2025年AWS认证AmazonCognito用户池MFA多因素认证流程定制专题试卷及解析.pdfVIP

2025年AWS认证AMAZONCOGNITO用户池MFA多因素认证流程定制专题试卷及解析1

2025年AWS认证AmazonCognito用户池MFA多因

素认证流程定制专题试卷及解析

2025年AWS认证AmazonCognito用户池MFA多因素认证流程定制专题试卷及

解析

第一部分：单项选择题（共10题，每题2分）

1、在AmazonCognito用户池中，以下哪种MFA（多因素认证）方式需要用户使

用支持TOTP（基于时间的一次性密码）的应用程序？

A、短信MFA

B、电子邮件MFA

C、软件令牌MFA

D、硬件令牌MFA

【答案】C

【解析】正确答案是C。软件令牌MFA（SoftwareTokenMFA）要求用户使用支持

TOTP的应用程序（如GoogleAuthenticator或Authy）生成一次性密码。A选项短信

MFA通过发送短信验证码，B选项电子邮件MFA通过发送邮件验证码，D选项硬件

令牌MFA需要物理设备（如YubiKey），均不符合题意。知识点：Cognito用户池支持

三种MFA方式，需区分其实现机制。易错点：混淆软件令牌与硬件令牌的区别。

2、在AmazonCognito用户池中，如果管理员希望强制所有用户启用MFA，应如

何配置？

A、在用户池设置中启用”必需MFA”选项

B、在用户组策略中添加MFA强制规则

C、在Lambda触发器中实现MFA强制逻辑

D、通过API调用强制用户启用MFA

【答案】A

【解析】正确答案是A。Cognito用户池提供”必需MFA”（RequiredMFA）选项，可

直接强制所有用户启用MFA。B选项用户组策略不支持MFA配置，C选项Lambda触

发器可用于自定义流程但非强制手段，D选项API调用无法全局强制。知识点：Cognito

用户池MFA配置的两种模式（可选/必需）。易错点：误以为需要通过代码实现强制逻

辑。

3、以下哪种情况会触发AmazonCognito用户池的”定义身份验证挑战”Lambda触

发器？

A、用户首次注册时

B、用户启用MFA时

C、用户进行MFA验证时

2025年AWS认证AMAZONCOGNITO用户池MFA多因素认证流程定制专题试卷及解析2

D、用户修改密码时

【答案】C

【解析】正确答案是C。“定义身份验证挑战”触发器在MFA验证过程中被调用，用于

自定义挑战流程。A选项注册触发”预注册”触发器，B选项启用MFA触发”设置MFA”

触发器，D选项修改密码触发”预身份验证”触发器。知识点：CognitoLambda触发器

的执行时机。易错点：混淆不同触发器的适用场景。

4、在AmazonCognito用户池中，以下哪个MFA配置选项允许用户选择是否启用

MFA？

A、必需MFA

B、可选MFA

C、自适应MFA

D、条件MFA

【答案】B

【解析】正确答案是B。可选MFA（OptionalMFA）允许用户自行决定是否启用

MFA。A选项必需MFA强制启用，C和D为干扰项（Cognito无此配置）。知识点：

CognitoMFA的三种配置模式（关闭/可选/必需）。易错点：误以为”自适应MFA”是官

方选项。

5、当用户使用短信MFA时，AmazonCognito会调用以下哪个AWS服务发送验

证码？

A、AmazonSNS

B、AmazonSES

C、AmazonSQS

D、AmazonPinpoint

【答案】A

【解析】正确答案是A。Cognito通过AmazonSNS（简单通知服务）发送短信验证

码。B选项SES用于邮件，C选项SQS用于消息队列，D选项Pinpoint用于用户参与

但非MFA核心服务。知识点：Cognito与AWS服务的集成关系。易错点：混淆SNS

与SES的功能。

6、在AmazonCognito用户池中，以下哪种MFA方式需要用