2025年AWS认证AWSLambda函数实现MFA合规性自动检查与告警专题试卷及解析.pdfVIP

2025年AWS认证AWSLAMBDA函数实现MFA合规性自动检查与告警专题试卷及解析1

2025年AWS认证AWSLambda函数实现MFA合规性

自动检查与告警专题试卷及解析

2025年AWS认证AWSLambda函数实现MFA合规性自动检查与告警专题试卷

及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSLambda函数中实现MFA合规性检查时，以下哪个AWS服务最适合

用于存储和管理IAM用户的MFA状态信息？

A、AmazonS3

B、AmazonDynamoDB

C、AmazonRDS

D、AmazonRedshift

【答案】B

【解析】正确答案是B。AmazonDynamoDB是NoSQL数据库，适合存储键值对

形式的MFA状态信息，具有高可用性和低延迟特性。A选项S3是对象存储服务，不

适合频繁读写操作；C选项RDS是关系型数据库，对于简单的MFA状态检查过于复

杂；D选项Redshift是数据仓库，不适合实时查询。知识点：DynamoDB的应用场景。

易错点：容易混淆S3和DynamoDB的用途。

2、当Lambda函数检测到IAM用户未启用MFA时，以下哪种告警方式最符合

AWS最佳实践？

A、发送电子邮件通知

B、创建CloudWatch告警

C、调用SNS主题发布消息

D、写入CloudTrail日志

【答案】C

【解析】正确答案是C。SNS（简单通知服务）是AWS推荐的发布/订阅消息传递

服务，可以灵活配置多种订阅方式。A选项邮件通知不够灵活；B选项CloudWatch告

警更适合监控指标；D选项CloudTrail主要用于审计日志记录。知识点：SNS服务的

应用场景。易错点：容易混淆SNS和CloudWatch的用途。

3、Lambda函数检查MFA合规性时，以下哪个IAM权限是必需的？

A、iam:CreateUser

B、iam:DeleteUser

C、iam:GetUser

D、iam:UpdateUser

【答案】C

2025年AWS认证AWSLAMBDA函数实现MFA合规性自动检查与告警专题试卷及解析2

【解析】正确答案是C。iam:GetUser权限是获取用户信息所必需的，包括MFA状

态。A、B、D选项都是修改用户信息的权限，对于只读检查操作不需要。知识点：IAM

权限的最小权限原则。易错点：容易授予过多权限。

4、在Lambda函数中处理MFA检查结果时，以下哪种错误处理方式最合理？

A、忽略所有错误

B、记录错误日志并继续执行

C、抛出异常终止函数

D、重试直到成功

【答案】B

【解析】正确答案是B。记录错误日志并继续执行可以确保函数不会因个别错误而

中断整体检查流程。A选项忽略错误不可取；C选项抛出异常过于严格；D选项无限重

试可能导致资源浪费。知识点：Lambda函数的错误处理策略。易错点：容易选择过于

激进或保守的错误处理方式。

5、Lambda函数检查MFA合规性的最佳触发方式是？

A、手动触发

B、定时触发（CloudWatchEvents）

C、APIGateway触发

D、S3事件触发

【答案】B

【解析】正确答案是B。定时触发可以确保定期检查MFA合规性，符合安全审计要

求。A选项手动触发不可靠；C选项APIGateway适合按需调用；D选项S3事件触发

与MFA检查无关。知识点：Lambda触发器的选择。易错点：容易混淆不同触发器的

适用场景。

6、在Lambda函数中访问AWS服务时，以下哪种认证方式最安全？

A、硬编码访问密钥

B、使用IAM角色

C、环境变量存储密钥

D、参数存储服务

【答案】B

【解析】正确答案是B。IAM角色提供临时凭证，是最安全的认证方式。A选项硬

编码密钥存在安全风险；C选项环境变量不够安全；D选项参数存储服务虽然安全但不

如IAM角色便捷。知识