2025年AWS认证AmazonCognito企业级身份管理方案专题试卷及解析.pdfVIP

2025年AWS认证AMAZONCOGNITO企业级身份管理方案专题试卷及解析1

2025年AWS认证AmazonCognito企业级身份管理方

案专题试卷及解析

2025年AWS认证AmazonCognito企业级身份管理方案专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、某企业需要为其移动应用实现用户注册和登录功能，同时要求支持通过社交媒

体账号（如Facebook、Google）进行联合登录。以下哪种AWS服务最适合满足这一需

求？

A、AWSIAM

B、AmazonCognitoUserPools

C、AmazonCognitoIdentityPools

D、AWSDirectoryService

【答案】B

【解析】正确答案是B。AmazonCognitoUserPools专门用于管理用户目录，支持

用户注册、登录以及第三方身份提供商的联合登录功能。A选项AWSIAM主要用于

AWS服务访问控制，不适用于应用用户管理；C选项IdentityPools主要用于临时凭证

获取，不直接处理用户认证；D选项DirectoryService主要用于企业目录服务集成，不

适合移动应用场景。知识点：CognitoUserPools的核心功能。易错点：容易混淆User

Pools和IdentityPools的用途。

2、在AmazonCognito中，当需要为未认证用户（访客）提供有限的AWS资源访

问权限时，应该使用哪个组件？

A、UserPools

B、IdentityPools

C、AWSIAMRoles

D、LambdaTriggers

【答案】B

【解析】正确答案是B。IdentityPools（FederatedIdentities）专门用于为认证和未

认证用户分配临时AWS凭证，从而控制对AWS资源的访问。A选项UserPools不处

理AWS资源访问；C选项IAMRoles需要配合IdentityPools使用；D选项Lambda

Triggers用于自定义业务逻辑。知识点：IdentityPools的核心价值。易错点：容易忽略

未认证用户的访问需求。

3、某金融应用要求在用户注册时必须验证手机号码，并在登录时支持多因素认证

（MFA）。以下哪种配置方式最符合要求？

A、在UserPools中启用手机号码必填并配置SMSMFA

B、在IdentityPools中设置手机验证

2025年AWS认证AMAZONCOGNITO企业级身份管理方案专题试卷及解析2

C、使用Lambda触发器自定义验证逻辑

D、集成第三方MFA服务

【答案】A

【解析】正确答案是A。UserPools原生支持手机号码验证和SMSMFA功能，可直

接配置满足需求。B选项IdentityPools不处理用户属性验证；C选项Lambda触发器

过于复杂；D选项第三方集成增加成本。知识点：Cognito内置安全功能。易错点：容

易忽视原生功能而选择复杂方案。

4、当需要实现用户密码策略（如最小长度、复杂度要求）时，应该在Cognito的

哪个层级进行配置？

A、IdentityPool级别

B、UserPool级别

C、应用客户端级别

D、IAM策略级别

【答案】B

【解析】正确答案是B。密码策略是UserPool级别的配置，影响整个用户池的所有

用户。其他层级不涉及密码策略设置。知识点：Cognito配置层级。易错点：容易混淆

不同配置层级的职责。

5、某应用需要实现”记住我”功能，让用户在一定时间内无需重复登录。以下哪种

Cognito配置最合适？

A、延长AccessToken有效期

B、使用RefreshToken

C、增加SessionToken

D、禁用Token过期

【答案】B

【解析】正确答案是