。基于资源的策略可以精确控制跨区域资源访问权限。A选

项控制身份权限，C选项限制最大权限，D选项用于组织级控制。知识点：IAM策略

类型选择。易错点：容易忽略资源级策略的跨区域能力。

5、在LocalZones中实施最小权限原则时，应该优先使用哪种策略评估模式？

A、允许覆盖

B、拒绝优先

C、显式允许

D、隐式拒绝

【答案】B

【解析】正确答案是B。拒绝优先模式确保安全，符合最小权限原则。A选项不安

全，C选项需要显式配置，D选项是默认行为但不够主动。知识点：IAM策略评估逻

辑。易错点：容易忽略显式拒绝的重要性。

6、当需要临时提升LocalZones中实例的权限时，应该使用哪种机制？

A、修改IAM角色策略

B、使用STSAssumeRole

C、创建新IAM用户

D、直接附加策略

【答案】B

【解析】正确答案是B。STSAssumeRole提供临时权限提升，符合安全最佳实践。

A、D选项权限变更不灵活，C选项不符合最小权限原则。知识点：STS临时凭证使用。

易错点：容易混淆永久权限和临时权限的使用场景。

7、在LocalZones中配置IAM策略时，以下哪个JSON元素用于指定条件？

A、Effect

B、Action

C、Condition

D、Resource