2025年AWS认证KMS基于资源的授权与跨账户访问专题试卷及解析.pdfVIP

2025年AWS认证KMS基于资源的授权与跨账户访问专题试卷及解析1

2025年AWS认证KMS基于资源的授权与跨账户访问专

题试卷及解析

2025年AWS认证KMS基于资源的授权与跨账户访问专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、某公司需要允许另一个AWS账户中的特定IAM角色使用其KMS密钥进行加

密操作，应如何配置？

A、在密钥策略中添加外部账户的ARN

B、在密钥策略中添加特定IAM角色的ARN

C、使用IAM策略授权外部账户访问

D、共享密钥的ARN给外部账户

【答案】B

【解析】正确答案是B。KMS基于资源的授权主要通过密钥策略实现，直接指定

IAM角色ARN是最精确的授权方式。A选项过于宽泛，会授权整个账户；C选项IAM

策略无法覆盖KMS密钥；D选项仅共享ARN不等于授权。知识点：KMS密钥策略

的Principal字段支持IAM角色ARN。易错点：误以为账户级授权更安全。

2、当KMS密钥策略和IAM策略同时存在时，AWS如何评估权限？

A、只考虑密钥策略

B、只考虑IAM策略

C、两者必须同时允许

D、任一允许即可

【答案】C

【解析】正确答案是C。KMS采用双重授权机制，密钥策略和IAM策略必须同时

允许操作。这是KMS安全模型的核心原则。A、B选项忽略了双重授权机制；D选项

会降低安全性。知识点：KMS权限评估逻辑。易错点：误以为任一策略足够。

3、跨账户使用KMS密钥时，必须满足哪个前提条件？

A、两个账户必须同区域

B、目标账户必须有对应的IAM策略

C、密钥必须启用自动轮换

D、源账户必须启用VPC端点

【答案】B

【解析】正确答案是B。跨账户访问需要源账户密钥策略和目标账户IAM策略的双

重配置。A选项KMS是全局服务；C选项与授权无关；D选项VPC端点不是必需的。

知识点：跨账户KMS访问的必要条件。易错点：忽略IAM策略的作用。

4、KMS密钥策略中的”aws:SourceArn”条件键主要用于什么？

2025年AWS认证KMS基于资源的授权与跨账户访问专题试卷及解析2

A、限制调用者IP

B、限制特定ARN的资源访问

C、设置时间限制

D、限制调用区域

【答案】B

【解析】正确答案是B。该条件键用于实现基于ARN的细粒度访问控制。A选项

应使用aws:SourceIp；C选项应使用Date条件；D选项应使用aws:RequestedRegion。

知识点：KMS条件键的使用场景。易错点：混淆不同条件键的功能。

5、以下哪种方式可以实现KMS密钥的临时跨账户访问？

A、直接共享密钥ARN

B、使用STS临时凭证

C、复制密钥到目标账户

D、启用密钥公共访问

【答案】B

【解析】正确答案是B。STS临时凭证配合适当的策略可以实现临时授权。A选项

不提供实际权限；C选项是创建新密钥而非共享；D选项不存在此功能。知识点：临时

凭证在KMS中的应用。易错点：误以为密钥复制等同于共享。

6、当需要限制KMS密钥只能被特定服务使用时，应如何配置？

A、在密钥策略中指定服务Principal

B、使用IAM服务角色

C、启用服务链接角色

D、配置VPC端点策略

【答案】A

【解析】正确答案是A。密钥策略可以直接指定服务Principal。B选项是间接方式；

C选项用于服务自动管理资源；D选项控制网络访问而非服务权限。知识点：服务级

KMS授权。易错点：混淆服务角色和密钥策略的作用。

7、KMS跨账户访问时，如果密钥策略允许但IAM策略拒绝，结果如何？

A、允许访问

B、拒绝访问

C、需要管理员审批

D、生成警告日志

【答案】B

【解析】正确答案是