2025年AWS认证SecretsManager防止密钥泄露的安全架构设计专题试卷及解析.pdfVIP

2025年AWS认证SECRETSMANAGER防止密钥泄露的安全架构设计专题试卷及解析1

2025年AWS认证SecretsManager防止密钥泄露的安

全架构设计专题试卷及解析

2025年AWS认证SecretsManager防止密钥泄露的安全架构设计专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSSecretsManager中，以下哪种方法最适合自动轮换数据库凭证？

A、手动更新凭证并重启应用

B、使用Lambda函数实现自动轮换

C、通过EC2实例脚本定期更新

D、在CloudFormation中硬编码凭证

【答案】B

【解析】正确答案是B。AWSSecretsManager支持通过Lambda函数实现自动轮

换，这是官方推荐的最佳实践。A选项手动操作容易出错且效率低；C选项缺乏集中管

理；D选项硬编码凭证违反安全原则。知识点：SecretsManager轮换机制。易错点：误

以为手动更新更安全。

2、当需要限制应用程序只能读取特定密钥时，应该使用哪种IAM策略元素？

A、Condition

B、Effect

C、Resource

D、Principal

【答案】C

【解析】正确答案是C。Resource元素用于指定策略作用的资源ARN，可实现密钥

级别的访问控制。A元素用于条件判断；B元素定义允许/拒绝；D元素指定主体身份。

知识点：IAM策略结构。易错点：混淆Resource和Condition的作用范围。

3、SecretsManager默认加密密钥由哪个服务管理？

A、KMS

B、CloudHSM

C、ACM

D、IAM

【答案】A

【解析】正确答案是A。SecretsManager默认使用AWSKMS管理的客户主密钥

(CMK)进行加密。B是专用硬件；C用于证书管理；D是身份服务。知识点：Secrets

Manager加密机制。易错点：误以为使用独立加密服务。

4、以下哪种情况最适合使用SecretsManager而非ParameterStore？

A、存储应用配置参数

2025年AWS认证SECRETSMANAGER防止密钥泄露的安全架构设计专题试卷及解析2

B、存储数据库连接字符串

C、存储AMIID

D、存储环境变量

【答案】B

【解析】正确答案是B。SecretsManager专为敏感数据设计，支持自动轮换和细粒

度访问控制。A、C、D选项更适合ParameterStore。知识点：服务选择标准。易错点：

混淆两个服务的适用场景。

5、当需要审计密钥访问行为时，应该启用哪个服务？

A、CloudTrail

B、CloudWatch

C、Config

D、XRay

【答案】A

【解析】正确答案是A。CloudTrail记录所有API调用，包括SecretsManager的

访问操作。B用于监控；C用于配置跟踪；D用于应用追踪。知识点：审计日志管理。

易错点：误以为CloudWatch记录API调用。

6、SecretsManager的密钥版本控制主要通过什么实现？

A、版本ID

B、时间戳

C、标签

D、ARN

【答案】A

【解析】正确答案是A。每个密钥版本都有唯一版本ID，支持回滚操作。B用于时

间排序；C用于分类；D是资源标识符。知识点：密钥版本管理。易错点：混淆版本ID

和ARN的作用。

7、以下哪种操作会触发SecretsManager的密钥轮换？

A、读取密钥

B、修改密钥描述

C、到达轮换周期

D、添加标签

【答案】C

【解析】正确答案是C。轮换由配置的周期触发，通常为天/周/月。A、B、D操作

不会触发轮换。知识点：轮换触发机制。易错点：误以为修改密钥会触发轮换。

8、当需要跨AWS账户共享密钥时，应该使用哪种方法？

A、公开密钥

2025年AWS认证SECRETSMANAGE