框架设计

一。 AWS精心设计的框架

1.结构完善的框架建议自动化安全最佳实践和对安全事件的响应。   自动化安全最佳实践。 和   对安全事件的响应。

2。架构良好的框架包括四个用于云中安全性的区域：数据保护，基础结构保护，特权管理和缺陷控制。

   什么是架构良好的框架？ 1.数据保护。 2. 基础结构保  3.特权管理  4.缺陷控制。

3.以下哪项可用于检测或识别AWS中的安全漏洞？（选择两个。）        CloudWatch   and   CloudTrail 可以识别安全漏洞

A.CloudWatch
B. CloudFormation
C.CloudTrail     CloudTrail只会提供有关对S3的API调用的信息，而不是单个访问信息
D.值得信赖的顾问。 可以识别潜在的漏洞。无法识别实际的漏洞。

答： CloudWatch和CloudTrail都提供监视和日志记录，两者都可以识别安全漏洞。
    CloudFormation是一种部署机制，Trusted Advisor可以识别潜在漏洞，但不能识别实际漏洞。   


4.AWS的架构良好的框架定义了五个要考虑的安全领域。？云环境下的安全性主要由以下五方面组成？

身份和访问管理（A），侦听控件，基础结构保护，数据保护和事件响应（D）。

5.为了保护您的AWS环境，应始终执行以下哪项操作？（选择两个。）

A.在根帐户上启用MFA。
B.在您的S3存储桶上启用MFA删除。
C.为用户设置密码轮换策略。
D.为所有用户创建自定义IAM角色。

A，C。所有这些选项均有效，
但在所有环境中都应执行两个操作：在根帐户上启用MFA和设置密码轮换策略。
在S3上启用MFA删除是一个好主意，但可能不适用于所有情况。此外，并非所有用户都可能需要IAM角色。例如，有些可以使用默认角色。

6.AWS基础架构在VPC层运行，并且几乎完全是虚拟的。

7. MFA是多重身份验证，它增加了与特权管理相关的保护层。

8. AWS负责物理保护云基础架构。

10. 什么是AWS分担责任模型？  一个模型，该模型定义了AWS保护哪些组件以及您作为AWS客户必须保护哪些组件

11.根据共享责任模型，以下哪一项不是！AWS提供的服务类型之一？

A.基础设施服务
B.托管服务        ！！！！
C.集装箱服务
D.抽象服务

尽管AWS在很多领域使用术语“托管服务”，但在共享责任模型中并未将该术语用作核心服务类型之一。

12.您对以下哪项不负责安全？

A.操作系统
证书
C.虚拟化基础架构。！！！
D.朋友
C. AWS负责虚拟化基础架构的安全性。此列表中的所有其他项目是您的责任。
作为此类问题的提示，并且与AWS分担责任模型有关，AWS通常负责使用“基础架构”一词负责任何事情，尽管有一些例外情况（例如，应用程序基础架构）。

13.四个AWS支持计划是基本计划，开发人员计划，业务计划和企业计划。   支持的四个计划是。基本计划  开发人员计划  业务计划  企业计划。


14.AWS提供了五个标准建议：
   调整服务大小，以最低的成本满足容量需求；
   通过预留节省资金；
   使用现货市场；
   监视和跟踪服务使用；
   以及使用Cost Explorer来优化节省。使用现货市场（C）属于最后一类。





二 AWS Organizations？  组织。  提供了一种组织和管理跨AWS账户的策略的方法。   管理和实施多个 账户的策略。

1.什么是AWS Organizations OU？  AWS Organizations将帐户分组为组织单位（OU），允许对权限和角色进行分组。

2.什么是AWS Organizations SCP？  服务控制政策   可以被应用到组织单元。

   AWS组织的SCP是一个业务控制策略，并且可以被应用到组织单元（OU），以影响该OU内的所有用户。
   它有效地在组织级别上应用权限，就像组在用户级别上应用权限一样。

3.集中控制多个AWS账户中的AWS服务。服务控制策略（SCP）用于跨AWS账户（A）的工作。组织单位（OU）是帐户的分组，并且IAM角色应用于用户和组，而不是跨帐户结构。 
  服务控制策略？

4.SAML 2.0和Web身份都提供了与现有组织身份提供者一起工作的方法。

5.作为AWS总体拥有成本方法的一部分，减少了以下哪些内容？

A.开发人员薪水
B. DevOps薪金
C.资本支出
D.组织人数
问题未回答

C. AWS减少了大笔资本支出的需求，并提供了一种即用即付的模式。


三 Trusted Advisor？

1.共有五种核心的Trusted Adviser检查：成本优化，安全性，容错，性能和服务限制。   
  成本优化，安全性，容错，性能，服务限制。

2.AWSTrusted Advisor提供的建议通常在所有环境中都适用于所有用例。
  打开MFA为根帐户。
  关闭对S3存储桶的全局访问。
  
 3.AWS Trusted Advisor是一种在线资源，可帮助您降低成本并提高性能和安全性。
 
 4.AWS Trusted Advisor提出有关S3存储桶使用，IAM使用和快照（包括EBS和RDS）的建议， 



四  责任分担模型

1.AWS需要负责保护运行所有AWS云服务的基础架构，包括基础架构内的所有硬件、软件、网络和设备。同时也包括了区域、可用区和边缘节点。

2.客户需要负责自己所使用的EC2实例在操作系统层面已经打好了补丁，配置好了相应的安全组和端口、VPC和S3都使用了ACL进行访问控制、
  IAM已经做好了MFA（Multi-Fator Authentication，多因素认证）并且对相关人员的权限控制已经做好了相应的规划、
  保证使用了数据加密、保证在OS上安装的应用程序没有漏洞已经是最安全的配置、保证RDS配置了相应的安全组和子网等等……