2025年AWS认证AWSCodeCommit与CodeBuild的MFA访问控制专题试卷及解析.pdfVIP

2025年AWS认证AWSCODECOMMIT与CODEBUILD的MFA访问控制专题试卷及解析1

2025年AWS认证AWSCodeCommit与CodeBuild

的MFA访问控制专题试卷及解析

2025年AWS认证AWSCodeCommit与CodeBuild的MFA访问控制专题试卷及

解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSCodeCommit中，为了强制要求所有用户通过MFA进行Git操作，应

该采用哪种方法？

A、在IAM用户策略中添加”aws:MultiFactorAuthPresent”:“true”条件

B、在CodeCommit仓库设置中启用MFA选项

C、在Git客户端配置中强制使用MFA

D、通过AWSKMS加密仓库访问密钥

【答案】A

【解析】正确答案是A。IAM策略条件键”aws:MultiFactorAuthPresent”可以验证请

求是否经过MFA认证。B选项错误是因为CodeCommit仓库本身没有独立的MFA设

置。C选项错误是因为Git客户端无法强制MFA验证。D选项错误是因为KMS加密

与MFA验证是两个独立的安全机制。知识点：IAM条件键的使用。易错点：混淆服务

级别设置和IAM策略控制。

2、AWSCodeBuild项目在构建过程中需要访问CodeCommit仓库，如何配置MFA

要求？

A、在CodeBuild服务角色中添加MFA条件

B、为CodeBuild项目启用MFA令牌

C、使用临时凭证而非MFA

D、在buildspec.yml中添加MFA验证步骤

【答案】C

【解析】正确答案是C。CodeBuild作为服务角色使用临时凭证，不需要也不支持

MFA。A选项错误是因为服务角色无法使用MFA设备。B选项错误是因为CodeBuild

项目没有MFA设置。D选项错误是因为buildspec.yml无法处理MFA验证。知识点：

AWS服务角色认证机制。易错点：误以为所有AWS服务都支持MFA。

3、当IAM用户需要通过HTTPS访问CodeCommit时，MFA验证发生在哪个阶

段？

A、Git客户端配置时

B、每次Git操作时

C、首次凭证生成时

D、仓库克隆时

2025年AWS认证AWSCODECOMMIT与CODEBUILD的MFA访问控制专题试卷及解析2

【答案】B

【解析】正确答案是B。使用HTTPS协议时，每次Git操作都会触发IAM凭证

验证，此时会检查MFA状态。A选项错误是因为配置时只设置凭证辅助工具。C选项

错误是因为凭证生成后仍需MFA验证。D选项错误是因为克隆只是操作的一种。知识

点：Git协议认证流程。易错点：混淆初始配置和每次验证的区别。

4、以下哪种MFA设备不能用于CodeCommit访问控制？

A、虚拟MFA应用程序

B、硬件MFA令牌

C、U2F安全密钥

D、短信验证码

【答案】D

【解析】正确答案是D。AWS不支持短信作为MFA方式。A、B、C都是AWS支

持的MFA类型。知识点：AWS支持的MFA类型。易错点：误以为所有双因素方式都

支持。

5、在CodeBuild中，如何确保构建过程访问的CodeCommit仓库满足MFA要求？

A、在构建脚本中模拟MFA验证

B、使用具有MFA豁免的服务角色

C、通过STSAssumeRole获取临时凭证

D、在构建环境中安装MFA应用

【答案】B

【解析】正确答案是B。服务角色可以豁免MFA要求，这是AWS的设计机制。A

选项错误是因为无法模拟MFA。C选项错误是因为AssumeRole仍需原始凭证。D选

项错误是因为构建环境不需要MFA应用。知识点：服务角色权限机制。易错点：不理

解服务角色的特殊权限。

6、当IAM用户MFA设备丢失时，如何恢复CodeCommit访问？

A、通过root用户重置MFA

B、联系AWS支持恢复