2025年AWS认证APIGateway与AWSSecretsManager集成管理敏感信息专题试卷及解析.pdfVIP

2025年AWS认证APIGATEWAY与AWSSECRETSMANAGER集成管理敏感信息专题试卷及解析

2025年AWS认证APIGateway与

AWSSecretsManager集成管理敏感信息专题试卷及解析

2025年AWS认证APIGateway与AWSSecretsManager集成管理敏感信息专题试

卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在APIGateway中集成AWSSecretsManager时，以下哪种方式最安全地存储

数据库凭证？

A、直接在Lambda函数代码中硬编码

B、使用环境变量存储凭证

C、通过SecretsManager存储并动态获取

D、将凭证存储在S3桶中

【答案】C

【解析】正确答案是C。SecretsManager提供动态凭证管理和自动轮换功能，比硬

编码或环境变量更安全。A选项存在代码泄露风险，B选项环境变量可能被意外暴露，

D选项S3需要额外加密配置且无自动轮换功能。知识点：SecretsManager核心优势是

安全存储和自动轮换。易错点：容易忽视自动轮换的重要性。

2、APIGateway与SecretsManager集成时，以下哪种权限配置是必需的？

A、Lambda执行角色需要secretsmanager:GetSecretValue权限

B、APIGateway需要secretsmanager:CreateSecret权限

C、S3桶需要secretsmanager:ListSecrets权限

D、CloudWatch需要secretsmanager:RotateSecret权限

【答案】A

【解析】正确答案是A。Lambda执行角色需要获取SecretsManager中的密钥值权

限。B选项创建权限通常由管理员操作，C选项S3不需要此权限，D选项轮换权限由

SecretsManager内部服务使用。知识点：IAM权限最小化原则。易错点：容易混淆不

同服务的权限需求。

3、SecretsManager的自动轮换功能适用于以下哪种场景？

A、静态API密钥

B、数据库密码

C、SSL证书

D、IAM用户访问密钥

【答案】B

【解析】正确答案是B。SecretsManager原生支持数据库密码的自动轮换。A选项

API密钥通常手动轮换，C选项证书由ACM管理，D选项IAM密钥轮换有独立机制。

2025年AWS认证APIGATEWAY与AWSSECRETSMANAGER集成管理敏感信息专题试卷及解析

知识点：SecretsManager轮换机制适用范围。易错点：容易误认为支持所有类型的密

钥轮换。

4、在APIGateway中使用SecretsManager时，以下哪种做法违反最佳实践？

A、启用CloudTrail记录SecretsManager操作

B、在API响应中返回完整密钥值

C、使用VPC端点访问SecretsManager

D、为密钥设置强密码策略

【答案】B

【解析】正确答案是B。在API响应中暴露密钥值会带来安全风险。A选项审计操

作是最佳实践，C选项VPC端点增强网络安全性，D选项强密码策略是基础要求。知

识点：敏感信息保护原则。易错点：容易忽视API响应中的数据泄露风险。

5、SecretsManager与ParameterStore的主要区别是什么？

A、SecretsManager支持自动轮换，ParameterStore不支持

B、ParameterStore支持加密，SecretsManager不支持

C、SecretsManager免费，ParameterStore收费

D、ParameterStore支持版本控制，SecretsManager不支持

【答案】A

【解析】正确答案是A。SecretsManager的核心优势是自动轮换功能。B选项两者

都支持加密，C选项SecretsManager收费，D选项两者都支持版本控制。知识点：AWS

密