2025年AWS认证KMSEncrypt_DecryptAPI编程实践专题试卷及解析.pdfVIP

2025年AWS认证KMSENCRYPT_DECRYPTAPI编程实践专题试卷及解析1

2025年AWS认证KMSEncrypt_DecryptAPI编程实

践专题试卷及解析

2025年AWS认证KMSEncrypt_DecryptAPI编程实践专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在使用AWSKMSEncryptAPI时，以下哪个参数是必需的？

A、Plaintext

B、CiphertextBlob

C、KeyId

D、EncryptionContext

【答案】C

【解析】正确答案是C。KeyId是调用EncryptAPI时的必需参数，用于指定加密

所使用的KMS密钥。Plaintext是必需的待加密数据，但题目问的是API参数而非数

据本身。CiphertextBlob是DecryptAPI的返回值。EncryptionContext是可选的附加

认证信息。知识点：KMSEncryptAPI参数要求。易错点：混淆必需参数和可选参数。

2、AWSKMSDecryptAPI返回的明文数据最大支持多大？

A、4KB

B、64KB

C、4MB

D、无限制

【答案】A

【解析】正确答案是A。AWSKMSEncrypt/DecryptAPI直接处理的数据最大为

4KB。超过此大小的数据需要使用信封加密方案。知识点：KMSAPI数据大小限制。易

错点：误以为KMS可以处理任意大小的数据。

3、以下哪种KMS密钥类型最适合用于数据加密？

A、RSA_2048

B、ECC_NIST_P256

C、SYMMETRIC_DEFAULT

D、RSA_3072

【答案】C

【解析】正确答案是C。SYMMETRIC_DEFAULT是KMS的默认对称密钥类型，

专用于加密解密操作。RSA和ECC密钥主要用于签名和密钥交换。知识点：KMS密

钥类型用途。易错点：混淆加密密钥和签名密钥的用途。

4、在使用KMSEncryptAPI时，EncryptionContext的作用是什么？

A、指定加密算法

2025年AWS认证KMSENCRYPT_DECRYPTAPI编程实践专题试卷及解析2

B、提供额外的认证信息

C、设置密钥轮换策略

D、定义数据压缩方式

【答案】B

【解析】正确答案是B。EncryptionContext是可选的键值对，用于提供额外的上下

文信息，增强安全性。它不涉及算法选择、密钥轮换或数据压缩。知识点：KMSEncryp-

tionContext功能。易错点：误以为EncryptionContext影响加密算法。

5、KMSDecryptAPI要求必须提供哪个参数来验证请求的合法性？

A、Plaintext

B、CiphertextBlob

C、KeyId

D、EncryptionContext

【答案】B

【解析】正确答案是B。CiphertextBlob是DecryptAPI的必需参数，包含待解

密的密文。Plaintext是输出结果，KeyId通常不需要（密钥信息已包含在密文中），

EncryptionContext是可选的。知识点：KMSDecryptAPI参数要求。易错点：混淆输

入和输出参数。

6、以下哪种情况会导致KMSEncryptAPI调用失败？

A、未指定EncryptionContext

B、使用已禁用的密钥

C、加密数据小于4KB

D、未设置密钥别名

【答案】B

【解析】正确答案是B。使用已禁用的密钥会导致加密失败。EncryptionContext是

可选的，小于4KB的数据是允许的，密钥别名不是必需的。知识点：KMS密钥状态对

API的影响。易错点：忽略密钥状态的重要性。

7、KMSEncryptAPI返回的CiphertextBlob