天天看点
返回

阿里云 ACP 云安全 题库 -- RAM & MFA

  • ​​1. 文档​​
  • ​​2. RAM 访问控制 题库​​
  • ​​3. MFA 多因素认证​​

1. 文档

​​访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务​​

阿里云 ACP 云安全 题库 -- RAM & MFA
阿里云 ACP 云安全 题库 -- RAM & MFA
阿里云 ACP 云安全 题库 -- RAM & MFA

2. RAM 访问控制 题库

  1. 假设Bucket myphotos为私有读写权限,RAM子用户有且只有如下策略: 
{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "oss:*",
            "Resource": [
                "acs:oss:*:*:myphotos",
                "acs:oss:*:*:myphotos/*"
            ]
         }
    ]
}

以下哪项描述是错误的?

  • A. 该子用户可以使用OSS 客户端对Bucket myphotos进行读写操作
  • B. 该子用户可以使用OSS CMD对Bucket myphotos下的目录myphotos/2018进行读写操作
  • C. 该子用户可以使用OSS 客户端对Bucket myphotos下的目录myphotos/2018/hangzhou进行读写操作
  • D.该子用户可以使用OSS控制台列出Bucket,并选择myphotos进行读写操作
D
  • ​​RAM Policy常见示例​​ 以下示例为授权RAM用户对名为myphotos的Bucket拥有完全控制的权限
  1. RAM (Resource Access Management) 是阿里云为客户提供的 用户身份管理 与 资源访问控制 服务,以下对RAM的表述正确的是__________.
  • A.RAM 支持两种不同的用户身份类型,其中RAM-User 是一种实体身份,代表确定的人或应用程序
  • B. RAM-Role 是一种虚拟身份,有确定的身份 ID,也有确定的身份认证密钥
  • C. 一个 RAM-Role可以与多种实体身份关联,但只能与同一云账号下的 RAM-User 关联
  • D. 同一RAM用户只能被授予一个授权策略
正确答案: A
阿里云 ACP 云安全 题库 -- RAM & MFA

  1. 以下关于RAM权限管理的描述,错误的是________。

    A.RAM创建的任何实体(用户,角色,用户组)默认允许访问资源

    B.一个RAM权限策略既可以用于允许访问,也可以用来禁止访问

    C.RAM实体(用户,角色,组)只有在绑定了权限策略后,才拥有权限

    D.一个RAM权限策略可以规定,在哪些条件下能访问资源,在哪些条件下不能访问资源

【参考答案】A

【参考解析】题目问的是错误的选项,RAM创建的任何实体,默认是不允许访问资源,需要授权后才可以访问。

  1. 在阿里云上,哪个产品可以满足客户用户身份管理的需求,如:子账号创建、修改、授权等?

    A.安全组

    B.安骑士

    C.访问控制RAM

    D.态势感知

【参考答案】C

【参考解析】

  1. 关于RAM访问控制的SSO功能,以下描述错误的是________。

    A.RAM访问控制的SSO功能是基于SAML2.0协议的

    B.SSO功能中IdP指的是身份提供商,SP指的是服务提供方,阿里云在其中为IdP

    C.在RAM的SSO功能中能够实现用企业自有账号体系的用户身份登录阿里云

    D.在SSO功能中,企业用户不需要再管理阿里云RAM用户登录身份和密码

【参考答案】B

【参考解析】题目问的是错误的选项,SP指的是服务提供方没错,但是IdP指的是身份提供商提供身份管理服务, 阿里云在其中提供的是SSO功能。在集成了阿里云的SSO功能以后,阿里云的企业用户只需要管理原来接入SSO协议的企业自有的身份系统的用户名和密码,无需再管理阿里云RAM用户登录身份和密码。,

  1. 从安全角度考量,以下________行为是恰当的。

    A.为云账号创建 AccessKeys,用它来访问所有资源

    B.为 ECS 虚拟机部署明文数据密钥且不使用虚拟机快照,以避免泄漏AccessKeys

    C.为 ECS 虚拟机部署明文数据密钥且不使用虚拟机快照,以避免泄漏AccessKeys

    D.适当的情况下,在权限策略中添加源 IP限制

【参考答案】D

【参考解析】题目问的是恰当的行为的选项,

  • ”为云账号创建 AccessKeys,用它来访问所有资源”的访问所有资源是错误的,
  • ”对于不同的项目创建不同的 RAM 用户,并为每个 RAM 用户分配相应的权限”为不同项目创建不同的RAM账户是没必要的,正确的做法是在创建项目了以后给特定的用户赋予权限即可。
  • ”不使用虚拟机快照”可能会导致ECS数据无法回滚。
  • 在某些特定的情况下(必须RAM用户授权其他用户权限),在权限策略中添加源IP限制还是有必要的。即使 RAM 用户的登录密码或 AccessKey 泄露,只要攻击者没有渗透进入您的可信网络,就无法进行攻击。

  1. 阿里云RAM的子用户支持多种安全策略,其中不包括___________。

    A.允许自主管理密码

    B.允许自主管理AccessKey

    C.允许自主管理多因素设备

    D.允许自主指定可登录的设备

【参考答案】D

【参考解析】298.RAM用户安全策略包括:

  1. 保存MFA登录状态7天;
  2. 自主管理密码:表示是否允许RAM用户修改密码;
  3. 自主管理AccessKey;
  4. 自主管理多因素设备;
  5. 登录session过期时间;

  6. 登录掩码设置。

    不包含: "允许自主指定可登录的设备"。,

  1. RAM用户先被授予了ECS的fullaccess权限,后又被授予了ECS禁止CreateInstance的权限,则后一个权限不生效。

【参考答案】F

【参考解析】617.权限策略支持Allow (允许)和Deny (禁止)两种授权类型,当同时出现Allow和Deny授权时,遵循Deny优先原则。所以被授予了ECS禁止Createlnstance的权限后,禁止权限是生效的。

  1. 以下关于RAM角色身份的使用方式正确的有________。(正确答案的数量:3个)

    A.云账号A创建受信实体为云账号的RAM角色,指定受信账号为云账号B,则B号可以直接跨账号访问云账号A的资源

    B.创建受信实体为云账号的RAM角色,且受信云账号为当前账号,则当前账号下的用户可以被授权扮演该角色,并临时获得角色的权限

    C.用户可以同时扮演多个角色,获得多个角色的权限总和

    D.RAM角色是一种虚拟用户,没有确定的身份认证密钥,需要被一个受信的实体用户扮演才能正常使用

    E.受信实体为云服务的RAM角色,主要用于授权云服务代理您进行资源操作

【参考答案】BDE

【参考解析】477.题目问的是正确的实验方式,A创建受信实体为云账号的RAM角色,指定受信账号为云账号B,此时账号B并没有足够权限可以跨账号去访问账号A的资源。

每个用户目前只能扮演一种角色,不支持拥有多个角色的权限总和。,

  1. 以下________是RAM访问控制提供的能力。(正确答案的数量: 3个)

    A.支持细粒度的精细权限,可以在资源级、操作级向用户授予访问权限

    B.可以使用多种方式来控制用户的访问权限: RAM控制台(图形界面)、RAM服务API (编程方式)或aliyuncli

    C.可以使用多种方式来控制用户的访问权限: RAM控制台(图形界面)、RAM服务API (编程方式)或aliyuncli (命令行界面)

    D.可以直接为其他云账号授予权限策略,来实现跨账号的资源访问,由其他云账号直接管理资源

    E.RAM用户创建完成后,初始化状态即获得最大权限,通过策略管理来控制权限

    F.使用RAM提供的身份联合能力,通过将企业本地身份系统与RAM集成,实现单点登录(SSO)

【参考答案】ABE

【参考解析】504.RAM初始化状态后未经授权不能获取最大权限。RAM暂不支持对其他云账户的授权,只支持对子账号的授权。,

  1. 从安全角度考量,以下________行为是恰当的。(正确答案的数量: 4个)

    A.为RAM用户和云账号设置MFA设备以及密码策略来增强认证安全

    B.为代表应用程序的RAM用户定期轮换AccessKeys

    C.所有访问必须遵守最小权限原则,即用户和应用程序在执行工作时根据需要分配最低的权限

    D.如果公司只有几个员工并且他们是好朋友,可以将云账号凭证分享给公司所有员工

    E.不要为个人使用的RAM用户创建AccessKeys,也不要为应用程序启用密码登录

    F.公司主管有最高的权限,使用云账号进行管理操作

【参考答案】ABCE

【参考解析】488.题目问的是行为恰当的选项,云账号凭证不可以任意分享。同时应用程序应该通过分配不用用户的权限的创建账号通过RAM登录,不应该直接启用密码登录。公司主管也应该创建相应的权限策略的账号来进行管理操作,而不是使用主账号操作。,

  1. 阿里云平台的主账号相当于您的所有云资源管控的 root 账号。一旦主账号的登录密码或 API 访问密钥丢失或泄露,将会对您的企业造成不可估量的损失。阿里云为客户推荐了若干条安全实践的原则,其中不包括_________。

    A.不要为主账号创建 AccessKey

    B.使用带IP限制条件的授权策略进行授权

    C.使用带MFA限制条件的授权策略进行授权

    D.除日常运维管理操作外,不要使用主账号进行登录

【参考答案】D

【参考解析】

  1. RAM子用户有且只有如下策略: 
{"Statement":
  [{
    "Action""rds:*",
    "Effect":" Allow",
    "Resource":[
      "acs:rds:*:*:dbinstance/i-001",
      "acs:rds:*.*:dbinstance/i-002"
      ]
    },
  {
    "Action":" rds:Describe*",
    "Effect":" Allow",
    "Resource":"*"
    }
  ],
  "Version":"1"
}

以下()描述是错误的。

A.该子用户可以管理两台RDS实例

B.该子用户可以看到所有RDS实例

C.可管理的RDS实验中若有包年包月实例,该子用户可以为实例续费

D.可管理的RDS实验中若有按最付费实例,该子用户可以释放实例

D
  • ​​首页 > 云数据库 RDS > API 参考 > RAM资源授权​​
  • ​​RAM授权访问RDS实例​​
  • ​​权限策略基本元素​​
  • ​​首页 > 云数据库 RDS > API 参考 > API概览 ​​

RenewInstance 手动续费RDS实例。

DeleteDBInstance 释放RDS实例。

$dbinstanceid 实例的名称,可以用*代替。

  1. 以下_________是授权策略Policy包含的基本元素中必须指定的元素。(正确答案的数量:4个)

    A.效力(effect)

    B.操作(Action)

    C.资源(Resource)

    D.限制条件(Condition)

【参考答案】ABCD

【参考解析】

  1. 从安全角度考量,以下________行为是恰当的。

    A.为云账号创建 AccessKeys,用它来访问所有资源

    B.为 ECS 虚拟机部署明文数据密钥且不使用虚拟机快照,以避免泄漏AccessKeys

    C.为 ECS 虚拟机部署明文数据密钥且不使用虚拟机快照,以避免泄漏AccessKeys

    D.适当的情况下,在权限策略中添加源 IP限制

3. MFA 多因素认证

  1. Multi-Factor Authentication(MFA)一种简单有效的最佳安全实践方法,它能够在用户名和密码之外再额外增加一层安全保护。启用MFA后,用户登录阿里云网站时,系统将要求输入用户名和密码(第一安全要素),然后要求输入来自其MFA设备的可变验证码(第二安全要素),双因素的安全认证将为您的账户提供更高的安全保护。阿里云官网支持的MFA设备是哪种类型的?

    A.硬件MFA设备

    B.软件MFA设备

    C.软硬一体MFA设备

    D.以上都不是

阿里云 云安全 访问控制 数据
上一篇: JDBC小结:ORM对象关系映射
下一篇: 安装linux虚拟机并配置nat模式的网络虚拟机中安装CentOS一、下载并安装VMware?二、在虚拟机上安装CentOS7三、为虚拟机配置网络总结

继续阅读