2025年AWS认证设计安全的静态数据加密方案专题试卷及解析.pdfVIP

2025年AWS认证设计安全的静态数据加密方案专题试卷及解析1

2025年AWS认证设计安全的静态数据加密方案专题试卷

及解析

2025年AWS认证设计安全的静态数据加密方案专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWS中，哪种服务提供完全托管的静态数据加密解决方案，允许用户创建

和管理加密密钥？

A、AWSSecretsManager

B、AWSKeyManagementService(KMS)

C、AWSCertificateManager

D、AWSCloudHSM

【答案】B

【解析】正确答案是B。AWSKMS是专门用于创建和管理加密密钥的托管服务，支

持静态数据加密。A选项SecretsManager用于管理密钥凭证而非加密密钥；C选项

CertificateManager管理SSL/TLS证书；D选项CloudHSM提供硬件安全模块但成本

更高。知识点：KMS核心功能。易错点：混淆KMS与SecretsManager的用途。

2、S3存储桶默认加密功能推荐使用哪种加密方式？

A、SSES3

B、SSEKMS

C、SSEC

D、客户端加密

【答案】B

【解析】正确答案是B。SSEKMS提供密钥管理控制和审计功能，是AWS推荐的

最佳实践。A选项SSES3由AWS完全管理但缺乏控制；C选项SSEC需自行管理密

钥；D选项客户端加密增加复杂度。知识点：S3加密方式对比。易错点：忽略KMS的

审计优势。

3、EBS卷加密时，密钥轮换由哪个服务负责？

A、EC2

B、KMS

C、IAM

D、CloudTrail

【答案】B

【解析】正确答案是B。KMS自动处理EBS加密密钥的轮换。A选项EC2仅使用

密钥；C选项IAM管理权限；D选项CloudTrail记录日志。知识点：KMS密钥轮换

机制。易错点：误认为EC2管理密钥。

2025年AWS认证设计安全的静态数据加密方案专题试卷及解析2

4、RDS加密功能依赖哪个底层服务？

A、AWSConfig

B、KMS

C、Lambda

D、EFS

【答案】B

【解析】正确答案是B。RDS静态加密通过KMS管理密钥。A选项Config用于配

置审计；C选项Lambda用于计算；D选项EFS是文件存储服务。知识点：RDS加密

架构。易错点：混淆RDS与EFS的加密实现。

5、哪种AWS服务支持透明数据加密（TDE）？

A、DynamoDB

B、Redshift

C、Aurora

D、以上都是

【答案】D

【解析】正确答案是D。所有列出的数据库服务均支持TDE。知识点：数据库加密

特性。易错点：遗漏某些服务的TDE支持。

6、客户主密钥（CMK）的创建权限由哪个服务控制？

A、IAM

B、KMS

C、STS

D、VPC

【答案】A

【解析】正确答案是A。IAM策略控制CMK创建权限。B选项KMS是执行服务；

C选项STS提供临时凭证；D选项VPC管理网络。知识点：IAM与KMS权限关系。

易错点：混淆权限控制与执行服务。

7、SSEKMS加密的S3对象，访问时密钥解密发生在哪里？

A、客户端

B、S3服务

C、KMS服务

D、CloudFront

【答案】C

【解析】正确答案是C。KMS服务负责解密操作。A选项客户端不参与；B选项S3

仅转发请求；D选项CloudFront用于内容分发。知识点：KMS解密流程。易错点：误

认为S3直接解密。

2025年AWS认证设计安全的静态数据加密方案专题试卷及解析