2025年AWS认证KMS与AWSNitroEnclaves实现机密计算专题试卷及解析.pdfVIP

2025年AWS认证KMS与AWSNITROENCLAVES实现机密计算专题试卷及解析1

2025年AWS认证KMS与AWSNitroEnclaves实现机

密计算专题试卷及解析

2025年AWS认证KMS与AWSNitroEnclaves实现机密计算专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、AWSKMS中的客户主密钥（CMK）有哪几种来源？

A、仅AWS托管

B、仅客户自带

C、AWS托管和客户自带

D、AWS托管、客户自带和AWSCloudHSM

【答案】D

【解析】正确答案是D。AWSKMS支持三种CMK来源：AWS托管（如aws/s3）、

客户创建的CMK（在KMS中生成）以及从AWSCloudHSM导入的密钥。选项A、B、

C都不完整。知识点：CMK类型是KMS基础概念。易错点：容易忽略CloudHSM选

项。

2、NitroEnclaves的主要安全特性是什么？

A、硬件虚拟化

B、内存加密

C、隔离的计算环境

D、网络隔离

【答案】C

【解析】正确答案是C。NitroEnclaves的核心价值是提供与主实例隔离的独立计算

环境。选项A、B、D都是相关技术但不是核心特性。知识点：Enclaves的安全隔离原

理。易错点：容易混淆硬件特性与功能特性。

3、KMS密钥轮换的默认周期是多少天？

A、30

B、90

C、180

D、365

【答案】D

【解析】正确答案是D。AWSKMS默认每年（365天）自动轮换密钥材料。选项

A、B、C都是其他服务的常见周期。知识点：密钥管理最佳实践。易错点：容易与其他

服务的轮换周期混淆。

4、NitroEnclaves支持的最大内存是多少？

A、1GB

2025年AWS认证KMS与AWSNITROENCLAVES实现机密计算专题试卷及解析2

B、4GB

C、8GB

D、16GB

【答案】B

【解析】正确答案是B。NitroEnclaves当前限制最大4GB内存。选项A、C、D都

是干扰项。知识点：Enclaves资源限制。易错点：容易忽略资源限制的实际数值。

5、KMS中”EnvelopeEncryption”的主要目的是什么？

A、提高加密速度

B、减少密钥管理开销

C、增强数据传输安全

D、简化密钥分发

【答案】B

【解析】正确答案是B。EnvelopeEncryption通过数据密钥加密数据，用CMK加

密数据密钥，减少对CMK的直接使用。选项A、C、D都是次要效果。知识点：加密

模式设计原理。易错点：容易混淆直接加密与信封加密的区别。

6、NitroEnclaves与主实例之间的通信方式是？

A、TCP/IP

B、vsock

C、共享内存

D、消息队列

【答案】B

【解析】正确答案是B。vsock是专门为Enclaves设计的通信机制。选项A、C、D

都是常规通信方式但不适用。知识点：Enclaves架构设计。易错点：容易忽略专用通信

协议。

7、KMS密钥策略中允许跨账户使用的关键语句是？

A、“Sid”:“AllowUseOfKey”

B、“Sid”:“AllowCrossAccount”

C、“Sid”:“AllowOtherAccounts”

D、“Sid”:“AllowAccountAccess”

【答案】C

【解析】正确答案是C。标准策略语句使用”AllowOtherAccounts”标识跨账户权限。

选项A、B、D都是干扰项。知识点：KMS策略语法。易错点：容易混淆不同Sid的用

途。

8、NitroEnclaves的启动流程中，首先需要什么？

A、分配内存

2025年AWS认证KMS与AWSNITROENCLAVES实现机密计算专题试卷及解析3

B、创建Enclave

C、生成证明文档

D、加载应用程序

【答案