2025年AWS认证使用AWSKMS管理EBS快照加密密钥专题试卷及解析.pdfVIP

2025年AWS认证使用AWSKMS管理EBS快照加密密钥专题试卷及解析1

2025年AWS认证使用AWSKMS管理EBS快照加密

密钥专题试卷及解析

2025年AWS认证使用AWSKMS管理EBS快照加密密钥专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWS中，当您创建一个加密的EBS快照时，默认使用哪种类型的密钥进行

加密？

A、客户自主管理密钥（CMK）

B、AWS托管密钥（aws/ebs）

C、导入的密钥材料

D、自定义密钥存储

【答案】B

【解析】正确答案是B。AWS默认使用AWS托管密钥（aws/ebs）对EBS快照进

行加密，无需用户管理密钥生命周期。A选项CMK需要用户自行创建和管理；C选

项导入密钥材料需要额外操作；D选项自定义密钥存储适用于特殊合规场景。知识点：

EBS默认加密机制。易错点：误以为必须使用CMK。

2、以下哪种操作会自动创建新的EBS加密密钥？

A、从加密快照创建新卷

B、启用EBS默认加密

C、共享加密快照到其他账户

D、复制加密快照到不同区域

【答案】B

【解析】正确答案是B。启用EBS默认加密时，AWS会自动创建新的客户托管

CMK。A/C/D操作复用现有密钥。知识点：EBS默认加密机制。易错点：混淆”启用

默认加密”与”常规加密操作”的区别。

3、当您需要跨AWS账户共享加密EBS快照时，必须执行哪项关键操作？

A、修改快照属性

B、更新KMS密钥策略

C、创建新的IAM角色

D、启用快照公开访问

【答案】B

【解析】正确答案是B。跨账户共享加密快照需要同时修改快照属性和KMS密钥

策略，后者是加密数据共享的必要条件。A选项仅适用于未加密快照；C选项不相关；

D选项违反安全原则。知识点：加密资源跨账户共享机制。易错点：忽略KMS策略的

必要性。

2025年AWS认证使用AWSKMS管理EBS快照加密密钥专题试卷及解析2

4、AWSKMS密钥轮换的默认周期是多久？

A、30天

B、90天

C、365天

D、可自定义

【答案】C

【解析】正确答案是C。AWSKMS自动密钥轮换周期为365天，且不可修改。A/B

选项时间过短；D选项错误。知识点：KMS密钥轮换机制。易错点：误以为轮换周期

可自定义。

5、以下哪种KMS密钥类型支持自动密钥轮换？

A、对称CMK

B、非对称CMK

C、HMACCMK

D、数据密钥

【答案】A

【解析】正确答案是A。仅对称CMK支持自动轮换，非对称和HMAC密钥需手动

轮换。D选项数据密钥不涉及轮换。知识点：KMS密钥类型特性。易错点：混淆不同

密钥类型的轮换支持。

6、当您删除KMS密钥时，默认的等待期是多久？

A、7天

B、30天

C、90天

D、180天

【答案】B

【解析】正确答案是B。KMS密钥删除默认等待期为30天，期间可恢复。A/C/D

选项不符合AWS默认设置。知识点：KMS密钥删除机制。易错点：误记等待期时长。

7、以下哪种操作会触发KMS生成新的数据密钥？

A、创建加密EBS卷

B、修改密钥策略

C、启用密钥轮换

D、查看密钥元数据

【答案】A

【解析】正确答案是A。创建加密EBS卷时，KMS会生成唯一的数据密钥用于加

密数据。B/C/D操作不涉及数据密钥生成。知识点：KMS信封加密机制。易错点：混

淆密钥操作与数据密钥生成场景。

2025年AWS认证使用AWSKMS管理EBS快照加密密钥专题试卷及解析3

8、AWSKMS的哪种特性允许您在不暴露明文密钥的情况下执行加密操作？

A、信封加密

B、密