2025年AWS认证KMS密钥策略与IAM策略基础专题试卷及解析.pdfVIP

2025年AWS认证KMS密钥策略与IAM策略基础专题试卷及解析1

2025年AWS认证KMS密钥策略与IAM策略基础专题

试卷及解析

2025年AWS认证KMS密钥策略与IAM策略基础专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSKMS中，以下哪种策略是控制对KMS密钥访问的主要方式？

A、IAM策略

B、VPC端点策略

C、密钥策略

D、S3存储桶策略

【答案】C

【解析】正确答案是C。密钥策略是控制对KMS密钥访问的主要方式，必须附加

到每个KMS密钥上。A选项IAM策略虽然可以控制KMS访问，但需要与密钥策略

配合使用；B选项VPC端点策略控制的是VPC端点访问；D选项S3存储桶策略与

KMS无关。知识点：KMS密钥策略是强制性的，而IAM策略是可选的补充。易错点：

容易误认为IAM策略是主要控制方式。

2、以下哪个AWS服务默认使用KMS进行加密？

A、EC2

B、S3

C、Lambda

D、CloudFront

【答案】B

【解析】正确答案是B。S3默认使用KMS进行服务器端加密(SSEKMS)。A选项

EC2需要手动配置EBS加密；C选项Lambda环境变量可以使用KMS加密但不是默

认；D选项CloudFront可以使用KMS但不是默认。知识点：S3的SSEKMS是默认

加密方式之一。易错点：容易混淆”默认使用”和”支持使用”的区别。

3、在KMS密钥策略中，以下哪个语句允许所有AWS账户使用密钥？

A、“Effect”:“Allow”,“Principal”:“”

B、“Effect”:“Allow”,“Principal”:{“AWS”:““}

C、“Effect”:“Allow”,“Principal”:{“AWS”:“arn:aws:iam::123456789012:root”}

D、“Effect”:“Allow”,“Principal”:{“Service”:““}

【答案】B

【解析】正确答案是B。{“AWS”:“”}表示允许所有AWS账户访问。A选项””表示

所有主体包括AWS服务；C选项只允许特定账户；D选项只允许AWS服务。知识点：

Principal字段中”“和{”AWS”:“”}的区别。易错点：容易混淆通配符的使用方式。

2025年AWS认证KMS密钥策略与IAM策略基础专题试卷及解析2

4、以下哪种KMS密钥类型可以跨区域复制？

A、对称CMK

B、非对称CMK

C、HMAC密钥

D、以上都不能

【答案】D

【解析】正确答案是D。KMS密钥本身不能跨区域复制，但可以创建多区域密钥。

A、B、C选项都是单区域密钥类型。知识点：多区域密钥是特殊类型，不是普通密钥的

复制。易错点：容易误解”多区域密钥”是普通密钥的复制版本。

5、在IAM策略中，以下哪个条件键可以限制KMS密钥的使用来源？

A、kms:ViaService

B、kms:EncryptionContext

C、aws:SourceIp

D、kms:KeySpec

【答案】B

【解析】正确答案是B。kms:EncryptionContext可以限制加密上下文的使用。A选

项限制通过特定服务；C选项限制IP地址；D选项限制密钥规格。知识点：加密上下

文是KMS的重要安全特性。易错点：容易混淆各种条件键的用途。

6、以下哪个操作需要同时拥有IAM权限和KMS密钥权限？

A、列出KMS密钥

B、创建KMS密钥

C、使用KMS密钥加密数据

D、删除KMS密钥

【答案】C

【解析】正确答案是C。使用密钥加密需要IAM的kms:Encrypt权限和密钥策略的

允许。A、B、D选项