2025年AWS认证KMS与AWSCloudTrail日志审计实践专题试卷及解析.pdfVIP

2025年AWS认证KMS与AWSCLOUDTRAIL日志审计实践专题试卷及解析1

2025年AWS认证KMS与AWSCloudTrail日志审计

实践专题试卷及解析

2025年AWS认证KMS与AWSCloudTrail日志审计实践专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSKMS中，当您需要允许一个IAM角色使用特定的客户主密钥（CMK）

进行加密操作时，以下哪种策略类型是必须配置的？

A、IAM身份策略

B、KMS密钥策略

C、S3存储桶策略

D、VPC端点策略

【答案】B

【解析】正确答案是B。KMS密钥策略是控制对CMK访问的主要机制，必须明确

授权才能使用密钥。A选项IAM策略虽然也能授权，但必须与密钥策略配合使用；C、

D选项与KMS密钥访问控制无关。知识点：KMS访问控制模型。易错点：误认为IAM

策略可以独立授权KMS操作。

2、AWSCloudTrail默认会记录以下哪种类型的事件？

A、数据事件

B、管理事件

C、S3对象级别事件

D、Lambda函数调用事件

【答案】B

【解析】正确答案是B。CloudTrail默认记录所有区域的管理事件（如控制台操作

和API调用），而数据事件需要单独启用并产生额外费用。知识点：CloudTrail事件类

型。易错点：混淆默认记录的管理事件与可选的数据事件。

3、当使用AWSKMS信封加密时，以下哪项描述是正确的？

A、数据密钥直接存储在S3对象中

B、数据密钥使用CMK加密后与密文一起存储

C、CMK直接加密大量数据

D、数据密钥以明文形式传输

【答案】B

【解析】正确答案是B。信封加密使用CMK加密数据密钥，加密后的数据密钥与

密文一起存储，确保数据密钥安全。A选项违反安全原则；C选项CMK不直接加密大

量数据；D选项数据密钥传输时必须加密。知识点：KMS信封加密原理。易错点：误

解数据密钥的存储方式。

2025年AWS认证KMS与AWSCLOUDTRAIL日志审计实践专题试卷及解析2

4、在CloudTrail日志中，以下哪个字段标识了API调用的发起者？

A、eventSource

B、eventName

C、userIdentity

D、requestParameters

【答案】C

【解析】正确答案是C。userIdentity字段详细记录了API调用者的身份信息，包

括类型、ARN等。A选项表示服务名称；B选项表示操作名称；D选项包含请求参数。

知识点：CloudTrail日志结构。易错点：混淆不同字段的含义。

5、当您需要审计KMS密钥的禁用操作时，应该在CloudTrail中查找哪种事件？

A、Decrypt

B、GenerateDataKey

C、DisableKey

D、ScheduleKeyDeletion

【答案】C

【解析】正确答案是C。DisableKey是禁用KMS密钥的特定API操作。A、B选

项是加密操作；D选项是删除密钥操作。知识点：KMSAPI操作审计。易错点：混淆

不同KMS操作的API名称。

6、AWSKMS支持的密钥材料来源不包括以下哪项？

A、AWS创建

B、用户导入

C、CloudHSM生成

D、第三方云服务生成

【答案】D

【解析】正确答案是D。KMS支持AWS创建、用户导入和CloudHSM生成的密钥

材料，但不支持直接从第三方云服务导入。知识点：KMS密钥材料来源。易错点：误

以为所有来源都支持。

7、在CloudTrail中启用数据事件日志记录时，以下哪种说法是正确的？

A、默认记录所有S3存储桶的数据事件

B、需要单独配置并产生额外费用

C、只能记录S3存储桶的事件

D、无法记录Lambda函