2025年AWS认证SecretsManager“AccessDeniedException”权限问题排查专题试卷及解析.pdfVIP

2025年AWS认证SECRETSMANAGER“ACCESSDENIEDEXCEPTION

2025年AWS认证SecretsManager

“AccessDeniedException”权限问题排查专题试卷及解析

2025年AWS认证SecretsManager“AccessDeniedException”权限问题排查专题试卷

及解析

第一部分：单项选择题（共10题，每题2分）

1、当AWSSecretsManager返回AccessDeniedException时，最可能的原因是什

么？

A、SecretsManager服务不可用

B、IAM角色或用户缺少必要的权限

C、Secret不存在

D、请求频率超过限制

【答案】B

【解析】正确答案是B。AccessDeniedException是AWSIAM权限相关的错误，表

示调用者没有执行请求操作的权限。A选项错误，服务不可用通常返回ServiceUnavail-

ableException；C选项错误，Secret不存在返回ResourceNotFoundException；D选项

错误，频率超限返回ThrottlingException。知识点：AWS错误代码与IAM权限的关

系。易错点：容易将权限问题与资源不存在或服务问题混淆。

2、在排查AccessDeniedException时，首先应该检查哪个AWS服务？

A、CloudTrail

B、CloudWatch

C、IAM

D、VPC

【答案】C

【解析】正确答案是C。AccessDeniedException直接关联IAM权限策略，因此首

先应检查IAM角色或用户的权限配置。A选项错误，CloudTrail用于审计日志；B选

项错误，CloudWatch用于监控；D选项错误，VPC用于网络配置。知识点：权限问题

排查的基本流程。易错点：可能会先去查看日志而不是直接检查权限配置。

3、以下哪个IAM策略操作可以允许读取SecretsManager中的Secret？

A、secretsmanager:CreateSecret

B、secretsmanager:GetSecretValue

C、secretsmanager:DeleteSecret

D、secretsmanager:ListSecrets

【答案】B

2025年AWS认证SECRETSMANAGER“ACCESSDENIEDEXCEPTION

【解析】正确答案是B。GetSecretValue是读取Secret内容的特定操作。A选项错

误，CreateSecret用于创建Secret；C选项错误，DeleteSecret用于删除Secret；D选项

错误，ListSecrets仅列出Secret但不返回内容。知识点：SecretsManagerAPI操作与

权限的对应关系。易错点：容易混淆ListSecrets和GetSecretValue的区别。

4、当使用跨账户访问SecretsManager时，必须配置什么？

A、VPC端点

B、资源策略

C、KMS密钥策略

D、S3存储桶策略

【答案】B

【解析】正确答案是B。跨账户访问需要配置SecretsManager的资源策略来允许外

部账户访问。A选项错误，VPC端点用于网络隔离；C选项错误，KMS密钥策略用于

加密密钥访问；D选项错误，S3存储桶策略与SecretsManager无关。知识点：AWS

跨账户访问的权限控制机制。易错点：可能会忽略资源策略而只关注IAM策略。

5、AccessDeniedException可能由以下哪种KMS相关问题引起？

A、KMS密钥被禁用

B、KMS密钥版本过旧

C、KMS密钥区域不匹配

D、KMS密钥标签错误

【答案】A

【解析】正确答案是A。如果Secret加密使用的KMS密钥被禁用，会导致无法解

密Secret内容，从而返回AccessDeniedException。B选项错误，密钥版本不影响解密；

C选项错误，