2025年AWS认证SnowballEdge与AWSKMS集成专题试卷及解析.pdfVIP

2025年AWS认证SNOWBALLEDGE与AWSKMS集成专题试卷及解析1

2025年AWS认证SnowballEdge与AWSKMS集成专

题试卷及解析

2025年AWS认证SnowballEdge与AWSKMS集成专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSSnowballEdge设备上使用AWSKMS加密数据时，以下哪种KMS密

钥类型最适合用于本地数据加密？

A、AWS托管密钥（aws/s3）

B、客户托管密钥（CMK）

C、AWSowned密钥

D、自定义密钥存储（CustomKeyStore）

【答案】B

【解析】正确答案是B。客户托管密钥（CMK）允许用户完全控制密钥策略和轮换，

适合SnowballEdge本地加密需求。A选项AWS托管密钥由AWS管理，无法自定义策

略；C选项AWSowned密钥无法由用户管理；D选项自定义密钥存储需要CloudHSM

支持，成本较高且不适用于SnowballEdge场景。知识点：KMS密钥类型及适用场景。

易错点：混淆AWS托管密钥与客户托管密钥的权限差异。

2、SnowballEdge设备与AWSKMS集成时，以下哪项是必须配置的？

A、VPC终端节点

B、IAM角色

C、安全组规则

D、NAT网关

【答案】B

【解析】正确答案是B。IAM角色是SnowballEdge访问KMS服务的必要条件，用

于授权设备使用特定密钥。A选项VPC终端节点可选但非必须；C选项安全组规则与

KMS集成无关；D选项NAT网关用于出站访问，但KMS集成通过IAM角色实现认

证。知识点：SnowballEdge与KMS的认证机制。易错点：误认为网络配置是核心要

求。

3、在SnowballEdge上使用KMS加密的S3存储桶，数据解密发生在哪个阶段？

A、数据写入设备时

B、数据传输到AWS时

C、数据从设备读取时

D、数据上传到S3后

【答案】C

2025年AWS认证SNOWBALLEDGE与AWSKMS集成专题试卷及解析2

【解析】正确答案是C。KMS加密的数据在读取时需要实时解密，确保数据可用性。

A选项写入时是加密而非解密；B选项传输时数据保持加密状态；D选项上传到S3后

由S3管理解密。知识点：KMS加密数据的生命周期。易错点：混淆加密与解密的触发

时机。

4、以下哪种操作会导致SnowballEdge上的KMS密钥失效？

A、设备重启

B、密钥轮换

C、网络断开

D、密钥策略变更

【答案】D

【解析】正确答案是D。密钥策略变更可能撤销SnowballEdge的访问权限，导致密

钥失效。A选项设备重启不影响密钥有效性；B选项密钥轮换是计划内操作；C选项网

络断开仅影响临时访问。知识点：KMS密钥权限管理。易错点：忽略策略变更的影响。

5、SnowballEdge支持以下哪种KMS密钥导入方式？

A、直接导入原始密钥材料

B、通过AWSCLI导入

C、通过Snowball客户端导入

D、不支持导入，仅支持生成

【答案】D

【解析】正确答案是D。SnowballEdge不支持导入外部密钥材料，仅支持生成新密

钥。A、B、C选项均与SnowballEdge的实际功能不符。知识点：SnowballEdge的密

钥管理限制。易错点：误以为可以导入自定义密钥。

6、在SnowballEdge上使用KMS加密时，以下哪项是最佳实践？

A、使用单一密钥加密所有数据

B、定期轮换密钥

C、禁用密钥版本控制

D、共享密钥跨设备使用

【答案】B

【解析】正确答案是B。定期轮换密钥是安全最佳实践，可降低密钥泄露风险。A选

项单一密钥增加风险；C选项禁用版本控制违反安全原则；D选项共享密