2025年AWS认证AmazonCognitoWeb应用身份管理案例专题试卷及解析.pdfVIP

2025年AWS认证AMAZONCOGNITOWEB应用身份管理案例专题试卷及解析1

2025年AWS认证AmazonCognitoWeb应用身份管理

案例专题试卷及解析

2025年AWS认证AmazonCognitoWeb应用身份管理案例专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、某电商网站需要为用户提供社交登录功能，支持通过Google和Facebook账号

直接登录，同时希望保留用户自行注册的选项。以下哪种AmazonCognito用户池配置

最适合该场景？

A、仅启用用户名密码认证

B、启用身份提供商并配置Google和Facebook

C、仅使用AmazonCognito身份池

D、禁用所有第三方登录选项

【答案】B

【解析】正确答案是B。AmazonCognito用户池支持多种身份提供商集成，包括社

交登录（如Google、Facebook）和传统用户名密码认证。选项A无法满足社交登录需

求；选项C的身份池主要用于临时凭证管理而非用户认证；选项D完全不符合题目要

求。知识点：用户池的联合身份认证功能。易错点：混淆用户池和身份池的用途。

2、某金融应用需要实现多因素认证（MFA），要求用户在登录时必须提供手机验证

码。以下哪种配置方式最安全？

A、仅使用短信MFA

B、使用TOTP应用+短信备用

C、仅使用电子邮件验证

D、禁用MFA功能

【答案】B

【解析】正确答案是B。TOTP（基于时间的一次性密码）应用比短信更安全，因为

短信可能被拦截。配置TOTP为主要方式，短信作为备用选项，既保证安全性又兼顾

可用性。选项A安全性较低；选项C不适合MFA场景；选项D完全不符合安全要求。

知识点：MFA实现方式及安全等级。易错点：忽视MFA备用机制的重要性。

3、某SaaS应用需要根据用户订阅计划分配不同的AWS资源访问权限。以下哪种

方案最合适？

A、在用户池中设置自定义属性存储订阅信息

B、使用IAM角色直接绑定用户

C、通过身份池映射到不同IAM角色

D、在Lambda函数中硬编码权限逻辑

【答案】C

2025年AWS认证AMAZONCOGNITOWEB应用身份管理案例专题试卷及解析2

【解析】正确答案是C。AmazonCognito身份池可以将经过认证的用户映射到不同

的IAM角色，实现细粒度的AWS资源访问控制。选项A只能存储信息无法控制权限；

选项B无法实现动态权限分配；选项D违反了安全最佳实践。知识点：身份池的IAM

角色映射机制。易错点：混淆用户池属性和IAM权限的关系。

4、某全球应用需要支持用户通过手机号注册，但不同国家的手机号格式差异很大。

以下哪种配置最合理？

A、强制使用+国家代码格式

B、仅支持特定国家手机号

C、使用自动格式化功能

D、禁用手机号注册

【答案】C

【解析】正确答案是C。AmazonCognito用户池支持自动格式化手机号，可以处理

不同国家的号码格式。选项A可能造成用户输入困难；选项B限制用户范围；选项D

完全不符合需求。知识点：用户池的属性验证和格式化功能。易错点：忽视国际化场景

下的用户体验。

5、某应用需要实现”记住我”功能，让用户30天内无需重复登录。以下哪种配置最

合适？

A、设置刷新令牌有效期为30天

B、延长访问令牌有效期

C、禁用令牌刷新机制

D、使用永久性Cookie

【答案】A

【解析】正确答案是A。刷新令牌用于获取新的访问令牌，设置30天有效期可以实

现”记住我”功能。选项B延长访问令牌会带来安全风险；选项C无法实现需求；选项

D不是Cognito的标准做法。知识点：令牌生命周期管理。易错点：混淆访问令牌和刷

新令牌的用途。

6、某企业应用需要集成内部ActiveDirectory进行用户认证。以下哪种方案最合

适？

A、使用SAML身份提供商

B、直接连接AD数据库

C、要求用户重新注册

D、使用LDAP协议

【答案】A

【解析】正确答