2025年AWS认证AmazonCognito多租户用户隔离方案专题试卷及解析.pdfVIP

2025年AWS认证AMAZONCOGNITO多租户用户隔离方案专题试卷及解析1

2025年AWS认证AmazonCognito多租户用户隔离方

案专题试卷及解析

2025年AWS认证AmazonCognito多租户用户隔离方案专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AmazonCognito多租户架构中，以下哪种方式最适合实现租户级别的用户

隔离？

A、使用单个用户池，通过自定义属性区分租户

B、为每个租户创建独立的用户池

C、使用身份池（IdentityPool）进行租户隔离

D、通过Lambda触发器实现租户过滤

【答案】B

【解析】正确答案是B。为每个租户创建独立用户池是最彻底的隔离方式，可以完

全避免租户间数据泄露风险。A选项虽然可行但存在安全隐患，C选项身份池主要用

于AWS凭证管理而非用户隔离，D选项需要额外开发且可能存在逻辑漏洞。知识点：

Cognito用户池隔离策略。易错点：容易低估多租户场景下的安全风险。

2、在Cognito用户池中，以下哪个特性最适合用于实现租户级别的访问控制？

A、用户组（Groups）

B、自定义属性（CustomAttributes）

C、触发器（Triggers）

D、风险适应认证（AdaptiveAuthentication）

【答案】A

【解析】正确答案是A。用户组可以按租户划分并设置不同的IAM角色，实现精细

的访问控制。B选项仅能存储信息，C选项需要额外开发，D选项主要用于安全认证而

非租户隔离。知识点：Cognito用户组功能。易错点：混淆用户组和自定义属性的用途。

3、在多租户场景下，以下哪种Cognito触发器最适合用于验证用户所属租户？

A、PreSignup

B、PostAuthentication

C、PreTokenGeneration

D、DefineAuthChallenge

【答案】C

【解析】正确答案是C。PreTokenGeneration触发器可以在令牌生成前添加租户

信息到JWT声明中，是最合适的验证点。A选项在注册阶段，B选项在认证后，D选

项用于自定义认证流程。知识点：Cognito触发器生命周期。易错点：不理解各触发器

的执行时机。

2025年AWS认证AMAZONCOGNITO多租户用户隔离方案专题试卷及解析2

4、在Cognito多租户方案中，以下哪种方式最适合实现租户级别的资源隔离？

A、使用IAM角色和策略

B、通过APIGateway的Lambda授权器

C、利用VPC端点策略

D、使用S3存储桶策略

【答案】A

【解析】正确答案是A。IAM角色和策略可以精确控制每个租户的AWS资源访问

权限。B选项需要额外开发，C选项主要用于网络隔离，D选项仅适用于S3资源。知

识点：IAM权限控制。易错点：忽视IAM在多租户隔离中的核心作用。

5、在Cognito用户池配置中，以下哪个设置对多租户隔离最关键？

A、密码策略

B、MFA配置

C、用户池域名

D、应用客户端设置

【答案】D

【解析】正确答案是D。应用客户端设置可以限制每个租户的访问范围和权限。A、

B选项是安全设置，C选项仅影响登录URL。知识点：Cognito应用客户端配置。易错

点：低估应用客户端设置的重要性。

6、在多租户Cognito架构中，以下哪种方式最适合实现租户级别的数据隔离？

A、使用DynamoDB表分区键

B、通过RDS数据库实例分离

C、利用S3前缀隔离

D、使用Lambda环境变量

【答案】A

【解析】正确答案是A。DynamoDB分区键可以按租户ID实现高效数据隔离。B选

项成本高，C选项仅适用于对象存储，D选项不适合持久化数据。知识点：DynamoDB

数据建模。易错点：忽视分区键在多租户中的作