原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
2025年AWS认证AmazonCognito与AWSControlTower治理专题试卷及解析
2025年AWS认证AmazonCognito与AWSControlTower治理专题试卷及解析
第一部分:单项选择题(共10题,每题2分)
1、在AmazonCognito中,哪种用户池功能允许用户通过第三方身份提供商(如Google或Facebook)进行身份验证?
A、用户池组
B、联合身份验证
C、多因素认证(MFA)
D、自适应认证
【答案】B
【解析】正确答案是B。联合身份验证是AmazonCognito用户池的核心功能,允许集成外部身份提供商(如Google、Facebook、Apple等)进行登录。A选项用户池组用于管理用户权限分组;C选项MFA是额外安全层;D选项自适应认证是风险检测功能。知识点:Cognito身份验证机制。易错点:容易混淆MFA和联合身份验证的区别。
2、AWSControlTower的防护护栏(Guardrail)中,哪种类型会主动阻止不符合策略的操作?
A、检测性护栏
B、预防性护栏
C、响应性护栏
D、监控性护栏
【答案】B
【解析】正确答案是B。预防性护栏通过服务控制策略(SCP)主动阻止违规操作,如禁止创建特定类型的资源。A选项检测性护栏仅记录违规行为;C、D为干扰项。知识点:ControlTower护栏类型。易错点:容易混淆预防性和检测性护栏的作用机制。
3、在Cognito用户池中,以下哪种配置最适合需要定期轮换密码的企业级应用?
A、临时密码
B、密码策略
C、无密码登录
D、自适应认证
【答案】B
【解析】正确答案是B。密码策略可强制要求密码复杂度、历史记录和轮换周期,符合企业安全要求。A选项临时密码仅用于首次登录;C选项无密码不适用传统企业场景;D选项与密码轮换无关。知识点:Cognito密码管理。易错点:忽略密码策略的轮换配置功能。
4、AWSControlTower的账户工厂(AccountFactory)主要用于解决什么问题?
A、自动化创建符合治理策略的新账户
B、监控现有账户的资源使用
C、优化跨区域资源部署
D、管理IAM用户权限
【答案】A
【解析】正确答案是A。账户工厂通过预定义模板快速创建符合组织治理策略的新账户。B、C、D分别对应其他AWS服务功能。知识点:ControlTower核心组件。易错点:容易与Organizations的账户管理功能混淆。
5、Cognito身份池(IdentityPool)的主要用途是什么?
A、存储用户个人资料
B、提供临时AWS凭证
C、管理用户会话
D、实现社交登录
【答案】B
【解析】正确答案是B。身份池通过STS为经过身份验证的用户提供临时AWS凭证,允许访问AWS资源。A、C、D是用户池功能。知识点:Cognito用户池vs身份池区别。易错点:混淆两种池的核心功能。
6、在ControlTower中,以下哪种护栏类型最适合检测S3存储桶的公开访问?
A、预防性护栏
B、检测性护栏
C、修正性护栏
D、合规性护栏
【答案】B
【解析】正确答案是B。检测性护栏通过AWSConfig规则监控资源配置并报告违规,如S3公开访问。A选项会阻止操作而非检测。知识点:ControlTower护栏分类。易错点:忽略检测性护栏的监控特性。
7、Cognito用户池的触发器(Trigger)功能最适用于什么场景?
A、自定义用户注册流程
B、存储用户密码
C、管理用户组权限
D、生成访问令牌
【答案】A
【解析】正确答案是A。触发器允许通过Lambda函数自定义认证流程,如注册验证、登录后处理等。B、C、D是用户池内置功能。知识点:Cognito扩展机制。易错点:混淆触发器与基本功能的区别。
8、ControlTower的着陆区(LandingZone)初始部署会创建什么?
A、单个EC2实例
B、多账户环境架构
C、VPC网络配置
D、IAM角色策略
【答案】B
【解析】正确答案是B。着陆区部署包含管理账户、审计账户和共享账户的多账户架构。A、C、D是部署过程中的部分组件。知识点:ControlTower初始化。易错点:误认为着陆区仅包含网络配置。
9、Cognito的高级安全功能中,哪种机制可以基于用户行为检测异常登录?
A、MFA
B、自适应认证
C、加密传输
D、密码策略
【答案】B
【解析】正确答案是B。自适应认证通过机器学习分析登录行为风险,如异常地理位置或设备。A选项是静态验证;C、D是基础安全措施。知识点:Cognito安全特性。易错点:混淆自适应认证与MFA的区别。
10、在ControlTower中,以下哪种操作需要管控账户(ManagementAccount)权限?
A、修
您可能关注的文档
- 2025年ACP敏捷进度网络迭代优化专题试卷及解析.docx
- 2025年AWS认证`eksctl`命令行工具高级应用专题试卷及解析.docx
- 2025年AWS认证5G网络与AWS边缘计算集成专题试卷及解析.docx
- 2025年AWS认证ACM私有证书模板与策略管理专题试卷及解析.docx
- 2025年AWS认证ACM与AmazonEventBridge事件驱动自动化响应专题试卷及解析.docx
- 2025年AWS认证ACM与AmazonMQforActiveMQ_RabbitMQBrokerSSL_TLS配置专题试卷及解析.docx
- 2025年AWS认证ACM与AWSGlobalAccelerator加速器终端节点安全专题试卷及解析.docx
- 2025年AWS认证ACM与AWSIAM策略精细化权限控制专题试卷及解析.docx
- 2025年AWS认证ACM与AWSLambda函数自定义域名HTTPS配置专题试卷及解析.docx
- 2025年AWS认证ACM与AWSServerlessApplicationModel(SAM)模板集成专题试卷及解析.docx
文档评论(0)