2025年AWS认证SecretsManager密钥访问的审计与异常行为检测专题试卷及解析.pdfVIP

2025年AWS认证SECRETSMANAGER密钥访问的审计与异常行为检测专题试卷及解析1

2025年AWS认证SecretsManager密钥访问的审计与

异常行为检测专题试卷及解析

2025年AWS认证SecretsManager密钥访问的审计与异常行为检测专题试卷及解

析

第一部分：单项选择题（共10题，每题2分）

1、AWSSecretsManager默认将密钥操作日志记录到哪个服务中？

A、AWSCloudTrail

B、AmazonCloudWatch

C、AWSConfig

D、AWSXRay

【答案】A

【解析】正确答案是A。AWSSecretsManager默认通过AWSCloudTrail记录所有

API调用日志，包括密钥的创建、访问和删除等操作。B选项CloudWatch主要用于监

控和日志收集，但不记录API调用；C选项Config用于资源配置跟踪；D选项XRay

用于应用性能监控。知识点：CloudTrail是AWS的审计日志服务。易错点：容易混淆

CloudTrail和CloudWatch的功能。

2、以下哪种方法可以检测到SecretsManager密钥的异常访问模式？

A、启用VPC端点策略

B、配置CloudWatch告警

C、使用AWSGuardDuty

D、设置IAM条件键

【答案】B

【解析】正确答案是B。通过CloudWatch告警可以监控SecretsManager的访问指

标，如访问频率异常，从而检测异常行为。A选项VPC端点策略用于网络访问控制；

C选项GuardDuty主要检测威胁情报，不直接监控密钥访问；D选项IAM条件键用

于权限控制而非检测。知识点：CloudWatch告警可用于异常检测。易错点：容易忽略

CloudWatch的监控能力。

3、SecretsManager密钥轮换失败时，应该首先检查哪个配置？

A、IAM权限

B、KMS密钥策略

C、Lambda函数权限

D、VPC路由表

【答案】C

2025年AWS认证SECRETSMANAGER密钥访问的审计与异常行为检测专题试卷及解析2

【解析】正确答案是C。SecretsManager密钥轮换通常通过Lambda函数实现，轮

换失败时首先检查Lambda函数的执行权限和配置。A选项IAM权限影响访问而非轮

换；B选项KMS密钥策略影响加密；D选项VPC路由表与轮换无关。知识点：Lambda

是密钥轮换的核心组件。易错点：容易忽略Lambda函数的作用。

4、如何限制SecretsManager密钥只能从特定VPC访问？

A、使用IAM策略

B、配置KMS密钥策略

C、启用VPC端点策略

D、设置CloudWatch日志过滤

【答案】C

【解析】正确答案是C。VPC端点策略可以限制SecretsManager只能从特定VPC

访问。A选项IAM策略控制用户权限；B选项KMS密钥策略控制加密；D选项Cloud-

Watch日志过滤用于监控。知识点：VPC端点策略是网络访问控制的关键。易错点：容

易混淆IAM策略和VPC端点策略的作用范围。

5、SecretsManager密钥的自动轮换功能依赖于哪个AWS服务？

A、AWSLambda

B、AmazonSNS

C、AWSStepFunctions

D、AmazonSQS

【答案】A

【解析】正确答案是A。SecretsManager通过AWSLambda函数实现密钥的自动

轮换。B选项SNS用于通知；C选项StepFunctions用于工作流编排；D选项SQS用

于消息队列。知识点：Lambda是密钥轮换的执行引擎。易错点：容易忽略Lambda在

轮换中的核心作用。

6、以下哪个CloudTrail事件类型表示SecretsManager密钥被访问？

A、GetSecretValue

B、CreateSecret