2025年AWS认证对称加密与非对称加密在KMS中的应用专题试卷及解析.pdfVIP

2025年AWS认证对称加密与非对称加密在KMS中的应用专题试卷及解析1

2025年AWS认证对称加密与非对称加密在KMS中的应

用专题试卷及解析

2025年AWS认证对称加密与非对称加密在KMS中的应用专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSKMS中，默认创建的CMK（CustomerMasterKey）使用的是哪种加

密算法？

A、RSA

B、AES256

C、ECC

D、3DES

【答案】B

【解析】正确答案是B。AWSKMS默认创建的CMK使用AES256对称加密算法，

这是AWS推荐的标准加密方式。A选项RSA是非对称加密算法，用于特定场景；C

选项ECC也是非对称加密，适用于移动设备等资源受限环境；D选项3DES已被淘汰，

不推荐使用。知识点：KMS默认加密算法。易错点：混淆对称与非对称加密的默认选

择。

2、当需要使用KMS加密大量数据时，AWS推荐的最佳实践是什么？

A、直接使用KMSAPI加密所有数据

B、使用信封加密（EnvelopeEncryption）

C、使用客户端加密

D、使用S3默认加密

【答案】B

【解析】正确答案是B。信封加密是AWS推荐的最佳实践，它使用KMS生成数据

密钥加密数据，再用CMK加密数据密钥。A选项直接加密效率低且成本高；C选项客

户端加密需要自行管理密钥；D选项S3默认加密底层也是信封加密。知识点：信封加

密原理。易错点：忽略性能和成本因素。

3、KMS中的非对称CMK主要用于以下哪种场景？

A、批量数据加密

B、数字签名

C、数据库加密

D、日志加密

【答案】B

【解析】正确答案是B。非对称CMK主要用于数字签名和密钥交换，不适合批量

数据加密。A、C、D选项都是对称加密的典型应用场景。知识点：非对称加密应用场

2025年AWS认证对称加密与非对称加密在KMS中的应用专题试卷及解析2

景。易错点：误用非对称加密处理大数据。

4、在KMS中，以下哪种操作会触发自动密钥轮换？

A、手动轮换

B、每年自动轮换

C、从不自动轮换

D、每季度自动轮换

【答案】B

【解析】正确答案是B。AWSKMS默认每年自动轮换对称CMK，非对称CMK不

支持自动轮换。A选项手动轮换需要用户主动操作；C选项错误；D选项频率过高。知

识点：密钥轮换机制。易错点：混淆对称与非对称密钥的轮换策略。

5、KMS中的”Alias”（别名）主要用于解决什么问题？

A、提高加密性能

B、简化密钥引用

C、增强安全性

D、降低成本

【答案】B

【解析】正确答案是B。别名是用户友好的密钥标识符，简化了密钥引用和管理。A、

C、D选项都不是别名的主要功能。知识点：KMS别名机制。易错点：误认为别名有加

密功能。

6、当使用KMS非对称CMK进行数字签名时，应使用哪个API操作？

A、Encrypt

B、Decrypt

C、Sign

D、GenerateDataKey

【答案】C

【解析】正确答案是C。SignAPI专门用于数字签名操作。A、B选项用于数据加

解密；D选项用于生成数据密钥。知识点：KMSAPI功能区分。易错点：混淆签名与

加密操作。

7、KMS中的”KeyPolicy”主要用于控制什么？

A、密钥使用权限

B、密钥轮换频率

C、密钥存储位置

D、密钥算法类型

【答案】A

2025年AWS认证对称加密与非对称加密在KMS中的应用专题试卷及解析3

【解析】正确答案是A。KeyPolicy是JSON文档，定义谁可以使用密钥及使用方

式。B、C、D选项都不受KeyPolicy控制。知