原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
2025年AWS认证KMS自定义密钥存储的架构与优势专题试卷及解析
2025年AWS认证KMS自定义密钥存储的架构与优势专题试卷及解析
第一部分:单项选择题(共10题,每题2分)
1、在AWSKMS自定义密钥存储(CustomKeyStore)中,密钥材料主要存储在哪里?
A、AWSKMS管理的默认密钥存储
B、客户自己管理的AWSCloudHSM集群
C、AmazonS3加密存储桶
D、AWSSecretsManager
【答案】B
【解析】正确答案是B。AWSKMS自定义密钥存储允许客户将密钥材料存储在自己管理的AWSCloudHSM集群中,提供更高的控制权和合规性。选项A是默认KMS密钥存储,不符合自定义存储的定义;选项C和D是其他AWS服务,与KMS自定义密钥存储无关。知识点:自定义密钥存储的核心架构。易错点:混淆默认KMS存储与自定义存储的区别。
2、创建AWSKMS自定义密钥存储时,必须满足以下哪个前提条件?
A、拥有活跃的AWSOrganizations配置
B、已创建并配置AWSCloudHSM集群
C、启用AWSIAMIdentityCenter
D、配置AmazonVPC端点
【答案】B
【解析】正确答案是B。自定义密钥存储需要预先配置CloudHSM集群作为密钥材料的存储后端。选项A、C、D虽然可能相关,但不是创建自定义密钥存储的必要条件。知识点:自定义密钥存储的部署前提。易错点:忽略CloudHSM集群的先决条件。
3、自定义密钥存储中的密钥轮换(KeyRotation)由谁负责执行?
A、客户手动执行
B、AWSKMS自动执行
C、CloudHSM集群自动执行
D、第三方审计机构执行
【答案】B
【解析】正确答案是B。即使密钥存储在CloudHSM中,密钥轮换仍由AWSKMS服务自动管理。选项A错误,因为轮换是自动化的;选项C和D与实际机制不符。知识点:KMS服务与CloudHSM的职责分工。易错点:误认为CloudHSM会接管所有密钥管理操作。
4、当使用自定义密钥存储时,加密操作的请求会经过哪个组件?
A、直接发送到CloudHSM
B、通过AWSKMS代理转发
C、由AWSLambda处理
D、AmazonAPIGateway路由
【答案】B
【解析】正确答案是B。AWSKMS代理负责将加密请求转发到CloudHSM集群。选项A错误,因为请求不会直接发送到CloudHSM;选项C和D是无关服务。知识点:自定义密钥存储的请求流程。易错点:混淆KMS代理与直接访问CloudHSM的区别。
5、自定义密钥存储的密钥策略(KeyPolicy)由谁定义?
A、AWSKMS服务自动生成
B、客户在创建时指定
C、CloudHSM集群默认策略
D、AWSIAM角色继承
【答案】B
【解析】正确答案是B。密钥策略由客户在创建自定义密钥存储时明确指定。选项A错误,因为策略不是自动生成的;选项C和D与密钥策略的定义机制无关。知识点:密钥策略的配置方式。易错点:忽略客户对密钥策略的控制权。
6、如果CloudHSM集群不可用,自定义密钥存储会发生什么?
A、密钥材料自动备份到S3
B、加密操作会失败
C、密钥切换到默认KMS存储
D、AWS会自动恢复集群
【答案】B
【解析】正确答案是B。CloudHSM集群不可用会导致加密操作失败,因为密钥材料无法访问。选项A、C、D均不符合实际行为。知识点:自定义密钥存储的可用性依赖。易错点:低估CloudHSM集群可用性的重要性。
7、自定义密钥存储的审计日志主要记录在哪里?
A、AWSCloudTrail
B、CloudHSM本地日志
C、AmazonCloudWatch
D、AWSConfig
【答案】A
【解析】正确答案是A。审计日志通过AWSCloudTrail记录,与其他KMS操作一致。选项B是CloudHSM的本地日志,不用于KMS审计;选项C和D是其他监控服务。知识点:审计日志的统一管理。易错点:混淆CloudHSM日志与KMS审计日志。
8、自定义密钥存储的密钥材料可以导出吗?
A、可以,通过CloudHSM客户端
B、可以,通过KMSAPI
C、不可以,密钥材料始终不可导出
D、仅限AWS支持团队导出
【答案】C
【解析】正确答案是C。无论存储在哪里,KMS密钥材料始终不可导出。选项A、B、D均违反KMS的安全原则。知识点:密钥材料的不可导出性。易错点:误认为CloudHSM允许导出密钥材料。
9、自定义密钥存储的计费模式是什么?
A、仅按KMS操作计费
B、仅CloudHSM集群费用
C、KMS操作费+CloudHSM集群费
D、固定月费
【答案】C
【解析】正确答案是C。计费包括KMS操作费
您可能关注的文档
- 2025年AWS认证IAMMFA设备绑定与验证问题排查专题试卷及解析.docx
- 2025年AWS认证IAM策略版本控制与迁移专题试卷及解析.docx
- 2025年AWS认证IAM策略边界与权限边界专题试卷及解析.docx
- 2025年AWS认证IAM策略考试复习计划与建议专题试卷及解析.docx
- 2025年AWS认证IAM策略考试时间管理策略专题试卷及解析.docx
- 2025年AWS认证IAM策略考试心理准备与应对专题试卷及解析.docx
- 2025年AWS认证IAM策略与AWSConfig规则集成专题试卷及解析.docx
- 2025年AWS认证IAM策略与AWSSystemsManager集成专题试卷及解析.docx
- 2025年AWS认证IAM策略与权限管理责任专题试卷及解析.docx
- 2025年AWS认证IAM策略在多租户架构中的应用专题试卷及解析.docx
- 2025年AWS认证Lambda@Edge与CloudFront集成专题试卷及解析.docx
- 2025年AWS认证LambdaIAM权限与角色管理专题试卷及解析.docx
- 2025年AWS认证Lambda并发控制与限流策略专题试卷及解析.docx
- 2025年AWS认证Lambda超时与重试策略专题试卷及解析.docx
- 2025年AWS认证Lambda触发器类型与配置专题试卷及解析.docx
- 2025年AWS认证Lambda函数本地开发与调试专题试卷及解析.docx
- 2025年AWS认证Lambda函数日志分析与CloudWatchInsights专题试卷及解析.docx
- 2025年AWS认证Lambda函数日志记录与CloudWatch监控专题试卷及解析.docx
- 2025年AWS认证Lambda函数审计与合规性检查专题试卷及解析.docx
- 2025年AWS认证Lambda函数生命周期与执行环境专题试卷及解析.docx
文档评论(0)