AWS云框架 6-8知识测验答案

模块六 知识测验

哪个定义描述了Virtual Private Cloud (VPC)?

答：您在Aws云中定义的逻辑隔离虚拟网络

哪些操作是设计Virtual Private Cloud (VPC)的最佳实践？ (请选择三项。)

答:在所有可用区中平均划分VPC网络范围。

为具有唯-路由要求的每组主机的每个可用区创建一个子网。

预留一些地址空间供将来使用。

一家公司希望通过使用两个EC2实例和一个负载均衡器来运行高度可用的Web层。哪种设计有效并提供最高的可用性？

答：两个不同的子网，每个可用区一个子网。每个子网包含一个EC2实例。

一家公司的VPC具有CIDR块172.16.0.0/21(2048个地址)。它具有两个子网(A和B)。每个子网现在必须支持100个可用地址，但是这个数字很快有望增加到254个可用地址。哪种子网寻址方案符合要求并遵循AWs最佳实践？

答：子网A:172.16.0.0/23(512个地址) 子网B:172.16.2.0/23(512个地址)

哪种操作组合可以为Virtual Private Cloud (VPC)中的IPv4主机提供直接互联网访问？(请选择三项。)

答：将主机配置为具有或获取可在互联网上路由的地址

为0.0.0.0/0创建指向互联网网关的路由

配置安全组和网络访问控制列表(网络ACL)以允许互联网流量

一组顾问要求每周连续3天从互联网访问EC2实例。该实例将在一周的其余时间关闭。Virtual Private Cloud (VPC)具有互联网访问权限。您应该如何为实例分配IPv4地址以便向顾问提供访问权限？

答：将弹性IP地址与EC2实例相关联

多个EC2实例在具有互联网访问权限的Virtual Private Cloud (VPC)中启动。这些实例不应从互联网访问，但它们必须能够从互联网下载更新。实例应该如何启动？

答：在具有通往网络地址转换(NAT)网关的默认路由的子网中，不使用公有IP地址

您正在配置堡垒主机以访问Virtual Private Cloud(VPC)中的EC2实例。您必须对安全组做什么？(请选择两项。)

答：向堡垒主机添加规则以允许来自源IP地址的流量。

向私有子网EC2实例添加规则以允许来自堡垒主机安全组的流量。

您有一个具有公有子网和安全子网的Virtual Private Cloud(VPC)。安全子网中的所有EC2实例都必须能够与特定互联网地址进行通信。如何使用网络访问控制列表(网络ACL)控制流量？

答：向子网自定义网络ACL添加规则，以允许流量进出允许的互联网地址。

子网中的所有EC2实例都可以与互联网上的特定IPv4网络进行通信。您应该如何修改安全组或当前自定义网络访问控制列表(网络ACL),以拒绝进出该网络中多个受限地址的流量？

答：在网络ACL中，拒绝进出受限地址的流量。

模块七 知识测验

什么是AWS Site-to-Site VPN?

答：使用IPsec在Virtual Private Cloud (VPC)和本地网络之间提供连接的解决方案

AWS Direct Connect提供什么？

答：从本地网络到使用802.1q的AwS 的专用网络连接

一家公司有两个Virtual Private Cloud (VPC)。VPCA的无类域间路由(CIDR)块为10.1.0.0/16.VPCB的CIDR块为10.2.0.0/16.两个VPC都属于同一个Amazon Web Services(AWS)账户。连接两个VPC以便它们可以在相互之间路由所有流量的最简单方法是什么？

答：VPC对等连接

一家公司正在实施将本地系统备份到Amazon Web Services(AWS)的系统。哪种网络连接方法将提供性能最稳定的解决方案？

答：AWS Direct Connect

Virtual Private Cloud (VPC)安全子网中的系统必须访问Amazon SimpleStorage Service (Amazon S3)中的存储桶。哪种解决方案阻止流量通过互联网？

答：为Amazon S3创建VPC网关终端节点

一家公司有三个Virtual Private Cloud (VPC)。VPCA、B和C具有不重叠的无类域间路由(CIDR)块。A和 C都与B具有独立的VPcC对等连接。但是，A无法与C通信。在A和C之间实现全面通信的最简单、最经济高效的方法是什么？

答：在A和C之间添加对等连接，然后通过对等连接路由A和C之间的流量。

由于发生了自然灾害，一家公司将二级数据中心迁移到具有互联网连接的临时设施。它需要与公司Virtual Private Cloud (VPC)建立安全连接，该连接必须尽快运行。数据中心将在2周后再次迁移。哪个选项符合该要求？

答：AWS Site-to-Site VPN

将100个Virtual Private Cloud (VPC)连接在一起的最简单方法是什么？

答：将VPC连接到AWS Transit Gateway

公司的安全管理员要求特定子网中的EC2实例必须通过VPC终端节点连接到Amazon DynamoDB.该公司的网络标准要求基础设施支持高可用性。哪项操作符合这些架构要求而无需添加另一个子网？

答：将单个VPC终端节点与子网关联

一家公司在其本地网络和Virtual Private Cloud (VPC)之间使用单个AWS Direct Connect连接。他们希望通过添加备份连接来确保网络连接具有高度可用性。哪种网络连接方法为备份连接提供了最具成本效益的解决方案？

答：跨互联网的按需AwS Site-to-Site VPN连接

模块八 知识测验

下列哪种说法描述了AWS ldentity and Access Management (IAM)用户？

答：账户的海个IAM用户都必须具有唯一的名称。

如何向一个账户中的多个用户授予相同级别的权限？

答：将AwS Identity and Access Management (IAM)策略应用于IAM组。

下列哪种说法描述了AWS Identity and Access Management (1IAM)角色？ (请选择两项。)

答：它们可以由个人、应用程序和服务担任。

它们提供临时安全凭证。

下列哪种说法描述了基于资源的策略？

答：它始终是一项内联策略。

AWS ldentity and Access Management(IAM)如何评估策略？

答：在检查显式允许语句之前，它会检查显式拒绝语句。

开发人员团队需要在9个月内访问Virtual PrivateCloud (VPC)中的多项服务和资源。如何使用AWS ldentity and Access Management (IAM)为他们启用访问权限？

答：为每个开发人员创建个IAM用户，将他们全部放入一个1IAM组，然后将所需的IAM策略附加到IAM组。

联合身份如何提高在Amazon Web Services (AWS)中构建的应用程序的安全性？

答：用户可以使用单点登录(SSO)通过现有的经过身份验证的身份访问应用程序。

您可以使用哪些服务为在Amazon Web Services(AWS)中构建的应用程序启用联合身份？(请选择两项。)

答：AWS Security Token Service(AWS STS)

Amazon Cognito

哪项服务可以帮助您集中管理账单；控制访问权限、合规性和安全性；以及在您的多个Amazon Web Services (AWS)账户中共享资源？

答：AWS ldentity and Access Management (IAM) 

一家科技公司的员工通过AWS ldentity and Access Management (IAM)用户登录到他们的Amazon Web Services(AWS)账户。他们具有管理员访问权限，并且可以访问根用户。哪种资源可以阻止他们删除AWSCloud Trail 日志？

答：附加到组织部门(OU)的服务控制策略(SCP)