2025年AWS认证Amplify合规性要求（如GDPR,HIPAA）应对策略专题试卷及解析.pdfVIP

2025年AWS认证AMPLIFY合规性要求（如GDPR,HIPAA）应对策略专题试卷及解析1

2025年AWS认证Amplify合规性要求（如

GDPR,HIPAA）应对策略专题试卷及解析

2025年AWS认证Amplify合规性要求（如GDPR,HIPAA）应对策略专题试卷及

解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSAmplify中，为确保符合GDPR要求，当处理欧盟用户数据时，应该

采取哪种数据存储策略？

A、将所有数据存储在美国东部区域

B、将数据存储在用户所在区域的AWS数据中心

C、将数据存储在成本最低的区域

D、将数据随机分配到全球各个AWS区域

【答案】B

【解析】正确答案是B。GDPR要求数据主体（欧盟公民）的个人数据应当受到充

分保护，包括数据本地化要求。AWSAmplify允许开发人员选择数据存储区域，因此

应当将欧盟用户数据存储在欧盟境内的AWS数据中心。选项A不符合GDPR的数据

本地化要求；选项C仅考虑成本而忽视合规性；选项D的数据随机分配方式无法确保

符合GDPR的合规要求。知识点：GDPR数据本地化要求、AWS区域选择。易错点：

可能忽视GDPR对数据存储地理位置的严格要求。

2、在AWSAmplify应用中实施HIPAA合规性时，以下哪项是必须配置的安全控

制措施？

A、启用多因素认证(MFA)访问控制台

B、使用AWSKMS加密所有静态数据

C、与AWS签署商业associates协议(BAA)

D、以上都是

【答案】D

【解析】正确答案是D。HIPAA合规性要求多层次的防护措施。选项A的MFA是

访问控制的基本要求；选项B的数据加密是保护电子受保护健康信息(ePHI)的必要措

施；选项C的BAA协议是AWS处理受保护健康信息的法律前提。缺少任何一项都无

法满足HIPAA合规要求。知识点：HIPAA安全规则、AWS合规控制。易错点：可能

低估HIPAA合规的全面性要求，认为单一措施即可满足合规。

3、当使用AWSAmplify构建需要符合GDPR的应用时，关于数据主体权利(如

访问权、删除权)的实现，以下哪种方法最合适？

A、在应用中实现手动数据导出和删除功能

B、利用AWSAmplify的GraphQLAPI配合DynamoDB自动处理数据主体请求

2025年AWS认证AMPLIFY合规性要求（如GDPR,HIPAA）应对策略专题试卷及解析2

C、仅依赖AWS的自动数据保留策略

D、告知用户无法满足其数据主体权利请求

【答案】B

【解析】正确答案是B。GDPR要求数据控制者能够响应数据主体的访问、删除等

权利请求。AWSAmplify的GraphQLAPI可以精确查询和操作DynamoDB中的数据，

实现数据主体权利的自动化处理。选项A的手动方法效率低下且容易出错；选项C的

自动保留策略通常不能满足GDPR的特定要求；选项D直接违反GDPR规定。知识

点：GDPR数据主体权利、AWSAmplify数据操作。易错点：可能低估GDPR对数据

主体权利响应的技术实现要求。

4、在AWSAmplify应用中处理HIPAA合规的受保护健康信息(PHI)时，以下哪

种传输方式最安全？

A、HTTP明文传输

B、HTTPS加密传输

C、WebSocket连接

D、FTP传输

【答案】B

【解析】正确答案是B。HIPAA安全规则要求在传输过程中保护ePHI的机密性、

完整性和可用性。HTTPS提供端到端加密，是传输敏感医疗数据的标准方式。选项A

的HTTP明文传输完全不符合HIPAA要求；选项C的WebSocket本身不保证加密；

选项D的FTP不是安全传输协议。知识点：HIPAA传输安全、AWSAmplify安全通

信。易错点：可能忽视传输层安全对HIPAA合规的重要性。

5、AWSAmplify如何帮助开发人员满足GDPR的”设计即隐私”(PrivacybyDesign)

原则？

A、提供内置的数据加密功能

B、