2025年AWS认证StorageGateway传输中数据加密专题试卷及解析

2025年AWS认证StorageGateway传输中数据加密专题试卷及解析说明：本试卷为AWS认证（侧重SAA-C03、SAP-C02相关考点）StorageGateway传输中数据加密专题卷，满分100分，考试时间90分钟。试卷聚焦2025年AWS认证核心考点，涵盖StorageGateway各类网关传输加密机制、配置方法、安全最佳实践及故障排查，解析贴合认证考试答题思路，助力考生精准掌握考点、提升应试能力。一、单项选择题（共20题，每题2分，共40分）1.AWSStorageGateway在传输数据时，默认采用的加密协议是（）

A.HTTP

B.HTTPS（TLS1.2及以上）

C.FTP

D.SFTP

答案：B

解析：AWSStorageGateway所有类型的网关（文件网关、卷网关、磁带网关）在与AWS云之间传输数据时，默认均采用HTTPS（TLS1.2及以上版本）协议进行加密，确保传输中数据的机密性和完整性，这是AWSStorageGateway传输加密的基础要求。AWS始终将强加密作为核心特性，TLS协议在包括StorageGateway在内的所有AWS面向客户的服务中广泛应用，保障数据传输安全。

2.下列关于AWSStorageGateway传输加密的说法，错误的是（）

A.传输加密可防止数据在公网传输过程中被窃听、篡改

B.传输加密仅适用于卷网关，不适用于文件网关和磁带网关

C.传输加密无需额外付费，默认集成在StorageGateway服务中

D.传输加密支持客户自定义TLS证书，满足特定合规要求

答案：B

解析：AWSStorageGateway的传输加密适用于所有类型的网关（文件、卷、磁带），并非仅适用于卷网关；其余选项均为传输加密的正确特性，传输加密默认免费，支持自定义TLS证书，核心作用是防范公网传输中的数据安全风险。AWS各类服务的TLS加密均默认集成，无需客户额外付费，降低客户安全配置成本。

3.当使用AWSStorageGateway的卷网关（CachedVolume模式）传输数据时，数据从本地网关传输至AWSS3的加密方式是（）

A.仅使用服务器端加密（SSE）

B.仅使用传输中加密（TLS）

C.传输中加密（TLS）+服务器端加密（SSE）

D.无需加密，默认明文传输

答案：C

解析：卷网关（CachedVolume模式）中，本地数据传输至AWSS3时，会先通过TLS协议实现传输中加密，确保数据在公网传输过程安全；同时，数据存储到S3后，会默认启用服务器端加密（SSE-S3），实现“传输+存储”双重加密，符合AWS安全最佳实践。双重加密机制可最大限度保障数据从本地到云端的全链路安全，规避传输和存储环节的安全风险。

4.AWSStorageGateway支持客户使用自定义TLS证书，以下哪种证书格式是支持的（）

A.PEM格式

B.DER格式

C.PFX格式

D.CER格式

答案：A

解析：AWSStorageGateway仅支持PEM格式的自定义TLS证书，用于替换默认的AWS托管证书；DER、PFX、CER格式均不被支持，若客户持有其他格式证书，需先转换为PEM格式后方可使用。这一要求与AWS各类服务的TLS证书格式规范保持一致，确保证书兼容性和加密稳定性。

5.关于AWSStorageGateway传输加密的密钥管理，下列说法正确的是（）

A.传输加密的TLS密钥由客户自行管理，AWS不参与

B.默认情况下，传输加密使用AWS托管的TLS密钥，无需客户手动配置

C.传输加密的密钥必须存储在AWSKMS中，不能使用客户自有密钥

D.传输加密不使用密钥，仅依赖TLS协议自身的加密机制

答案：B

解析：默认情况下，StorageGateway传输加密使用AWS托管的TLS密钥，客户无需手动配置密钥管理相关操作；若客户有合规需求，可替换为自定义TLS证书（自带密钥），也可将密钥存储在AWSKMS中进行管理，并非必须使用KMS，也不是完全由客户自行管理。AWS通过托管密钥降低客户密钥管理成本，同时支持自定义密钥满足高阶合规需求。

6.当AWSStorageGateway与AWS云之间的网络出现传输加密失败时，最可能的原因是（）

A.本地网关未启用存储加密

B.本地网关的TLS证书过期或无效

C.S3存储桶未启用服务器端加密

D.本地网关未连接到VPC

答案：B

解析：传输加密失败的核心原因通常与TLS证书相关，如证书过期、无效、格式错误或与AWS要求不兼容；A选项存储加密与传输加密无关，C选项S3服务器端加密不影响传输加密过程，D选项未连接VPC会导致无法通信，而非加密失败。TLS证书的有效性是传输加密正常运行的核心前提，证书异常是最常见的加密故障诱因。

7.AWSStorageGateway的文件网关（FileGateway）传输数据至S3时，传输加密的范围不包括（）

A.本地文件服务器与文件网关之间的数据

B.文件网关与AWSS3之间的数据

C.文件网关与S3Glacier之间的数据

D.S3存储桶内数据的存储加密

答案：D

解析：传输加密仅针对“数据在传输过程中”的加密，包括本地与网关、网关与AWS各类存储服务（S3、S3Glacier）之间的传输；D选项S3存储桶内数据的存储加密属于静态数据加密，不属于传输加密的范围。传输加密与静态加密分工明确，共同构成数据全生命周期的安全保障体系。8.下列哪种AWSStorageGateway部署模式，传输加密必须启用（）

A.本地部署的卷网关（StoredVolume模式）

B.本地部署的文件网关

C.AWSOutposts上部署的StorageGateway

D.所有部署模式均默认启用传输加密，无法关闭

答案：D

解析：AWSStorageGateway的所有部署模式（本地部署、Outposts部署）均默认启用传输加密（TLS），且无法手动关闭，这是AWS为保障数据传输安全设定的强制要求，确保所有数据在传输过程中均受到加密保护。强加密是AWS的核心特性之一，所有部署模式统一启用加密，避免因部署场景不同导致的安全漏洞。9.客户需要审计AWSStorageGateway传输加密的日志，可通过哪个AWS服务获取相关日志信息（）

A.AWSCloudWatchLogs

B.AWSS3Logs

C.AWSCloudTrail

D.AWSKMSLogs

答案：A

解析：AWSStorageGateway的传输加密相关日志（如TLS连接日志、加密失败日志）会默认发送至AWSCloudWatchLogs，客户可通过CloudWatchLogs查询、审计；CloudTrail主要记录API操作日志，S3Logs记录S3访问日志，KMSLogs记录密钥操作日志，均不直接包含传输加密的详细日志。CloudWatchLogs为客户提供加密相关日志的集中管理和审计能力，满足合规审计需求。

10.关于AWSStorageGateway传输加密与AWSDirectConnect的结合使用，下列说法正确的是（）

A.使用DirectConnect后，传输加密会自动关闭，无需手动配置

B.使用DirectConnect时，传输加密仍需启用，可进一步提升数据传输安全

C.DirectConnect仅支持明文传输，不支持与传输加密结合使用

D.使用DirectConnect后，需手动关闭传输加密，否则会导致连接失败

答案：B

解析：AWSDirectConnect是专用网络连接，用于替代公网传输，但即使使用DirectConnect，StorageGateway仍会默认启用传输加密（TLS），专用网络+传输加密可实现双重安全保障；传输加密不会自动关闭，也不会导致连接失败，二者可正常结合使用。即使在专用网络环境中，AWS仍坚持启用TLS加密，确保数据传输的机密性和完整性。

11.AWSStorageGateway的磁带网关（TapeGateway）传输备份数据至AWSBackup时，传输加密采用的TLS版本最低要求是（）

A.TLS1.0

B.TLS1.1

C.TLS1.2

D.TLS1.3

答案：C

解析：2025年AWS认证考点中，明确要求StorageGateway所有类型网关的传输加密，TLS版本最低为1.2，TLS1.0、1.1已被淘汰，不再支持；TLS1.3为可选升级版本，并非最低要求。随着TLS协议的不断优化，AWS逐步淘汰低版本协议，规避旧版本协议存在的安全缺陷，这与AWS持续提升服务安全性的理念一致。

12.客户更换AWSStorageGateway的自定义TLS证书后，需要执行的操作是（）

A.重启StorageGateway服务，使新证书生效

B.重新创建StorageGateway，无法在现有网关中更换证书

C.无需任何操作，新证书自动生效

D.在AWSKMS中重新配置密钥，与新证书关联

答案：A

解析：客户在AWS控制台或通过API更换自定义TLS证书后，必须重启StorageGateway服务，新证书才能生效；无需重新创建网关，也无需在KMS中重新配置密钥（除非证书密钥存储在KMS中），不重启则仍使用旧证书。证书更换后的重启操作是确保加密配置生效的必要步骤，避免新旧证书冲突导致加密失败。

13.下列哪种场景下，AWSStorageGateway传输加密会出现警告，但不影响数据传输（）

A.TLS证书即将过期（剩余7天）

B.TLS证书已过期

C.自定义TLS证书格式错误

D.网关与AWS之间的网络中断

答案：A

解析：当TLS证书即将过期（通常剩余7-30天），AWS会通过CloudWatch告警发送警告，但此时证书仍有效，传输加密可正常工作，不影响数据传输；B、C选项会导致加密失败，无法传输数据；D选项属于网络问题，与加密无关。提前告警可帮助客户及时更换证书，避免因证书过期导致传输中断，保障业务连续性。

14.AWSStorageGateway传输加密支持的加密算法不包括（）

A.AES-256

B.RSA-2048

C.SHA-256

D.DES

答案：D

解析：AWSStorageGateway传输加密支持的加密算法包括AES-256（数据加密）、RSA-2048（密钥交换）、SHA-256（哈希验证）；DES算法安全性较低，已被AWS淘汰，不支持用于传输加密。AWS始终采用行业主流的高强度加密算法，淘汰低安全性算法，确保传输加密的可靠性。

15.关于AWSStorageGateway传输加密的合规性，下列说法正确的是（）

A.传输加密仅满足PCIDSS合规，不满足HIPAA合规

B.传输加密满足PCIDSS、HIPAA等主流合规要求

C.传输加密不满足任何合规要求，需客户额外配置

D.传输加密仅满足HIPAA合规，不满足PCIDSS合规

答案：B

解析：AWSStorageGateway的传输加密（TLS1.2及以上）符合PCIDSS（支付卡行业合规）、HIPAA（医疗行业合规）、GDPR（数据保护合规）等主流合规要求，无需客户额外配置，可直接满足合规场景下的传输安全需求。AWS各类服务的加密机制均经过合规认证，帮助客户降低合规成本，快速满足行业合规要求。

16.当本地StorageGateway与AWS云之间存在防火墙时，为确保传输加密正常工作，需开放的端口是（）

A.80端口（HTTP）

B.443端口（HTTPS）

C.22端口（SSH）

D.3389端口（RDP）

答案：B

解析：AWSStorageGateway传输加密采用HTTPS协议，对应的端口为443，因此防火墙需开放443端口，允许本地网关与AWS云之间的HTTPS通信；80端口为HTTP明文传输端口，无需开放；22、3389端口为远程管理端口，与传输加密无关。开放指定端口可确保TLS加密通信正常，同时关闭无关端口，降低网络安全风险。

17.AWSStorageGateway的卷网关（StoredVolume模式），本地数据同步至AWSEBS的传输加密机制是（）

A.仅使用TLS加密传输

B.仅使用EBS加密（静态加密）

C.TLS传输加密+EBS静态加密

D.无需加密，默认明文同步

答案：C

解析：卷网关（StoredVolume模式）中，本地数据同步至AWSEBS时，传输过程通过TLS协议加密，确保传输安全；同时，EBS卷默认启用静态加密（EBS加密），实现传输与存储双重加密，与CachedVolume模式的加密逻辑一致。双重加密机制覆盖数据传输和存储全环节，符合AWS安全最佳实践，保障数据全生命周期安全。

18.下列关于AWSStorageGateway传输加密与客户自有密钥（BYOK）的结合，说法正确的是（）

A.客户可将自定义TLS证书的密钥存储在自有密钥管理系统中，无需与AWS集成

B.客户必须将自有密钥上传至AWSKMS，才能用于传输加密

C.传输加密不支持客户自有密钥，仅能使用AWS托管密钥

D.客户自有密钥仅支持RSA-1024算法，不支持RSA-2048

答案：A

解析：客户可使用自有密钥（BYOK）生成自定义TLS证书，密钥可存储在客户自有密钥管理系统中，无需上传至AWSKMS，仅需将生成的PEM格式证书上传至StorageGateway即可；传输加密支持客户自有密钥，且支持RSA-2048等主流算法，并非必须依赖AWSKMS。这一设计兼顾了密钥管理的灵活性和安全性，满足客户对密钥自主管控的需求。

19.AWSStorageGateway传输加密失败后，数据会（）

A.自动转为明文传输，确保数据正常同步

B.暂停传输，直至加密问题解决

C.自动删除，防止数据泄露

D.存储在本地网关缓存中，永不传输

答案：B

解析：当传输加密失败时，StorageGateway会暂停数据传输，不会自动转为明文传输（避免数据泄露），也不会删除数据或永久存储在本地缓存；待加密问题（如证书更新、网络配置调整）解决后，数据会自动恢复传输。AWS优先保障数据安全，即使牺牲短期传输效率，也不会通过明文传输规避加密故障，避免数据泄露风险。

20.2025年AWS认证新增考点中，关于StorageGateway传输加密的优化，下列说法正确的是（）

A.新增支持TLS1.3协议，提升加密传输效率

B.取消对自定义TLS证书的支持，仅允许使用AWS托管证书

C.传输加密需额外付费，按传输数据量计费

D.仅支持卷网关的传输加密，取消文件网关和磁带网关的加密支持

答案：A

解析：2025年AWSStorageGateway传输加密新增支持TLS1.3协议，相比TLS1.2，加密传输效率和安全性进一步提升；B、C、D均为错误表述，自定义TLS证书仍支持，传输加密免费，且所有类型网关均支持加密。AWS持续优化TLS协议支持，结合轻量级加密库的优势，在提升安全性的同时，优化加密传输效率。

二、多项选择题（共10题，每题3分，共30分，多选、少选、错选均不得分）1.AWSStorageGateway传输加密的核心作用包括（）

A.防止数据在公网传输过程中被窃听

B.防止数据在传输过程中被篡改

C.防止存储在S3/EBS中的数据被非法访问

D.满足合规要求（如PCIDSS、HIPAA）

答案：ABD

解析：传输加密的核心作用是保障数据“传输过程”的安全，包括防窃听、防篡改，同时满足各类合规要求；C选项属于静态数据加密的作用，与传输加密无关。AWS将传输加密作为数据安全的重要环节，既防范传输过程中的安全风险，也助力客户满足行业合规标准。

2.下列关于AWSStorageGateway各类网关传输加密的共性说法，正确的有（）

A.均默认启用HTTPS（TLS1.2及以上）传输加密

B.均支持自定义TLS证书

C.均无需额外付费，默认集成在服务中

D.均支持与AWSDirectConnect结合使用，且不影响加密功能

答案：ABCD

解析：文件网关、卷网关、磁带网关的传输加密具有共性：默认启用TLS1.2+加密、支持自定义TLS证书、免费使用、可与DirectConnect结合使用且不影响加密功能，均符合AWSStorageGateway的统一安全标准。AWS各类网关采用统一的加密规范，降低客户学习和配置成本，确保不同场景下的加密一致性。

3.导致AWSStorageGateway传输加密失败的常见原因有（）

A.TLS证书过期或无效

B.本地网关防火墙未开放443端口

C.自定义TLS证书格式不是PEM格式

D.AWSKMS密钥失效（当使用KMS管理证书密钥时）

答案：ABCD

解析：以上均为传输加密失败的常见原因：证书过期/无效、防火墙未开放443端口（HTTPS端口）、证书格式错误（非PEM）、KMS密钥失效（若密钥存储在KMS），均会导致传输加密无法正常工作。客户在配置传输加密时，需重点关注以上要点，避免因配置不当导致加密失败。

4.AWSStorageGateway传输加密支持的证书来源包括（）

A.AWS托管的TLS证书

B.客户自定义的PEM格式TLS证书

C.第三方CA机构颁发的TLS证书（PEM格式）

D.自签名的PEM格式TLS证书

答案：ABCD

解析：StorageGateway传输加密支持多种证书来源，包括AWS托管证书、客户自定义证书（PEM格式）、第三方CA颁发的证书（PEM格式）、自签名证书（PEM格式），只要证书格式符合要求，均可用于传输加密。多样化的证书来源满足不同客户的需求，既方便客户快速配置，也支持高阶合规场景。

5.关于AWSStorageGateway传输加密与静态加密的区别，下列说法正确的有（）

A.传输加密针对数据在网络中的传输过程，静态加密针对数据存储状态

B.传输加密默认启用，静态加密需手动配置

C.传输加密使用TLS协议，静态加密使用AES-256等算法

D.传输加密无需额外付费，静态加密部分场景需付费

答案：ACD

解析：A、C、D均为二者的正确区别；B选项错误，静态加密部分场景默认启用（如S3默认SSE-S3、EBS默认加密），并非全部需要手动配置。传输加密与静态加密分工协作，覆盖数据传输和存储全环节，共同保障数据安全，且均遵循AWS“默认安全”的设计理念。

6.客户可通过以下哪些方式监控AWSStorageGateway传输加密的状态（）

A.AWSCloudWatch告警（如证书过期告警、加密失败告警）

B.AWSStorageGateway控制台的“加密状态”页面

C.AWSCloudTrail查询传输加密相关API操作

D.AWSS3控制台的“传输日志”页面

答案：ABC

解析：客户可通过CloudWatch告警监控加密状态（如证书过期、加密失败）、通过StorageGateway控制台查看加密状态、通过CloudTrail查询加密相关API操作；S3控制台的传输日志仅记录S3访问情况，不包含StorageGateway传输加密状态。AWS提供多渠道监控方式，帮助客户实时掌握加密运行状态，及时排查异常。

7.下列场景中，AWSStorageGateway传输加密必须使用自定义TLS证书的有（）

A.客户需满足PCIDSS合规要求

B.客户需使用自有密钥管理系统管理证书密钥

C.客户的内部系统仅信任特定CA机构颁发的证书

D.客户需要审计传输加密的证书使用情况

答案：BC

解析：B选项中，客户使用自有密钥管理系统，需自定义TLS证书（关联自有密钥）；C选项中，内部系统仅信任特定CA证书，需使用该CA颁发的自定义证书；A选项PCIDSS合规可使用AWS托管证书，D选项审计证书使用情况无需自定义证书，AWS托管证书也可审计。自定义TLS证书主要用于满足客户对密钥或证书来源的特殊需求。

8.关于AWSStorageGateway传输加密的最佳实践，下列说法正确的有（）

A.定期更换TLS证书，避免证书过期

B.将自定义证书的密钥存储在AWSKMS中，提升密钥安全性

C.启用CloudWatch告警，及时发现加密异常

D.防火墙仅开放443端口，限制不必要的网络访问

答案：ABCD

解析：以上均为传输加密的最佳实践：定期更换证书避免过期、KMS存储密钥提升安全性、CloudWatch告警监控异常、防火墙限制端口访问，均可提升传输加密的安全性和稳定性。结合AWS安全最佳实践配置加密相关参数，可最大限度降低加密故障和安全风险。

9.AWSStorageGateway传输加密支持的密钥算法包括（）

A.RSA-2048

B.RSA-4096

C.AES-256

D.SHA-256

答案：ABCD

解析：传输加密中，密钥交换采用RSA-2048、RSA-4096算法，数据加密采用AES-256算法，哈希验证采用SHA-256算法，以上均为StorageGateway支持的密钥算法。这些算法均为行业主流的高强度加密算法，可有效保障传输数据的机密性和完整性，符合AWS强加密的核心特性要求。

10.2025年AWSStorageGateway传输加密的新增特性包括（）

A.支持TLS1.3协议，提升加密效率

B.支持将自定义证书与AWSSecretsManager集成，自动轮换证书

C.新增加密状态实时监控面板，便于快速排查问题

D.取消对TLS1.2的支持，仅使用TLS1.3

答案：ABC

解析：2025年新增特性包括支持TLS1.3、与SecretsManager集成实现证书自动轮换、新增加密状态实时监控面板；D选项错误，TLS1.2仍被支持，TLS1.3为可选升级版本。这些新增特性进一步优化了传输加密的易用性和安全性，降低客户运维成本，同时提升加密故障排查效率，贴合2025年AWS认证新增考点。

三、简答题（共3题，每题10分，共30分）1.简述AWSStorageGateway传输中数据加密的核心机制，以及不同类型网关（文件、卷、磁带）传输加密的共性与差异。

参考答案：

（1）核心机制（4分）：AWSStorageGateway传输中数据加密的核心是采用HTTPS协议（TLS1.2及以上版本），对本地网关与AWS云之间传输的所有数据进行加密，确保数据在公网或专用网络传输过程中的机密性和完整性；默认使用AWS托管的TLS证书，支持客户自定义PEM格式证书，可结合AWSKMS或客户自有密钥管理系统管理证书密钥，无需额外付费。强加密是AWS的核心特性，TLS协议在StorageGateway中的应用的与AWS其他服务保持一致，确保加密标准统一。

（2）共性（3分）：①均默认启用HTTPS（TLS1.2+）传输加密，无法关闭；②均支持自定义PEM格式TLS证书，支持与AWSDirectConnect结合使用；③均无需额外付费，默认集成在服务中，满足主流合规要求。各类网关采用统一的加密规范，降低客户配置和学习成本，确保不同场景下的加密一致性。

（3）差异（3分）：①卷网关（Cached/Stored模式）：传输加密与S3/EBS静态加密联动，实现“传输+存储”双重加密；②文件网关：传输加密覆盖本地文件服务器与网关、网关与S3/S3Glacier之间的传输，支持SMB/NFS协议数据的加密传输；③磁带网关：传输加密主要针对备份数据向AWSBackup、S3Glacier的传输，适配磁带备份的合规场景。不同网关的加密差异主要适配其自身的应用场景，满足不同数据传输需求。

2.简述客户更换AWSStorageGateway自定义TLS证书的步骤，以及更换过程中需要注意的事项。

参考答案：

（1）更换步骤（6分）：①准备符合要求的PEM格式自定义TLS证书（可由第三方CA颁发或自签名），确保证书未过期、密钥算法为RSA-2048及以上；②登录AWS控制台，进入StorageGateway服务，选择需要更换证书的网关；③在网关“设置”页面，找到“TLS证书”选项，点击“更换证书”；④上传准备好的PEM格式证书，确认证书信息无误后提交；⑤重启StorageGateway服务，使新证书生效；⑥检查网关与AWS云的连接状态，确认传输加密正常工作。步骤设计贴合AWS控制台实际操作流程，确保客户可按步骤顺利完成证书更换。

（2）注意事项（4分）：①证书格式必须为PEM，其他格式（DER、PFX）不支持，需提前转换；②更换证书后