2025年AWS认证KMS与AmazonS3服务器端加密集成专题试卷及解析.pdf

2025年AWS认证KMS与AMAZONS3服务器端加密集成专题试卷及解析1

2025年AWS认证KMS与AmazonS3服务器端加密集

成专题试卷及解析

2025年AWS认证KMS与AmazonS3服务器端加密集成专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AmazonS3中，当使用SSEKMS（服务器端加密与AWSKMS）加密对象

时，以下哪项是正确的密钥管理方式？

A、由S3完全管理密钥，用户无法控制

B、由AWSKMS管理密钥，用户可以通过KMS策略控制密钥使用

C、由客户自行管理密钥，S3仅存储加密数据

D、由第三方密钥管理系统管理密钥

【答案】B

【解析】正确答案是B。SSEKMS模式下，AWSKMS负责管理密钥，用户可以通

过KMS策略和IAM策略精细控制密钥的使用权限。A选项描述的是SSES3模式；C

选项描述的是SSEC模式；D选项不符合AWS原生加密方案。知识点：S3三种加密

模式的核心区别。易错点：混淆SSEKMS与SSES3的密钥管理权限。

2、某公司需要加密存储在S3中的敏感数据，同时要求所有加密操作都有详细的审

计日志。应采用哪种加密方式？

A、SSES3

B、SSEC

C、SSEKMS

D、客户端加密

【答案】C

【解析】正确答案是C。SSEKMS提供CloudTrail日志记录所有密钥使用操作，满

足审计需求。A选项无详细审计；B选项密钥由客户管理，无自动审计；D选项审计需

自行实现。知识点：KMS的审计能力。易错点：忽略审计需求而选择其他加密方式。

3、在使用SSEKMS时，以下哪项是默认KMS主密钥（CMK）的命名规则？

A、alias/aws/s3

B、alias/s3/default

C、aws/s3/master

D、s3/defaultkey

【答案】A

【解析】正确答案是A。AWS为S3创建的默认KMS密钥别名为alias/aws/s3。其

他选项不符合AWS命名规范。知识点：KMS默认密钥标识。易错点：记忆错误的默

认密钥名称。

2025年AWS认证KMS与AMAZONS3服务器端加密集成专题试卷及解析2

4、当S3存储桶策略与KMS密钥策略冲突时，以下哪项优先？

A、S3存储桶策略

B、KMS密钥策略

C、IAM用户策略

D、以更严格的策略为准

【答案】B

【解析】正确答案是B。KMS密钥策略是最终决策者，即使S3策略允许访问，如

果KMS策略拒绝，操作仍会失败。知识点：AWS策略评估顺序。易错点：误认为S3

策略优先。

5、以下哪项是SSEKMS相比SSES3的主要优势？

A、更低的加密成本

B、更快的加密速度

C、更细粒度的密钥控制

D、支持更多数据格式

【答案】C

【解析】正确答案是C。SSEKMS允许用户自定义密钥策略和轮换，提供更精细的

控制。A、B选项实际相反；D选项与加密方式无关。知识点：不同加密模式的特性对

比。易错点：混淆性能与控制特性。

6、在S3存储桶上启用默认加密时，选择SSEKMS需要额外配置什么？

A、IAM角色

B、KMS密钥ID

C、VPC端点

D、CloudTrail

【答案】B

【解析】正确答案是B。必须指定KMS密钥ID或别名才能启用SSEKMS默认加

密。A、C、D选项非必需配置。知识点：S3默认加密配置要求。易错点：忽略必须指

定KMS密钥。

7、当使用SSEKMS加密的S3对象被下载时，以下哪项会自动记录？

A、下载者的IP地址

B、解密请求的CloudTrail事件

C、对象MD5校验值

D、S3存储桶ARN

【答案】B

【解析】正确答案是B