原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
2025年AWS认证IAM外部身份提供商联合身份验证专题试卷及解析
2025年AWS认证IAM外部身份提供商联合身份验证专题试卷及解析
第一部分:单项选择题(共10题,每题2分)
1、当企业希望使用现有的MicrosoftActiveDirectory(AD)基础设施来管理对AWS资源的访问时,应该选择哪种联合身份验证方案?
A、直接使用AWSIAM用户和组
B、配置SAML2.0联合身份验证
C、使用OpenIDConnect(OIDC)联合身份验证
D、创建自定义身份验证代理
【答案】B
【解析】正确答案是B。SAML2.0是企业级身份联合的标准协议,特别适合与MicrosoftAD等企业目录服务集成。ADFS(ActiveDirectoryFederationServices)可以充当SAML身份提供商(IdP),而AWSIAM则作为服务提供商(SP)。选项A不涉及联合身份验证;选项C更适合Web应用和移动应用场景;选项D过于复杂且不必要。知识点:SAML联合身份验证适用于企业级SSO场景。易错点:容易混淆SAML和OIDC的适用场景。
2、在配置SAML联合身份验证时,AWSIAM中的哪个元素对应于企业IdP中的用户组?
A、IAM角色
B、IAM策略
C、IAM用户
D、身份提供商
【答案】A
【解析】正确答案是A。在SAML联合中,IAM角色通过其信任策略中的SAML条件来映射IdP中的用户组或属性。当用户通过IdP认证后,可以临时承担这些角色。选项B是权限定义;选项C是本地AWS用户;选项D是IdP的配置实体。知识点:IAM角色是联合身份验证的核心组件。易错点:容易混淆角色和策略的功能定位。
3、使用OIDC联合身份验证时,AWSIAM如何验证来自IdP的令牌?
A、通过预共享密钥
B、通过验证IdP的签名证书
C、通过双向TLS握手
D、通过API网关验证
【答案】B
【解析】正确答案是B。OIDC使用JWT令牌,其中包含IdP的数字签名。AWSIAM会使用配置的IdP公钥来验证令牌的完整性和真实性。选项A是SAML的验证方式;选项C用于服务间通信;选项D与令牌验证无关。知识点:OIDC令牌验证机制。易错点:容易混淆SAML和OIDC的验证方式。
4、当需要为移动应用实现AWS资源访问时,最推荐的联合身份验证方案是?
A、SAML2.0联合
B、LDAP集成
C、OpenIDConnect联合
D、直接API密钥认证
【答案】C
【解析】正确答案是C。OIDC专为Web和移动应用设计,支持基于令牌的无状态认证,更适合移动应用场景。选项A更适合企业SSO;选项B需要VPN或直连;选项D安全性较差。知识点:OIDC在移动应用中的优势。易错点:容易忽视移动应用的特殊需求。
5、在SAML联合身份验证流程中,AWSIAM接收到的SAML响应必须包含哪个关键元素?
A、用户密码
B、临时凭证
C、Assertion元素
D、加密密钥
【答案】C
【解析】正确答案是C。SAML响应中的Assertion包含认证声明和属性声明,是AWS验证用户身份和权限的核心依据。选项A从不传输;选项B是验证后生成的;选项D用于加密Assertion。知识点:SAML响应结构。易错点:容易忽略Assertion的核心作用。
6、配置外部IdP时,AWSIAM中的身份提供商实体主要用于存储什么信息?
A、用户凭证
B、IdP的元数据和端点
C、会话信息
D、审计日志
【答案】B
【解析】正确答案是B。身份提供商实体存储IdP的元数据文档URL、SAML/OIDC端点、指纹证书等配置信息。选项A从不存储;选项C是临时数据;选项D由CloudTrail记录。知识点:IAM身份提供商配置。易错点:容易混淆配置数据和运行时数据。
7、当企业需要实现跨AWS账户的SAML联合访问时,应该采用哪种架构?
A、每个账户配置独立IdP
B、使用IAM角色链
C、配置中央IdP和多个IAM角色
D、共享IAM用户
【答案】C
【解析】正确答案是C。最佳实践是配置一个中央IdP,在每个目标账户中创建对应的IAM角色,通过SAML属性动态映射到不同账户的角色。选项A管理复杂;选项B不适用于跨账户;选项D违反最小权限原则。知识点:多账户SAML架构。易错点:容易忽视集中管理的优势。
8、在OIDC联合中,AWS如何确定用户可以承担哪个IAM角色?
A、通过JWT中的sub声明
B、通过JWT中的角色ARN声明
C、通过HTTP头信息
D、通过查询参数
【答案】B
9、SAML联合身份验证的临时凭证默认有效期是多长?
A、15分钟
B、1小时
C、12小时
D、24小时
【答案】B
【解析】正确答案是B。AWSSTS颁发的临时凭
您可能关注的文档
- 2025年房地产经纪人存量房交易中的法律风险防范专题试卷及解析.docx
- 2025年房地产经纪人二胎政策与住房需求专题试卷及解析.docx
- 2025年房地产经纪人房产税政策专题试卷及解析.docx
- 2025年房地产经纪人房地产经纪机构CRM客户关系管理系统实战专题试卷及解析.docx
- 2025年房地产经纪人房源照片、视频及虚拟tour上传标准与技巧专题试卷及解析.docx
- 2025年房地产经纪人海外置业客户关系管理专题试卷及解析.docx
- 2025年房地产经纪人竞争对手成功经验借鉴专题试卷及解析.docx
- 2025年房地产经纪人客户跟进失败原因分析与对策专题试卷及解析.docx
- 2025年房地产经纪人评估师面试技巧专题试卷及解析.docx
- 2025年房地产经纪人商品房交易中的诚信原则与经纪人的职业道德专题试卷及解析.docx
文档评论(0)