阿裡雲 ACP 雲安全 題庫 -- RAM & MFA

• ​​1. 文檔​​
• ​​2. RAM 通路控制 題庫​​
• ​​3. MFA 多因素認證​​

1. 文檔

​​通路控制（RAM）是阿裡雲提供的管理使用者身份與資源通路權限的服務​​

2. RAM 通路控制 題庫

1. 假設Bucket myphotos為私有讀寫權限，RAM子使用者有且隻有如下政策：

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "oss:*",
            "Resource": [
                "acs:oss:*:*:myphotos",
                "acs:oss:*:*:myphotos/*"
            ]
         }
    ]
}      

以下哪項描述是錯誤的？

• A. 該子使用者可以使用OSS 用戶端對Bucket myphotos進行讀寫操作
• B. 該子使用者可以使用OSS CMD對Bucket myphotos下的目錄myphotos/2018進行讀寫操作
• C. 該子使用者可以使用OSS 用戶端對Bucket myphotos下的目錄myphotos/2018/hangzhou進行讀寫操作
• D.該子使用者可以使用OSS控制台列出Bucket，并選擇myphotos進行讀寫操作

D

• ​​RAM Policy常見示例​​ 以下示例為授權RAM使用者對名為myphotos的Bucket擁有完全控制的權限

1. RAM (Resource Access Management) 是阿裡雲為客戶提供的 使用者身份管理 與 資源通路控制 服務,以下對RAM的表述正确的是__________.

• A.RAM 支援兩種不同的使用者身份類型,其中RAM-User 是一種實體身份，代表确定的人或應用程式
• B. RAM-Role 是一種虛拟身份，有确定的身份 ID，也有确定的身份認證密鑰
• C. 一個 RAM-Role可以與多種實體身份關聯，但隻能與同一雲賬号下的 RAM-User 關聯
• D. 同一RAM使用者隻能被授予一個授權政策

正确答案： A

1. 以下關于RAM權限管理的描述，錯誤的是________。

   A.RAM建立的任何實體（使用者，角色，使用者組）預設允許通路資源

   B.一個RAM權限政策既可以用于允許通路，也可以用來禁止通路

   C.RAM實體（使用者，角色，組）隻有在綁定了權限政策後，才擁有權限

   D.一個RAM權限政策可以規定，在哪些條件下能通路資源，在哪些條件下不能通路資源

【參考答案】A

【參考解析】題目問的是錯誤的選項，RAM建立的任何實體，預設是不允許通路資源，需要授權後才可以通路。

1. 在阿裡雲上，哪個産品可以滿足客戶使用者身份管理的需求，如：子賬号建立、修改、授權等?

   A.安全組

   B.安騎士

   C.通路控制RAM

   D.态勢感覺

【參考答案】C

【參考解析】

1. 關于RAM通路控制的SSO功能，以下描述錯誤的是________。

   A.RAM通路控制的SSO功能是基于SAML2.0協定的

   B.SSO功能中IdP指的是身份提供商，SP指的是服務提供方，阿裡雲在其中為IdP

   C.在RAM的SSO功能中能夠實作用企業自有賬号體系的使用者身份登入阿裡雲

   D.在SSO功能中，企業使用者不需要再管理阿裡雲RAM使用者登入身份和密碼

【參考答案】B

【參考解析】題目問的是錯誤的選項，SP指的是服務提供方沒錯，但是IdP指的是身份提供商提供身份管理服務， 阿裡雲在其中提供的是SSO功能。在內建了阿裡雲的SSO功能以後，阿裡雲的企業使用者隻需要管理原來接入SSO協定的企業自有的身份系統的使用者名和密碼，無需再管理阿裡雲RAM使用者登入身份和密碼。,

1. 從安全角度考量，以下________行為是恰當的。

   A.為雲賬号建立 AccessKeys，用它來通路所有資源

   B.為 ECS 虛拟機部署明文資料密鑰且不使用虛拟機快照，以避免洩漏AccessKeys

   C.為 ECS 虛拟機部署明文資料密鑰且不使用虛拟機快照，以避免洩漏AccessKeys

   D.适當的情況下，在權限政策中添加源 IP限制

【參考答案】D

【參考解析】題目問的是恰當的行為的選項，

• ”為雲賬号建立 AccessKeys，用它來通路所有資源”的通路所有資源是錯誤的，
• ”對于不同的項目建立不同的 RAM 使用者,并為每個 RAM 使用者配置設定相應的權限”為不同項目建立不同的RAM賬戶是沒必要的，正确的做法是在建立項目了以後給特定的使用者賦予權限即可。
• ”不使用虛拟機快照”可能會導緻ECS資料無法復原。
• 在某些特定的情況下（必須RAM使用者授權其他使用者權限），在權限政策中添加源IP限制還是有必要的。即使 RAM 使用者的登入密碼或 AccessKey 洩露，隻要攻擊者沒有滲透進入您的可信網絡，就無法進行攻擊。

1. 阿裡雲RAM的子使用者支援多種安全政策，其中不包括___________。

   A.允許自主管理密碼

   B.允許自主管理AccessKey

   C.允許自主管理多因素裝置

   D.允許自主指定可登入的裝置

【參考答案】D

【參考解析】298.RAM使用者安全政策包括:

1. 儲存MFA登入狀态7天;
2. 自主管理密碼:表示是否允許RAM使用者修改密碼;
3. 自主管理AccessKey;
4. 自主管理多因素裝置;
5. 登入session過期時間;

6. 登入掩碼設定。

   不包含: "允許自主指定可登入的裝置"。,

1. RAM使用者先被授予了ECS的fullaccess權限，後又被授予了ECS禁止CreateInstance的權限，則後一個權限不生效。

【參考答案】F

【參考解析】617.權限政策支援Allow (允許)和Deny (禁止)兩種授權類型，當同時出現Allow和Deny授權時，遵循Deny優先原則。是以被授予了ECS禁止Createlnstance的權限後，禁止權限是生效的。

1. 以下關于RAM角色身份的使用方式正确的有________。(正确答案的數量：3個)

   A.雲賬号A建立受信實體為雲賬号的RAM角色，指定受信賬号為雲賬号B，則B号可以直接跨賬号通路雲賬号A的資源

   B.建立受信實體為雲賬号的RAM角色，且受信雲賬号為目前賬号，則目前賬号下的使用者可以被授權扮演該角色，并臨時獲得角色的權限

   C.使用者可以同時扮演多個角色，獲得多個角色的權限總和

   D.RAM角色是一種虛拟使用者，沒有确定的身份認證密鑰，需要被一個受信的實體使用者扮演才能正常使用

   E.受信實體為雲服務的RAM角色，主要用于授權雲服務代理您進行資源操作

【參考答案】BDE

【參考解析】477.題目問的是正确的實驗方式，A建立受信實體為雲賬号的RAM角色，指定受信賬号為雲賬号B,此時賬号B并沒有足夠權限可以跨賬号去通路賬号A的資源。

每個使用者目前隻能扮演一種角色，不支援擁有多個角色的權限總和。,

1. 以下________是RAM通路控制提供的能力。(正确答案的數量: 3個)

   A.支援細粒度的精細權限，可以在資源級、操作級向使用者授予通路權限

   B.可以使用多種方式來控制使用者的通路權限: RAM控制台(圖形界面)、RAM服務API (程式設計方式)或aliyuncli

   C.可以使用多種方式來控制使用者的通路權限: RAM控制台(圖形界面)、RAM服務API (程式設計方式)或aliyuncli (指令行界面)

   D.可以直接為其他雲賬号授予權限政策，來實作跨賬号的資源通路，由其他雲賬号直接管理資源

   E.RAM使用者建立完成後，初始化狀态即獲得最大權限，通過政策管理來控制權限

   F.使用RAM提供的身份聯合能力，通過将企業本地身份系統與RAM內建，實作單點登入(SSO)

【參考答案】ABE

【參考解析】504.RAM初始化狀态後未經授權不能擷取最大權限。RAM暫不支援對其他雲賬戶的授權，隻支援對子賬号的授權。,

1. 從安全角度考量，以下________行為是恰當的。(正确答案的數量: 4個)

   A.為RAM使用者和雲賬号設定MFA裝置以及密碼政策來增強認證安全

   B.為代表應用程式的RAM使用者定期輪換AccessKeys

   C.所有通路必須遵守最小權限原則，即使用者和應用程式在執行工作時根據需要配置設定最低的權限

   D.如果公司隻有幾個員工并且他們是好朋友，可以将雲賬号憑證分享給公司所有員工

   E.不要為個人使用的RAM使用者建立AccessKeys,也不要為應用程式啟用密碼登入

   F.公司主管有最高的權限，使用雲賬号進行管理操作

【參考答案】ABCE

【參考解析】488.題目問的是行為恰當的選項，雲賬号憑證不可以任意分享。同時應用程式應該通過配置設定不用使用者的權限的建立賬号通過RAM登入，不應該直接啟用密碼登入。公司主管也應該建立相應的權限政策的賬号來進行管理操作，而不是使用主賬号操作。,

1. 阿裡雲平台的主賬号相當于您的所有雲資源管控的 root 賬号。一旦主賬号的登入密碼或 API 通路密鑰丢失或洩露，将會對您的企業造成不可估量的損失。阿裡雲為客戶推薦了若幹條安全實踐的原則，其中不包括_________。

   A.不要為主賬号建立 AccessKey

   B.使用帶IP限制條件的授權政策進行授權

   C.使用帶MFA限制條件的授權政策進行授權

   D.除日常運維管理操作外，不要使用主賬号進行登入

【參考答案】D

【參考解析】

1. RAM子使用者有且隻有如下政策:

{"Statement":
  [{
    "Action""rds:*",
    "Effect":" Allow",
    "Resource":[
      "acs:rds:*:*:dbinstance/i-001",
      "acs:rds:*.*:dbinstance/i-002"
      ]
    },
  {
    "Action":" rds:Describe*",
    "Effect":" Allow",
    "Resource":"*"
    }
  ],
  "Version":"1"
}      

以下()描述是錯誤的。

A.該子使用者可以管理兩台RDS執行個體

B.該子使用者可以看到所有RDS執行個體

C.可管理的RDS實驗中若有包年包月執行個體，該子使用者可以為執行個體續費

D.可管理的RDS實驗中若有按最付費執行個體，該子使用者可以釋放執行個體

D

• ​​首頁 > 雲資料庫 RDS > API 參考 > RAM資源授權​​
• ​​RAM授權通路RDS執行個體​​
• ​​權限政策基本元素​​
• ​​首頁 > 雲資料庫 RDS > API 參考 > API概覽 ​​

RenewInstance 手動續費RDS執行個體。

DeleteDBInstance 釋放RDS執行個體。

$dbinstanceid 執行個體的名稱，可以用*代替。

1. 以下_________是授權政策Policy包含的基本元素中必須指定的元素。（正确答案的數量：4個）

   A.效力（effect）

   B.操作（Action）

   C.資源（Resource）

   D.限制條件（Condition）

【參考答案】ABCD

【參考解析】

1. 從安全角度考量，以下________行為是恰當的。

   A.為雲賬号建立 AccessKeys，用它來通路所有資源

   B.為 ECS 虛拟機部署明文資料密鑰且不使用虛拟機快照，以避免洩漏AccessKeys

   C.為 ECS 虛拟機部署明文資料密鑰且不使用虛拟機快照，以避免洩漏AccessKeys

   D.适當的情況下，在權限政策中添加源 IP限制

3. MFA 多因素認證

1. Multi-Factor Authentication(MFA)一種簡單有效的最佳安全實踐方法，它能夠在使用者名和密碼之外再額外增加一層安全保護。啟用MFA後，使用者登入阿裡雲網站時，系統将要求輸入使用者名和密碼(第一安全要素),然後要求輸入來自其MFA裝置的可變驗證碼(第二安全要素),雙因素的安全認證将為您的賬戶提供更高的安全保護。阿裡雲官網支援的MFA裝置是哪種類型的？

   A.硬體MFA裝置

   B.軟體MFA裝置

   C.軟硬一體MFA裝置

   D.以上都不是