2025年AWS认证ReservedInstances与AWSKMS加密策略集成专题试卷及解析.pdfVIP

2025年AWS认证RESERVEDINSTANCES与AWSKMS加密策略集成专题试卷及解析1

2025年AWS认证ReservedInstances与AWSKMS

加密策略集成专题试卷及解析

2025年AWS认证ReservedInstances与AWSKMS加密策略集成专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、某公司计划使用标准预留实例（ReservedInstances）来运行其生产环境的EC2

实例，并希望确保这些实例的EBS卷默认使用AWSKMS进行加密。以下哪种方法最

符合成本效益且安全最佳实践？

A、为每个EBS卷单独创建KMS密钥并手动加密

B、启用EBS默认加密，并使用AWS托管的KMS密钥

C、购买预留实例时选择“加密”选项

D、使用客户管理的KMS密钥（CMK）并配置自动加密策略

【答案】B

【解析】正确答案是B。启用EBS默认加密是最简单且成本效益高的方法，它使用

AWS托管的KMS密钥（免费）自动加密新创建的EBS卷。A选项管理复杂且成本高；

C选项预留实例本身没有“加密”选项；D选项虽然可行但需要额外管理CMK。知识点：

EBS默认加密、KMS托管密钥。易错点：误以为预留实例本身有加密选项。

2、在AWSKMS中，以下哪种密钥类型最适合用于跨区域复制加密的EBS快照？

A、AWS托管的KMS密钥

B、客户管理的KMS密钥（CMK）

C、AWS拥有的密钥

D、自定义密钥存储（CloudHSM）

【答案】B

【解析】正确答案是B。客户管理的KMS密钥（CMK）支持跨区域复制加密快照，

而AWS托管的密钥不支持。C选项AWS拥有的密钥用户无法控制；D选项CloudHSM

过于昂贵且不必要。知识点：KMS密钥类型、跨区域加密。易错点：混淆AWS托管密

钥和CMK的功能差异。

3、某企业使用预留实例运行数据库，并希望确保数据库备份（EBS快照）使用KMS

加密。以下哪种策略最安全？

A、使用AWS默认KMS密钥加密快照

B、创建专用的CMK并限制仅特定IAM角色使用

C、共享CMK给所有AWS账户

D、禁用KMS密钥轮换

【答案】B

2025年AWS认证RESERVEDINSTANCES与AWSKMS加密策略集成专题试卷及解析2

【解析】正确答案是B。专用CMK结合IAM策略限制是最安全的做法，符合最小

权限原则。A选项默认密钥权限过宽；C选项共享密钥增加风险；D选项禁用密钥轮换

降低安全性。知识点：KMS最小权限、密钥轮换。易错点：忽视IAM策略对KMS密

钥的重要性。

4、预留实例（ReservedInstances）与按需实例（OnDemandInstances）在KMS加

密策略上的主要区别是什么？

A、预留实例必须使用CMK加密

B、预留实例支持更长的密钥轮换周期

C、两者在KMS加密策略上无本质区别

D、预留实例自动启用KMS加密

【答案】C

【解析】正确答案是C。预留实例和按需实例在KMS加密策略上完全相同，区别

仅在于计费模式。A、B、D选项均为错误描述。知识点：预留实例与KMS的关系。易

错点：误以为实例计费模式会影响加密策略。

5、以下哪种KMS密钥策略最适合用于加密预留实例的EBS卷？

A、允许所有AWS服务使用密钥

B、仅允许EC2服务使用密钥

C、允许特定IAM角色和EC2服务使用密钥

D、禁止任何服务使用密钥

【答案】C

【解析】正确答案是C。最佳实践是结合IAM角色和EC2服务限制密钥使用，平

衡安全性和功能性。A选项权限过宽；B选项可能无法满足管理需求；D选项完全禁止

密钥使用。知识点：KMS密钥策略设计。易错点：忽视IAM角色在密钥策略中的作用。

6、某公司使用预留实例运行关键应用，并希望确保KMS密钥的可用性。以下哪

种措施最有效？

A、创建多个CMK副本

B、启用KMS密钥自动轮换

C、定期备份KMS密钥

D、使用AWSCloudHSM

【