2025年AWS认证KMSVPC端点与私有网络访问专题试卷及解析.pdfVIP

2025年AWS认证KMSVPC端点与私有网络访问专题试卷及解析1

2025年AWS认证KMSVPC端点与私有网络访问专题

试卷及解析

2025年AWS认证KMSVPC端点与私有网络访问专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWS中，当您希望确保VPC中的EC2实例通过私有网络访问AWSKey

ManagementService(KMS)，而不经过公共互联网时，应该使用哪种服务？

A、NATGateway

B、VPCEndpoint

C、DirectConnect

D、VPNConnection

【答案】B

【解析】正确答案是B。VPCEndpoint（特别是Interface类型）允许VPC中的资

源通过私有网络安全地访问AWS服务，如KMS，无需经过公共互联网。A选项NAT

Gateway用于使私有子网中的实例能够访问互联网，但不适用于服务访问控制。C选项

DirectConnect用于建立私有网络连接到AWS，但成本较高且适用于大规模场景。D选

项VPNConnection同样用于建立私有连接，但VPCEndpoint是更直接、更经济的服

务访问解决方案。知识点：VPCEndpoint的类型和用途。易错点：混淆NATGateway

和VPCEndpoint的功能。

2、AWSKMS支持通过VPCEndpoint进行访问，以下哪种类型的VPCEndpoint

适用于KMS？

A、GatewayLoadBalancerEndpoint

B、InterfaceEndpoint

C、GatewayEndpoint

D、Noneoftheabove

【答案】B

【解析】正确答案是B。KMS支持Interface类型的VPCEndpoint，它通过AWS

PrivateLink提供安全的私有连接。A选项GatewayLoadBalancerEndpoint用于网络

负载均衡，不适用于KMS。C选项GatewayEndpoint仅支持S3和DynamoDB，不支

持KMS。D选项错误，因为KMS确实支持InterfaceEndpoint。知识点：VPCEndpoint

类型与服务的兼容性。易错点：误以为GatewayEndpoint支持所有AWS服务。

3、在配置KMSVPCEndpoint时，以下哪项策略是必需的？

A、VPCEndpointPolicy

B、IAMRolePolicy

C、S3BucketPolicy

2025年AWS认证KMSVPC端点与私有网络访问专题试卷及解析2

D、SecurityGroupRules

【答案】A

【解析】正确答案是A。VPCEndpointPolicy用于控制通过VPCEndpoint访问

KMS的权限，是配置时的必需项。B选项IAMRolePolicy用于EC2实例权限，与VPC

Endpoint无关。C选项S3BucketPolicy适用于S3，与KMS无关。D选项Security

GroupRules用于网络流量控制，但不是VPCEndpoint的必需策略。知识点：VPC

EndpointPolicy的作用。易错点：混淆VPCEndpointPolicy与IAMPolicy的功能。

4、当使用KMSVPCEndpoint时，以下哪项是正确的网络访问行为？

A、流量通过公共互联网

B、流量通过AWS骨干网络

C、流量通过本地数据中心

D、流量通过第三方网络

【答案】B

【解析】正确答案是B。VPCEndpoint通过AWS骨干网络提供私有连接，避免公

共互联网。A选项错误，因为VPCEndpoint的设计目的是避免公共互联网。C和D选

项与VPCEndpoin