2025年AWS认证SecretsManager与AmazonECS集成实践专题试卷及解析.pdfVIP

2025年AWS认证SECRETSMANAGER与AMAZONECS集成实践专题试卷及解析1

2025年AWS认证SecretsManager与AmazonECS

集成实践专题试卷及解析

2025年AWS认证SecretsManager与AmazonECS集成实践专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AmazonECS任务中集成AWSSecretsManager时，以下哪种方法是最安全

的密钥注入方式？

A、通过环境变量直接传递密钥

B、将密钥存储在ECS任务定义的environment参数中

C、使用ECS密钥注入功能将密钥作为环境变量注入

D、将密钥编码后写入Docker镜像

【答案】C

【解析】正确答案是C。ECS密钥注入功能是AWS推荐的安全方式，它会自动从

SecretsManager获取密钥并注入到容器中，且不会在任务定义中明文存储。A和B选

项会导致密钥明文暴露在任务定义中，D选项会将密钥固化在镜像中，都存在安全风

险。知识点：ECS密钥注入机制。易错点：容易混淆环境变量直接传递和密钥注入功能

的区别。

2、当ECS任务需要访问SecretsManager中的密钥时，必须配置哪种IAM权限？

A、secretsmanager:GetSecretValue

B、secretsmanager:ListSecrets

C、secretsmanager:CreateSecret

D、secretsmanager:DeleteSecret

【答案】A

【解析】正确答案是A。GetSecretValue是读取密钥内容所需的最低权限。B选项

只能列出密钥列表，C和D是管理权限，与读取场景无关。知识点：SecretsManager

权限模型。易错点：容易误认为ListSecrets可以获取密钥内容。

3、在ECSFargate启动类型中，密钥注入功能支持以下哪种密钥存储后端？

A、仅支持AWSSecretsManager

B、仅支持AWSSystemsManagerParameterStore

C、同时支持SecretsManager和ParameterStore

D、不支持任何密钥存储后端

【答案】C

【解析】正确答案是C。ECSFargate同时支持从SecretsManager和Parameter

Store注入密钥。A和B选项不完整，D选项错误。知识点：ECS密钥注入支持范围。

易错点：容易忽略ParameterStore的支持。

2025年AWS认证SECRETSMANAGER与AMAZONECS集成实践专题试卷及解析2

4、当ECS任务使用密钥注入功能时，密钥在容器中的默认注入形式是什么？

A、作为文件系统中的文件

B、作为环境变量

C、作为命令行参数

D、作为Docker标签

【答案】B

【解析】正确答案是B。默认情况下，ECS将密钥作为环境变量注入到容器中。A

选项需要额外配置，C和D不是标准注入方式。知识点：ECS密钥注入形式。易错点：

容易混淆环境变量和文件注入的区别。

5、以下哪种情况会导致ECS任务无法访问SecretsManager中的密钥？

A、任务角色具有secretsmanager:GetSecretValue权限

B、密钥ARN配置错误

C、密钥已启用自动轮换

D、使用Fargate启动类型

【答案】B

【解析】正确答案是B。错误的密钥ARN会导致无法定位密钥。A和C是正常配

置，D不影响访问。知识点：密钥访问故障排查。易错点：容易忽略ARN配置的重要

性。

6、在ECS任务定义中引用SecretsManager密钥时，必须使用哪种格式？

A、纯文本密钥名称

B、完整的密钥ARN

C、密钥的部分ARN

D、密钥的UUID

【答案】B

【解析】正确答案是B。ECS要求使用完整的密钥ARN来引用SecretsManager中

的密钥。A、C、D