2025年AWS认证AmazonCognito媒体内容访问控制专题试卷及解析.pdfVIP

2025年AWS认证AMAZONCOGNITO媒体内容访问控制专题试卷及解析1

2025年AWS认证AmazonCognito媒体内容访问控制

专题试卷及解析

2025年AWS认证AmazonCognito媒体内容访问控制专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AmazonCognito中，以下哪种身份池功能最适合用于为匿名用户访问媒体

内容提供临时AWS凭证？

A、用户池组管理

B、身份池联合身份验证

C、多因素认证(MFA)

D、Lambda触发器

【答案】B

【解析】正确答案是B。身份池联合身份验证允许为经过身份验证和匿名用户分配

临时AWS凭证，这是实现媒体内容访问控制的核心功能。A选项用户池组管理主要用

于用户权限分组，不涉及AWS凭证分发；C选项MFA用于增强安全性但与凭证分发

无关；D选项Lambda触发器用于自定义业务逻辑，不是凭证管理的主要机制。知识

点：Cognito身份池的临时凭证机制。易错点：容易混淆用户池和身份池的功能区别。

2、当需要限制特定用户组只能访问S3存储桶中的特定媒体文件夹时，最应该配置

的是？

A、Cognito用户池自定义属性

B、S3存储桶策略

C、IAM角色策略

D、CloudFront签名URL

【答案】C

【解析】正确答案是C。IAM角色策略可以精确控制Cognito用户组对S3资源的

访问权限，包括文件夹级别的细粒度控制。A选项自定义属性仅存储用户元数据；B选

项存储桶策略适用于全局控制；D选项签名URL用于临时访问控制而非用户组权限管

理。知识点：基于角色的访问控制(RBAC)。易错点：容易忽略IAM策略与存储桶策

略的适用场景差异。

3、以下哪种Cognito配置最适合实现媒体内容的动态权限控制？

A、预令牌生成Lambda触发器

B、迁移Lambda触发器

C、消息自定义Lambda触发器

D、认证后Lambda触发器

【答案】A

2025年AWS认证AMAZONCOGNITO媒体内容访问控制专题试卷及解析2

【解析】正确答案是A。预令牌生成触发器可以在JWT令牌签发前动态添加自定

义声明，用于实现细粒度的媒体访问控制。B选项用于用户迁移；C选项用于消息定制；

D选项在认证后执行，无法影响令牌内容。知识点：Lambda触发器在令牌处理中的作

用。易错点：容易混淆不同触发器的执行时机和功能。

4、当需要为移动应用用户提供短期媒体访问权限时，最安全的方案是？

A、直接分发S3对象URL

B、使用Cognito长期凭证

C、生成CloudFront签名Cookie

D、公开S3存储桶

【答案】C

【解析】正确答案是C。CloudFront签名Cookie提供基于浏览器的短期访问控制，

适合媒体内容分发场景。A选项不安全；B选项长期凭证风险高；D选项完全公开不符

合安全要求。知识点：CDN安全分发机制。易错点：容易忽视Cookie与URL签名的

适用场景差异。

5、Cognito用户池的”自适应认证”功能主要用于增强媒体内容访问的什么方面？

A、访问速度

B、账户安全

C、并发处理

D、存储优化

【答案】B

【解析】正确答案是B。自适应认证通过风险评估机制增强账户安全性，防止未授

权访问媒体内容。其他选项与该功能无关。知识点：Cognito安全特性。易错点：容易

将安全功能与性能特性混淆。

6、在媒体内容访问控制场景中，Cognito用户池的”组”功能最适合用于？

A、存储用户偏好

B、批量权限管理

C、会话管理

D、密码策略

【答案】B

【解析】正确答案是B。组功能可以批量管理具有相同媒体访问权限的用户集合。A

选项应使用自定义属性；C选项由Cognito自动管理；D选项是全局设置。知识点：用

户组管理机