2025年AWS认证CodeDeploy加密与密钥管理专题试卷及解析.pdfVIP

2025年AWS认证CODEDEPLOY加密与密钥管理专题试卷及解析1

2025年AWS认证CodeDeploy加密与密钥管理专题试

卷及解析

2025年AWS认证CodeDeploy加密与密钥管理专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSCodeDeploy中，如果需要加密部署过程中传输的应用程序文件，应该

使用哪种服务？

A、AWSKMS

B、AWSS3

C、AWSCloudFront

D、AWSACM

【答案】A

【解析】正确答案是A。AWSKMS（KeyManagementService）提供加密密钥管理

服务，可以用于加密CodeDeploy传输的应用程序文件。B选项S3仅提供存储服务，C

选项CloudFront是CDN服务，D选项ACM主要用于SSL/TLS证书管理。知识点：

KMS在CodeDeploy中的应用。易错点：容易混淆ACM和KMS的功能。

2、CodeDeploy部署时，如何确保实例上的敏感配置文件不被泄露？

A、使用IAM角色限制访问

B、将配置文件存储在S3加密存储桶

C、使用AWSSecretsManager

D、在代码中硬编码配置

【答案】C

【解析】正确答案是C。AWSSecretsManager专门用于管理敏感信息，如数据库

凭证、API密钥等。A选项IAM角色控制访问权限但不直接管理敏感数据，B选项S3

加密存储桶需要额外解密步骤，D选项硬编码存在安全风险。知识点：SecretsManager

的应用场景。易错点：容易忽视SecretsManager与IAM的区别。

3、CodeDeploy与KMS集成时，密钥轮换策略应该如何配置？

A、手动轮换

B、自动轮换

C、禁用轮换

D、定期删除密钥

【答案】B

【解析】正确答案是B。KMS支持自动密钥轮换，这是最佳实践。A选项手动轮

换容易遗漏，C选项禁用轮换不安全，D选项删除密钥会导致数据无法解密。知识点：

KMS密钥轮换策略。易错点：容易混淆轮换与删除的概念。

2025年AWS认证CODEDEPLOY加密与密钥管理专题试卷及解析2

4、在CodeDeploy中，如何验证部署包的完整性？

A、使用MD5校验

B、使用KMS签名验证

C、使用AWSCodeCommit日志

D、使用CloudWatch监控

【答案】B

【解析】正确答案是B。KMS提供数字签名功能，可以验证部署包的完整性和真实

性。A选项MD5不安全，C选项CodeCommit仅记录代码变更，D选项CloudWatch

用于监控。知识点：KMS签名验证机制。易错点：容易忽视签名与校验和的区别。

5、CodeDeploy部署时，如何最小化密钥暴露风险？

A、使用临时凭证

B、使用长期密钥

C、共享密钥

D、明文传输密钥

【答案】A

【解析】正确答案是A。临时凭证（如STS）可以减少密钥暴露风险。B选项长期密

钥风险高，C选项共享密钥不安全，D选项明文传输密钥严重违反安全原则。知识点：

临时凭证的安全优势。易错点：容易忽视临时凭证的重要性。

6、CodeDeploy与KMS集成时，密钥策略应该如何配置？

A、允许所有服务访问

B、仅允许CodeDeploy访问

C、使用默认策略

D、禁用密钥策略

【答案】B

【解析】正确答案是B。密钥策略应限制仅允许CodeDeploy访问，遵循最小权限原

则。A选项允许所有服务访问不安全，C选项默认策略可能过于宽松，D选项禁用密钥

策略会导致无法使用。知识点：KMS密钥策略配置。易错点：容易忽视最小权限原则。

7、在CodeDeploy中，如何安全地传递数据库密码？

A、在代码中硬编码

B