AWS认证之身份验证考题总结

用户和AWS共担责任，提高系统安全性，这称为责任共担模式。另外，在使用AWS的各种服务时提供身份验证和访问控制的AWS服务被称为IAM（Identity and Access Management）。IAM是使用AWS时首先必须理解的服务。

责任共担模式

用户和AWS合作提高系统安全性来保护AWS上的系统不被非法访问。这种模式在AWS中被称为责任共担（共享）模式。
重要
AWS上的系统，用户和AWS都有责任去提高其安全性。
使用的AWS服务不同，用户和AWS之间在系统的各层中分担的责任也不同。例如，像EC2这样的硬件部分都是由AWS来管理基础设施服务的
另一方面，像RDS这种从硬件部分到操作系统和中间件部分都由AWS管理的容器服务
像S3和DynamoDB这样的从硬件部分到软件部分都由AWS管理的集成服务，责任共担模式如图

基础设施服务EC2，除了利用OS的防火墙以外，还需要导入安全软件，用户有责任保护系统不受安全上的威胁。但是，在进行安全测试时，如果进行渗透测试，需要事先向AWS申请，不申请就进行渗透检测的话，属于违反AWS使用规章的行为。

重要考点

关于基础设施服务、容器服务、集成服务等，明确用户的责任范围。

AWS身份验证和访问控制

使用AWS，首先需要创建账户。填写邮箱、密码等登录信息，姓名、地址、电话号码等联系人信息，信用卡等支付信息后获得的12位数字编号（账号）。用填写的邮件地址和密码登录管理控制台，就可以开始使用EC2等各种AWS服务。这个登录邮箱称为根账户，使用根账户可以进行所有的操作。但是，，由于根账户的权限无法控制，为了防止操作失误和密码泄漏，日常操作中不使用根账户，而是在账户内创建用户，使用用户登录进行操作。一个账户内可以创建多个用户。

其他考点

日常操作中，不使用根账户，而是另外创建用户来使用。
AWS内的用户管理和对AWS资源的访问控制的服务被称为AWS Identity and Access Management（以下简称IAM）。取得AWS账户后，首先，在IAM服务中创建组（以下IAM组）和用户（以下IAM用户）。然后，对于每个IAM组和IAM用户，设定是否可以访问AWS的各种资源的权限（IAM策略）。

考试样题答案及解析

1.您在运行一个EC2实例，该实例使用EBS存储其状态，您每天都要创建一张EBS快照，当系统崩溃时，您需要10分钟时间从快照中进行恢复，您的RTO和RPO是怎么样的？
A .RTO 1天，RPO 10 分钟
B .RTO 10分钟，RPO 1天
C .RTO和RPO都是10分钟
D .RTO和RPO都是1天

解析：选择B。RTO是最短停机时间，RPO是最大数据丢失量。

2.Amazon S3对象存储在哪些方面不同于块和文件存储？（选择三项）
A .Amazon S3允许存储无限量的对象
B .对象不可变-即使只想更改一个字节，也需要替换对象
C .跨可用区复制对象
D .跨所有区域复制对象

解析：选择ABC。最后一个选项中，对象跨越单个区域内的可用区复制，而不是跨所有区域复制。

3.以下哪些功能属于Amazon EBS?(选择两项)
A .存储在Amazon EBS上的数据是在可用区中自动复制的
B .Amazon EBS数据会自动备份至磁带
C .Amazon EBS卷可以加密
D .当挂载的实例停止时，Amazon EBS卷中的数据便会丢失

解析：选择AC。最后一个选项说的是实例存储（Instance Storage）