2025年AWS认证SecretsManager从HashiCorpVault迁移的实践与挑战专题试卷及解析.pdfVIP

2025年AWS认证SECRETSMANAGER从HASHICORPVAULT迁移的实践与挑战专题试卷及解析

2025年AWS认证SecretsManager从

HashiCorpVault迁移的实践与挑战专题试卷及解析

2025年AWS认证SecretsManager从HashiCorpVault迁移的实践与挑战专题试卷

及解析

第一部分：单项选择题（共10题，每题2分）

1、在从HashiCorpVault迁移到AWSSecretsManager时，以下哪项是Secrets

Manager特有的核心优势？

A、支持动态秘密生成

B、与AWSIAM深度集成实现细粒度权限控制

C、提供开源版本

D、支持多种认证方法

【答案】B

【解析】正确答案是B。AWSSecretsManager与IAM的深度集成是其核心优势，

可以实现基于资源的精细权限控制。A选项Vault也支持动态秘密；C选项Secrets

Manager没有开源版本；D选项Vault支持的认证方法更多样。知识点：SecretsManager

权限模型。易错点：容易忽略AWS服务间的原生集成优势。

2、迁移过程中，以下哪种场景最适合使用AWSSecretsManager的自动轮换功能？

A、数据库管理员手动更改的密码

B、第三方API密钥

C、通过Lambda函数可自动更新的数据库凭证

D、SSH私钥

【答案】C

【解析】正确答案是C。SecretsManager的自动轮换需要通过Lambda函数实现，

最适合可编程更新的凭证如数据库密码。A选项手动更改无法自动轮换；B和D选项

通常不支持自动轮换。知识点：SecretsManager轮换机制。易错点：误以为所有秘密

类型都支持自动轮换。

3、从Vault迁移时，以下哪项是SecretsManager特有的计费考量因素？

A、API调用次数

B、存储的秘密数量

C、跨区域复制流量

D、所有选项都是

【答案】D

【解析】正确答案是D。SecretsManager的计费包括存储成本、API调用费用和跨

区域复制流量，而Vault主要考虑基础设施成本。知识点：AWS服务计费模型。易错

2025年AWS认证SECRETSMANAGER从HASHICORPVAULT迁移的实践与挑战专题试卷及解析

点：容易忽略API调用和跨区域复制的成本影响。

4、在迁移策略中，以下哪种方法最适合生产环境的无缝切换？

A、一次性全量迁移

B、蓝绿部署模式

C、影子模式（ShadowMode）

D、金丝雀发布

【答案】C

【解析】正确答案是C。影子模式允许同时从Vault和SecretsManager读取秘密，

确保新系统稳定后再切换。A选项风险大；B和D更适合应用部署而非秘密迁移。知

识点：迁移策略选择。易错点：混淆应用部署策略与数据迁移策略。

5、SecretsManager的以下哪个特性可以弥补Vault在审计方面的不足？

A、CloudTrail集成

B、本地审计日志

C、实时监控仪表板

D、自定义日志格式

【答案】A

【解析】正确答案是A。SecretsManager与CloudTrail集成提供完整的API调用

审计，而Vault需要额外配置。B和D选项Vault也支持；C选项两者都有。知识点：

AWS审计能力。易错点：低估AWS原生服务集成的审计优势。

6、迁移后，以下哪种方式最安全地管理SecretsManager的访问权限？

A、使用根账户

B、创建专用的IAM角色

C、共享访问密钥

D、禁用所有权限

【答案】B

【解析】正确答案是B。专用IAM角色遵循最小权限原则，是最佳实践。A选项违

反安全原则；C选项存在密钥泄露风险；D选项会导致无法访问。知识点：IAM最佳

实践。易错点：为图方便使用过高权限。

7、当需要从Vault迁移大量秘密时，以下哪种AWS服务可以辅助批量操作？

A、A