2025年AWS认证SQS与SecretsManager密钥管理集成专题试卷及解析.pdfVIP

2025年AWS认证SQS与SECRETSMANAGER密钥管理集成专题试卷及解析1

2025年AWS认证SQS与SecretsManager密钥管理集

成专题试卷及解析

2025年AWS认证SQS与SecretsManager密钥管理集成专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSSQS与SecretsManager集成场景中，当SQS消息需要访问RDS数

据库时，最佳实践是？

A、将数据库凭证硬编码在应用程序代码中

B、将凭证存储在SQS消息体中

C、使用SecretsManager存储凭证并通过IAM角色授权访问

D、将凭证存储在EC2实例的用户数据中

【答案】C

【解析】正确答案是C。SecretsManager专门用于安全存储和管理凭证，通过IAM

角色实现最小权限访问。A选项违反安全最佳实践，B选项会暴露敏感信息，D选项不

适用于动态凭证管理。知识点：SecretsManager安全存储机制。易错点：混淆SQS消

息体与凭证存储的适用场景。

2、SQS消息处理器需要轮询SecretsManager获取最新凭证时，应该使用哪种轮

询策略？

A、每秒轮询一次

B、基于SecretsManager的自动轮换配置触发轮询

C、每5分钟轮询一次

D、仅在应用启动时轮询一次

【答案】B

【解析】正确答案是B。SecretsManager支持自动轮换，应用程序应基于轮换事件

触发轮询而非固定间隔。A、C选项会造成不必要的API调用，D选项无法获取轮换后

的凭证。知识点：SecretsManager轮换机制。易错点：忽略轮换事件的重要性。

3、在SQS与SecretsManager集成中，如何确保消息处理失败时不会泄露凭证？

A、使用死信队列(DLQ)存储失败消息

B、在消息处理前立即获取凭证

C、设置消息可见性超时

D、使用客户端加密消息内容

【答案】B

【解析】正确答案是B。即时获取凭证可减少凭证暴露时间窗口。A选项只处理消

息不处理凭证，C选项与凭证安全无关，D选项不能防止凭证泄露。知识点：凭证生命

周期管理。易错点：混淆消息安全与凭证安全。

2025年AWS认证SQS与SECRETSMANAGER密钥管理集成专题试卷及解析2

4、SecretsManager与SQS集成时，哪种情况适合使用客户端加密？

A、需要跨区域复制密钥

B、需要满足合规性要求

C、需要减少API调用次数

D、需要提高消息处理速度

【答案】B

【解析】正确答案是B。客户端加密主要用于满足特定合规要求。A选项应使用KMS

跨区域复制，C、D选项与加密无关。知识点：客户端加密适用场景。易错点：混淆不

同加密方案的用途。

5、当SQS消费者需要访问多个SecretsManager密钥时，最佳权限管理方式是？

A、为每个密钥创建单独的IAM策略

B、使用通配符(*)授予所有密钥访问权限

C、基于密钥标签实现细粒度权限控制

D、将密钥权限附加到SQS队列策略

【答案】C

【解析】正确答案是C。基于标签的权限控制既灵活又安全。A选项管理复杂，B选

项违反最小权限原则，D选项密钥权限不能附加到SQS。知识点：IAM权限控制最佳

实践。易错点：忽略标签在权限管理中的作用。

6、SecretsManager自动轮换密钥时，SQS消费者应该如何处理？

A、重启应用程序获取新密钥

B、监听轮换事件并更新本地缓存

C、忽略轮换继续使用旧密钥

D、每24小时强制刷新密钥

【答案】B

【解析】正确答案是B。基于事件更新缓存是最优方案。A选项过于粗暴，C选项

会导致认证失败，D选项无法及时获取轮换后的密钥。知识点：密钥轮换处理机制。易

错点：混淆主动轮询与事件驱动。

7、在SQS与SecretsManage