第第PAGE\MERGEFORMAT1頁(yè)共NUMPAGES\MERGEFORMAT1頁(yè)阿里云云安全ACA題庫(kù)及答案解析（含答案及解析）姓名：科室/部門/班級(jí)：得分：題型單選題多選題判斷題填空題簡(jiǎn)答題案例分析題總分得分由于篇幅限制，以下將展示部分試題和答案解析的示例，完整試卷需根據(jù)實(shí)際需求擴(kuò)展。假設(shè)培訓(xùn)課程為“阿里云云安全ACA認(rèn)證培訓(xùn)”，涵蓋“訪問控制”“數(shù)據(jù)加密”“安全審計(jì)”等模塊。

一、單選題（共20分）

1.在阿里云環(huán)境中，以下哪種身份驗(yàn)證方式屬于多因素認(rèn)證（MFA）？

（）A.用戶名+密碼

（）B.密碼+短信驗(yàn)證碼

（）C.生物識(shí)別+靜態(tài)口令

（）D.API密鑰

2.根據(jù)阿里云安全最佳實(shí)踐，以下哪個(gè)操作有助于降低賬戶被盜風(fēng)險(xiǎn)？

（）A.使用默認(rèn)賬號(hào)登錄

（）B.為管理員賬號(hào)設(shè)置復(fù)雜密碼

（）C.允許所有用戶訪問所有資源

（）D.忘記修改默認(rèn)的安全組規(guī)則

3.在阿里云OSS中，以下哪種加密方式屬于客戶端加密？

（）A.KMS密鑰加密

（）B.SSE-S3（服務(wù)器端加密）

（）C.AES-256

（）D.公鑰加密

4.根據(jù)培訓(xùn)中“訪問控制”模塊，以下哪個(gè)策略屬于最小權(quán)限原則？

（）A.賦予用戶最高權(quán)限以方便操作

（）B.按需分配權(quán)限，僅授予完成工作所需的最小權(quán)限

（）C.將所有資源設(shè)置為公開訪問

（）D.定期清理所有用戶權(quán)限

5.在阿里云WAF中，以下哪種規(guī)則類型用于防御SQL注入攻擊？

（）A.CC攻擊防護(hù)

（）B.熱點(diǎn)詞過濾

（）C.SQL注入防護(hù)

（）D.蠕蟲病毒防護(hù)

6.根據(jù)培訓(xùn)中“安全審計(jì)”模塊，以下哪個(gè)工具可用于記錄用戶操作日志？

（）A.CloudTrail

（）B.CloudMonitor

（）C.SLB

（）D.RDS

7.在阿里云RDS中，以下哪種備份方式屬于增量備份？

（）A.完整數(shù)據(jù)庫(kù)備份

（）B.邏輯備份

（）C.分區(qū)備份

（）D.增量備份

8.根據(jù)培訓(xùn)中“數(shù)據(jù)加密”模塊，以下哪種加密方式屬于對(duì)稱加密？

（）A.RSA

（）B.AES

（）C.ECC

（）D.SHA-256

9.在阿里云RAM中，以下哪個(gè)角色類型具有最高權(quán)限？

（）A.用戶

（）B.組

（）C.系統(tǒng)管理員

（）D.RAM角色

10.根據(jù)培訓(xùn)中“安全組”模塊，以下哪個(gè)操作有助于提升網(wǎng)絡(luò)安全？

（）A.開放所有端口以方便訪問

（）B.僅開放必要端口并限制IP地址

（）C.使用默認(rèn)安全組規(guī)則

（）D.不配置安全組規(guī)則

11.在阿里云OSS中，以下哪種存儲(chǔ)類型適合長(zhǎng)期歸檔？

（）A.標(biāo)準(zhǔn)存儲(chǔ)

（）B.低頻訪問存儲(chǔ)

（）C.高頻訪問存儲(chǔ)

（）D.存儲(chǔ)歸檔

12.根據(jù)培訓(xùn)中“DDoS防護(hù)”模塊，以下哪種攻擊屬于流量型攻擊？

（）A.空洞掃描

（）B.SYNFlood

（）C.慢速連接

（）D.僵尸網(wǎng)絡(luò)

13.在阿里云VPC中，以下哪種配置有助于隔離不同部門資源？

（）A.使用同一個(gè)交換機(jī)

（）B.配置不同的安全組

（）C.使用默認(rèn)網(wǎng)絡(luò)配置

（）D.不配置網(wǎng)絡(luò)ACL

14.根據(jù)培訓(xùn)中“密鑰管理”模塊，以下哪種密鑰類型屬于客戶主密鑰（CMK）？

（）A.系統(tǒng)生成的密鑰

（）B.客戶創(chuàng)建的密鑰

（）C.默認(rèn)密鑰

（）D.第三方提供的密鑰

15.在阿里云ECS中，以下哪種方式可用于提升實(shí)例安全性？

（）A.使用默認(rèn)密鑰對(duì)

（）B.配置密碼鎖屏

（）C.開放所有端口

（）D.忘記配置安全組

16.根據(jù)培訓(xùn)中“日志分析”模塊，以下哪個(gè)工具可用于分析CloudTrail日志？

（）A.ELS

（）B.EMR

（）C.ARMS

（）D.SLB

17.在阿里云RDS中，以下哪種備份方式屬于全量備份？

（）A.增量備份

（）B.完整數(shù)據(jù)庫(kù)備份

（）C.邏輯備份

（）D.分區(qū)備份

18.根據(jù)培訓(xùn)中“訪問控制”模塊，以下哪個(gè)策略屬于基于角色的訪問控制（RBAC）？

（）A.為每個(gè)用戶單獨(dú)配置權(quán)限

（）B.將權(quán)限分組到角色中并分配給用戶

（）C.使用IP地址控制訪問

（）D.不配置任何權(quán)限

19.在阿里云OSS中，以下哪種加密方式屬于服務(wù)器端加密？

（）A.KMS密鑰加密

（）B.SSE-S3

（）C.AES-256

（）D.公鑰加密

20.根據(jù)培訓(xùn)中“安全審計(jì)”模塊，以下哪個(gè)工具可用于監(jiān)控API調(diào)用？

（）A.CloudTrail

（）B.CloudMonitor

（）C.ARMS

（）D.SLB

二、多選題（共15分，多選、錯(cuò)選不得分）

21.在阿里云環(huán)境中，以下哪些措施有助于提升賬戶安全？

（）A.使用多因素認(rèn)證

（）B.定期修改密碼

（）C.使用默認(rèn)賬號(hào)

（）D.避免使用生日作為密碼

22.根據(jù)培訓(xùn)中“數(shù)據(jù)加密”模塊，以下哪些屬于對(duì)稱加密算法？

（）A.AES

（）B.RSA

（）C.DES

（）D.ECC

23.在阿里云WAF中，以下哪些規(guī)則類型可用于防御常見Web攻擊？

（）A.SQL注入防護(hù)

（）B.CC攻擊防護(hù)

（）C.熱點(diǎn)詞過濾

（）D.蠕蟲病毒防護(hù)

24.根據(jù)培訓(xùn)中“訪問控制”模塊，以下哪些屬于最小權(quán)限原則的應(yīng)用？

（）A.為用戶分配完成工作所需的最小權(quán)限

（）B.允許所有用戶訪問所有資源

（）C.定期審計(jì)權(quán)限分配

（）D.使用默認(rèn)權(quán)限配置

25.在阿里云VPC中，以下哪些配置有助于提升網(wǎng)絡(luò)安全？

（）A.配置安全組規(guī)則

（）B.使用網(wǎng)絡(luò)ACL

（）C.開放所有端口

（）D.不配置網(wǎng)絡(luò)隔離

26.根據(jù)培訓(xùn)中“DDoS防護(hù)”模塊，以下哪些屬于流量型攻擊？

（）A.SYNFlood

（）B.UDPFlood

（）C.空洞掃描

（）D.CC攻擊

27.在阿里云OSS中，以下哪些存儲(chǔ)類型適合不同場(chǎng)景？

（）A.標(biāo)準(zhǔn)存儲(chǔ)

（）B.低頻訪問存儲(chǔ)

（）C.存儲(chǔ)歸檔

（）D.高頻訪問存儲(chǔ)

28.根據(jù)培訓(xùn)中“密鑰管理”模塊，以下哪些屬于KMS的功能？

（）A.密鑰創(chuàng)建

（）B.密鑰輪換

（）C.密鑰加密

（）D.密鑰審計(jì)

29.在阿里云ECS中，以下哪些措施有助于提升實(shí)例安全性？

（）A.配置密碼鎖屏

（）B.使用默認(rèn)密鑰對(duì)

（）C.配置安全組規(guī)則

（）D.開放所有端口

30.根據(jù)培訓(xùn)中“日志分析”模塊，以下哪些工具可用于安全監(jiān)控？

（）A.CloudTrail

（）B.ELS

（）C.EMR

（）D.ARMS

三、判斷題（共10分，每題0.5分）

31.在阿里云環(huán)境中，使用默認(rèn)賬號(hào)登錄可以提高操作效率。

（）√

（）×

32.根據(jù)培訓(xùn)中“數(shù)據(jù)加密”模塊，SSE-S3屬于客戶端加密。

（）√

（）×

33.在阿里云WAF中，CC攻擊屬于流量型攻擊。

（）√

（）×

34.根據(jù)培訓(xùn)中“訪問控制”模塊，最小權(quán)限原則要求為用戶分配最高權(quán)限。

（）√

（）×

35.在阿里云VPC中，使用默認(rèn)安全組規(guī)則可以簡(jiǎn)化網(wǎng)絡(luò)配置。

（）√

（）×

36.根據(jù)培訓(xùn)中“DDoS防護(hù)”模塊，UDPFlood屬于協(xié)議型攻擊。

（）√

（）×

37.在阿里云OSS中，存儲(chǔ)歸檔適合長(zhǎng)期數(shù)據(jù)存儲(chǔ)。

（）√

（）×

38.根據(jù)培訓(xùn)中“密鑰管理”模塊，KMS密鑰屬于客戶主密鑰（CMK）。

（）√

（）×

39.在阿里云ECS中，使用默認(rèn)密鑰對(duì)可以提高操作便利性。

（）√

（）×

40.根據(jù)培訓(xùn)中“日志分析”模塊，CloudTrail可用于監(jiān)控API調(diào)用。

（）√

（）×

四、填空題（共10分，每空1分）

41.在阿里云環(huán)境中，__________是指僅授予用戶完成工作所需的最小權(quán)限。

42.根據(jù)培訓(xùn)中“數(shù)據(jù)加密”模塊，__________屬于對(duì)稱加密算法。

43.在阿里云WAF中，__________規(guī)則類型用于防御SQL注入攻擊。

44.根據(jù)培訓(xùn)中“訪問控制”模塊，__________是指將權(quán)限分組到角色中并分配給用戶。

45.在阿里云VPC中，__________用于隔離不同部門資源。

46.根據(jù)培訓(xùn)中“DDoS防護(hù)”模塊，__________屬于流量型攻擊。

47.在阿里云OSS中，__________存儲(chǔ)類型適合長(zhǎng)期歸檔。

48.根據(jù)培訓(xùn)中“密鑰管理”模塊，__________是客戶創(chuàng)建的密鑰。

49.在阿里云ECS中，__________用于控制實(shí)例網(wǎng)絡(luò)訪問。

50.根據(jù)培訓(xùn)中“日志分析”模塊，__________可用于分析CloudTrail日志。

五、簡(jiǎn)答題（共20分）

51.根據(jù)培訓(xùn)中“訪問控制”模塊，簡(jiǎn)述最小權(quán)限原則的核心思想及其應(yīng)用場(chǎng)景。（5分）

52.結(jié)合培訓(xùn)中“數(shù)據(jù)加密”模塊，說明阿里云環(huán)境中常見的加密方式及其適用場(chǎng)景。（5分）

53.根據(jù)培訓(xùn)中“安全審計(jì)”模塊，簡(jiǎn)述CloudTrail的作用及使用方法。（5分）

54.結(jié)合培訓(xùn)中“DDoS防護(hù)”模塊，說明流量型攻擊的特點(diǎn)及常見防御措施。（5分）

六、案例分析題（共15分）

55.案例背景：某公司使用阿里云ECS部署Web應(yīng)用，近期發(fā)現(xiàn)存在多次登錄失敗嘗試，且部分文件被非法訪問。

問題：

（1）分析可能的安全風(fēng)險(xiǎn)及原因。（5分）

（2）提出相應(yīng)的安全加固措施。（5分）

（3）總結(jié)該案例中應(yīng)吸取的安全經(jīng)驗(yàn)。（5分）

參考答案及解析

一、單選題

1.B

解析：多因素認(rèn)證（MFA）要求用戶提供兩種或以上認(rèn)證因素，密碼+短信驗(yàn)證碼屬于常見的MFA組合。

A選項(xiàng)錯(cuò)誤，用戶名+密碼屬于單一因素認(rèn)證；

C選項(xiàng)錯(cuò)誤，生物識(shí)別+靜態(tài)口令雖然屬于MFA，但不是阿里云環(huán)境中常見的組合；

D選項(xiàng)錯(cuò)誤，API密鑰屬于單一因素認(rèn)證。

2.B

解析：根據(jù)阿里云安全最佳實(shí)踐，為管理員賬號(hào)設(shè)置復(fù)雜密碼有助于降低賬戶被盜風(fēng)險(xiǎn)。

A選項(xiàng)錯(cuò)誤，使用默認(rèn)賬號(hào)登錄存在安全風(fēng)險(xiǎn)；

C選項(xiàng)錯(cuò)誤，允許所有用戶訪問所有資源違反最小權(quán)限原則；

D選項(xiàng)錯(cuò)誤，忘記修改默認(rèn)安全組規(guī)則會(huì)導(dǎo)致安全漏洞。

3.B

解析：SSE-S3（服務(wù)器端加密）屬于服務(wù)器端加密，而客戶端加密由用戶在傳輸前加密數(shù)據(jù)。

A選項(xiàng)錯(cuò)誤，KMS密鑰加密屬于服務(wù)器端加密；

C選項(xiàng)錯(cuò)誤，AES-256屬于加密算法，而非存儲(chǔ)方式；

D選項(xiàng)錯(cuò)誤，公鑰加密屬于非對(duì)稱加密。

4.B

解析：最小權(quán)限原則要求按需分配權(quán)限，僅授予完成工作所需的最小權(quán)限。

A選項(xiàng)錯(cuò)誤，賦予用戶最高權(quán)限違反最小權(quán)限原則；

C選項(xiàng)錯(cuò)誤，公開所有資源違反訪問控制原則；

D選項(xiàng)錯(cuò)誤，定期清理權(quán)限不屬于最小權(quán)限原則。

5.C

解析：SQL注入防護(hù)規(guī)則類型用于防御SQL注入攻擊。

A選項(xiàng)錯(cuò)誤，CC攻擊防護(hù)用于防御爬蟲攻擊；

B選項(xiàng)錯(cuò)誤，熱點(diǎn)詞過濾用于內(nèi)容過濾；

D選項(xiàng)錯(cuò)誤，蠕蟲病毒防護(hù)用于防御病毒傳播。

6.A

解析：CloudTrail用于記錄用戶操作日志。

B選項(xiàng)錯(cuò)誤，CloudMonitor用于監(jiān)控資源性能；

C選項(xiàng)錯(cuò)誤，SLB用于負(fù)載均衡；

D選項(xiàng)錯(cuò)誤，RDS用于數(shù)據(jù)庫(kù)管理。

7.D

解析：增量備份僅記錄自上次備份以來的數(shù)據(jù)變化。

A選項(xiàng)錯(cuò)誤，完整數(shù)據(jù)庫(kù)備份記錄所有數(shù)據(jù)；

B選項(xiàng)錯(cuò)誤，邏輯備份用于數(shù)據(jù)庫(kù)遷移；

C選項(xiàng)錯(cuò)誤，分區(qū)備份用于特定數(shù)據(jù)分區(qū)。

8.B

解析：AES屬于對(duì)稱加密算法。

A選項(xiàng)錯(cuò)誤，RSA屬于非對(duì)稱加密；

C選項(xiàng)錯(cuò)誤，ECC屬于非對(duì)稱加密；

D選項(xiàng)錯(cuò)誤，SHA-256屬于哈希算法。

9.C

解析：系統(tǒng)管理員具有最高權(quán)限。

A選項(xiàng)錯(cuò)誤，用戶權(quán)限受限制；

B選項(xiàng)錯(cuò)誤，組權(quán)限是用戶權(quán)限的集合；

D選項(xiàng)錯(cuò)誤，RAM角色權(quán)限可配置。

10.B

解析：僅開放必要端口并限制IP地址有助于提升網(wǎng)絡(luò)安全。

A選項(xiàng)錯(cuò)誤，開放所有端口增加安全風(fēng)險(xiǎn)；

C選項(xiàng)錯(cuò)誤，默認(rèn)安全組規(guī)則可能存在漏洞；

D選項(xiàng)錯(cuò)誤，不配置安全組規(guī)則違反安全原則。

11.B

解析：低頻訪問存儲(chǔ)適合長(zhǎng)期歸檔。

A選項(xiàng)錯(cuò)誤，標(biāo)準(zhǔn)存儲(chǔ)適合高頻訪問；

C選項(xiàng)錯(cuò)誤，存儲(chǔ)歸檔適合極低頻訪問；

D選項(xiàng)錯(cuò)誤，高頻訪問存儲(chǔ)適合實(shí)時(shí)訪問。

12.B

解析：SYNFlood屬于流量型攻擊。

A選項(xiàng)錯(cuò)誤，空洞掃描屬于探測(cè)型攻擊；

C選項(xiàng)錯(cuò)誤，慢速連接屬于消耗型攻擊；

D選項(xiàng)錯(cuò)誤，僵尸網(wǎng)絡(luò)屬于分布式攻擊。

13.B

解析：配置不同的安全組有助于隔離不同部門資源。

A選項(xiàng)錯(cuò)誤，使用同一個(gè)交換機(jī)不隔離資源；

C選項(xiàng)錯(cuò)誤，默認(rèn)網(wǎng)絡(luò)配置不隔離資源；

D選項(xiàng)錯(cuò)誤，不配置網(wǎng)絡(luò)ACL不隔離資源。

14.B

解析：客戶主密鑰（CMK）是客戶創(chuàng)建的密鑰。

A選項(xiàng)錯(cuò)誤，系統(tǒng)生成的密鑰屬于默認(rèn)密鑰；

C選項(xiàng)錯(cuò)誤，默認(rèn)密鑰由系統(tǒng)提供；

D選項(xiàng)錯(cuò)誤，第三方提供的密鑰不屬于客戶主密鑰。

15.B

解析：配置密碼鎖屏有助于提升實(shí)例安全性。

A選項(xiàng)錯(cuò)誤，使用默認(rèn)密鑰對(duì)存在安全風(fēng)險(xiǎn)；

C選項(xiàng)錯(cuò)誤，開放所有端口違反安全原則；

D選項(xiàng)錯(cuò)誤，忘記配置安全組違反安全原則。

16.A

解析：CloudTrail用于記錄API調(diào)用日志。

B選項(xiàng)錯(cuò)誤，EMR用于大數(shù)據(jù)處理；

C選項(xiàng)錯(cuò)誤，ARMS用于應(yīng)用監(jiān)控；

D選項(xiàng)錯(cuò)誤，SLB用于負(fù)載均衡。

17.B

解析：完整數(shù)據(jù)庫(kù)備份記錄所有數(shù)據(jù)。

A選項(xiàng)錯(cuò)誤，增量備份記錄數(shù)據(jù)變化；

C選項(xiàng)錯(cuò)誤，邏輯備份用于數(shù)據(jù)庫(kù)遷移；

D選項(xiàng)錯(cuò)誤，分區(qū)備份用于特定數(shù)據(jù)分區(qū)。

18.B

解析：基于角色的訪問控制（RBAC）將權(quán)限分組到角色中并分配給用戶。

A選項(xiàng)錯(cuò)誤，為每個(gè)用戶單獨(dú)配置權(quán)限效率低；

C選項(xiàng)錯(cuò)誤，IP地址控制訪問不屬于RBAC；

D選項(xiàng)錯(cuò)誤，不配置權(quán)限違反安全原則。

19.B

解析：SSE-S3屬于服務(wù)器端加密。

A選項(xiàng)錯(cuò)誤，KMS密鑰加密屬于服務(wù)器端加密；

C選項(xiàng)錯(cuò)誤，AES-256屬于加密算法；

D選項(xiàng)錯(cuò)誤，公鑰加密屬于非對(duì)稱加密。

20.A

解析：CloudTrail用于監(jiān)控API調(diào)用。

B選項(xiàng)錯(cuò)誤，CloudMonitor用于監(jiān)控資源性能；

C選項(xiàng)錯(cuò)誤，ARMS用于應(yīng)用監(jiān)控；

D選項(xiàng)錯(cuò)誤，SLB用于負(fù)載均衡。

二、多選題

21.AB

解析：使用多因素認(rèn)證和定期修改密碼有助于提升賬戶安全。

C選項(xiàng)錯(cuò)誤，使用默認(rèn)賬號(hào)存在安全風(fēng)險(xiǎn)；

D選項(xiàng)錯(cuò)誤，使用生日作為密碼不夠復(fù)雜。

22.AC

解析：AES和DES屬于對(duì)稱加密算法。

B選項(xiàng)錯(cuò)誤，RSA屬于非對(duì)稱加密；

D選項(xiàng)錯(cuò)誤，ECC屬于非對(duì)稱加密。

23.AC

解析：SQL注入防護(hù)和熱點(diǎn)詞過濾用于防御常見Web攻擊。

B選項(xiàng)錯(cuò)誤，CC攻擊防護(hù)用于防御爬蟲攻擊；

D選項(xiàng)錯(cuò)誤，蠕蟲病毒防護(hù)用于防御病毒傳播。

24.AC

解析：為用戶分配完成工作所需的最小權(quán)限和定期審計(jì)權(quán)限分配屬于最小權(quán)限原則的應(yīng)用。

B選項(xiàng)錯(cuò)誤，允許所有用戶訪問所有資源違反最小權(quán)限原則；

D選項(xiàng)錯(cuò)誤，使用默認(rèn)權(quán)限配置違反最小權(quán)限原則。

25.AB

解析：配置安全組規(guī)則和使用網(wǎng)絡(luò)ACL有助于提升網(wǎng)絡(luò)安全。

C選項(xiàng)錯(cuò)誤，開放所有端口違反安全原則；

D選項(xiàng)錯(cuò)誤，不配置網(wǎng)絡(luò)隔離不安全。

26.AB

解析：SYNFlood和UDPFlood屬于流量型攻擊。

C選項(xiàng)錯(cuò)誤，空洞掃描屬于探測(cè)型攻擊；

D選項(xiàng)錯(cuò)誤，CC攻擊屬于應(yīng)用層攻擊。

27.ABCD

解析：標(biāo)準(zhǔn)存儲(chǔ)、低頻訪問存儲(chǔ)、存儲(chǔ)歸檔和高頻訪問存儲(chǔ)適合不同場(chǎng)景。

28.ABC

解析：KMS的功能包括密鑰創(chuàng)建、密鑰輪換和密鑰加密。

D選項(xiàng)錯(cuò)誤，密鑰審計(jì)屬于審計(jì)功能。

29.AC

解析：配置密碼鎖屏和配置安全組規(guī)則有助于提升實(shí)例安全性。

B選項(xiàng)錯(cuò)誤，使用默認(rèn)密鑰對(duì)存在安全風(fēng)險(xiǎn)；

D選項(xiàng)錯(cuò)誤，開放所有端口違反安全原則。

30.AB

解析：CloudTrail和ELS可用于安全監(jiān)控。

C選項(xiàng)錯(cuò)誤，EMR用于大數(shù)據(jù)處理；

D選項(xiàng)錯(cuò)誤，ARMS用于應(yīng)用監(jiān)控。

三、判斷題

31.×

解析：使用默認(rèn)賬號(hào)登錄存在安全風(fēng)險(xiǎn)，應(yīng)使用強(qiáng)密碼并啟用多因素認(rèn)證。

32.×

解析：SSE-S3屬于服務(wù)器端加密，客戶端加密由用戶在傳輸前加密數(shù)據(jù)。

33.√

解析：CC攻擊屬于流量型攻擊，通過大量請(qǐng)求消耗服務(wù)器資源。

34.×

解析：最小權(quán)限原則要求為用戶分配完成工作所需的最小權(quán)限，而非最高權(quán)限。

35.×

解析：默認(rèn)安全組規(guī)則可能存在漏洞，應(yīng)配置安全組規(guī)則以提升安全性。

36.√

解析：UDPFlood屬于協(xié)議型攻擊，通過大量UDP包攻擊服務(wù)器。

37.√

解析：存儲(chǔ)歸檔適合長(zhǎng)期數(shù)據(jù)存儲(chǔ)，成本較低且訪問頻率低。

38.√

解析：KMS密鑰屬于客戶主密鑰（CMK），客戶擁有完全控制權(quán)。

39.×

解析：使用默認(rèn)密鑰對(duì)存在安全風(fēng)險(xiǎn)，應(yīng)使用強(qiáng)密鑰對(duì)。

40.√

解析：CloudTrail可用于監(jiān)控API調(diào)用，記錄所有API操作日志。

四、填空題

41.最小權(quán)限原則

42.A