2025年AWS认证AWSControlTower数据保护与加密策略实施专题试卷及解析.pdfVIP

2025年AWS认证AWSCONTROLTOWER数据保护与加密策略实施专题试卷及解析1

2025年AWS认证AWSControlTower数据保护与加密

策略实施专题试卷及解析

2025年AWS认证AWSControlTower数据保护与加密策略实施专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSControlTower中，以下哪个服务主要负责集中管理加密密钥？

A、AWSKMS

B、AWSSecretsManager

C、AWSCloudHSM

D、AWSIAM

【答案】A

【解析】正确答案是A。AWSKMS（KeyManagementService）是AWS提供的集

中式密钥管理服务，用于创建和管理加密密钥。B选项SecretsManager主要用于管理

敏感信息如数据库凭证，C选项CloudHSM提供硬件安全模块，D选项IAM负责身

份和访问管理。知识点：AWSKMS的核心功能。易错点：容易混淆KMS与Secrets

Manager的职责范围。

2、AWSControlTower的Guardrail中，以下哪种类型属于强制性控制？

A、检测性Guardrail

B、预防性Guardrail

C、建议性Guardrail

D、监控性Guardrail

【答案】B

【解析】正确答案是B。预防性Guardrail通过阻止非合规操作来实现强制性控制，

而检测性Guardrail仅用于监控和报告。知识点：Guardrail的分类机制。易错点：容易

混淆预防性与检测性Guardrail的作用方式。

3、在ControlTower环境中，以下哪个AWS服务用于自动应用加密策略？

A、AWSConfig

B、AWSServiceCatalog

C、AWSOrganizations

D、AWSCloudTrail

【答案】C

【解析】正确答案是C。AWSOrganizations通过服务控制策略（SCP）在Control

Tower中强制执行加密策略。知识点：Organizations的策略执行机制。易错点：容易忽

略Organizations与ControlTower的集成关系。

4、以下哪种加密方式适用于跨区域数据复制？

2025年AWS认证AWSCONTROLTOWER数据保护与加密策略实施专题试卷及解析2

A、服务器端加密（SSES3）

B、客户托管密钥（SSEC）

C、AWSKMS托管密钥（SSEKMS）

D、客户端加密

【答案】D

【解析】正确答案是D。客户端加密在数据离开AWS环境前完成加密，适合跨区

域传输。知识点：不同加密方式的适用场景。易错点：容易混淆SSEKMS与客户端加

密的适用范围。

5、ControlTower中的LandingZone默认启用以下哪种加密？

A、AWSKMS默认密钥

B、客户自定义密钥

C、CloudHSM密钥

D、无加密

【答案】A

【解析】正确答案是A。ControlTowerLandingZone默认使用AWSKMS的默认

密钥（aws/alias）进行加密。知识点：ControlTower的默认加密配置。易错点：容易误

以为需要手动配置加密。

6、以下哪个Guardrail会阻止未加密的EBS卷创建？

A、awsguardrails3bucketpublicreadprohibited

B、awsguardrailebsencryptedvolume

C、awsguardrailiamnopolicieswithadminaccess

D、awsguardrailcloudtrailenabled

【答案】B

【解析】正确答案是B。该Guardrail专门针对EBS卷加密进行控制。知识点：

Guardrail命名规则。易错点：容易混淆不同Guardrail的适用对象。

7、在ControlTower中，