2025年AWS认证数据加密与密钥管理责任专题试卷及解析.pdfVIP

2025年AWS认证数据加密与密钥管理责任专题试卷及解析1

2025年AWS认证数据加密与密钥管理责任专题试卷及解

析

2025年AWS认证数据加密与密钥管理责任专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWS中，哪种服务允许您完全控制加密密钥的生命周期，包括创建、轮换和

删除？

A、AWSKMS

B、AWSCloudHSM

C、AWSSecretsManager

D、AWSCertificateManager

【答案】B

【解析】正确答案是B。AWSCloudHSM提供专用的硬件安全模块（HSM），用户完

全控制密钥生命周期。AWSKMS是托管服务，密钥由AWS管理；SecretsManager用于

管理秘密而非密钥；CertificateManager用于SSL/TLS证书管理。知识点：CloudHSM

的独占控制特性。易错点：混淆KMS与CloudHSM的控制权差异。

2、以下哪种加密模式是AWSS3默认的服务器端加密方式？

A、SSES3

B、SSEKMS

C、SSEC

D、客户端加密

【答案】A

【解析】正确答案是A。SSES3是S3默认的免费加密方式，密钥由AWS管理。

SSEKMS允许使用KMS密钥；SSEC需客户提供密钥；客户端加密需用户自行加密。

知识点：S3加密选项的默认行为。易错点：误以为默认方式是KMS加密。

3、AWSKMS中，密钥轮换的主要目的是什么？

A、提高加密性能

B、减少密钥泄露风险

C、降低存储成本

D、简化密钥管理

【答案】B

【解析】正确答案是B。密钥轮换通过定期更换密钥降低长期使用单一密钥的泄露

风险。性能与轮换无关；存储成本可能因多版本密钥略增；管理复杂度实际增加。知识

点：密钥轮换的安全意义。易错点：忽略轮换的安全核心价值。

4、以下哪项是AWS责任共担模型中客户的责任？

2025年AWS认证数据加密与密钥管理责任专题试卷及解析2

A、保护AWS数据中心物理安全

B、管理KMS密钥策略

C、维护底层硬件

D、更新AWS服务补丁

【答案】B

【解析】正确答案是B。客户负责配置和管理KMS密钥策略，其他选项均为AWS

责任。知识点：责任共担模型的边界划分。易错点：混淆基础设施与配置管理的责任归

属。

5、AWSKMS的EnvelopeEncryption（信封加密）中，数据密钥（DEK）的加密

由什么完成？

A、客户应用程序

B、AWSCloudHSM

C、主密钥（CMK）

D、AWSIAM

【答案】C

【解析】正确答案是C。信封加密中，DEK由CMK加密，CMK由KMS或HSM

保护。应用程序不直接加密DEK；CloudHSM是硬件选项；IAM仅权限管理。知识点：

信封加密的密钥层级。易错点：混淆DEK与CMK的加密关系。

6、以下哪种场景最适合使用AWSKMS异步密钥轮换？

A、需要立即撤销密钥访问权限

B、高频加密操作的性能优化

C、长期密钥的合规性要求

D、临时数据加密

【答案】C

【解析】正确答案是C。异步轮换适用于长期密钥的合规性需求，不影响现有操作。

立即撤销需禁用密钥；性能优化需考虑其他方案；临时数据无需轮换。知识点：异步轮

换的适用场景。易错点：误以为轮换能提升性能。

7、AWSKMS中，密钥策略与IAM策略的关系是什么？

A、密钥策略优先级更高

B、IAM策略优先级更高

C、两者独立生效

D、必须同时配置

【答案】C

【解析】正确答案是C。密钥策略和IAM策略是独立授权机制，需同时满足才能访

问。无优先级之分；可单独配置但需配合使用。知识点：KMS的授权模型。易错点：误

2