2025年AWS认证子网与AWSCognito用户池网络隔离专题试卷及解析.pdfVIP

2025年AWS认证子网与AWSCOGNITO用户池网络隔离专题试卷及解析1

2025年AWS认证子网与AWSCognito用户池网络隔离

专题试卷及解析

2025年AWS认证子网与AWSCognito用户池网络隔离专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSVPC中，以下哪种子网类型默认不允许从互联网直接访问？

A、公有子网

B、私有子网

C、VPN专用子网

D、直连子网

【答案】B

【解析】正确答案是B。私有子网没有互联网网关路由，默认无法直接访问互联网。

公有子网有IGW路由（A错误），VPN和直连是连接方式而非子网类型（C、D错误）。

知识点：VPC子网隔离机制。易错点：混淆”私有”与”无互联网访问”的概念，私有子网

可通过NAT访问互联网。

2、AWSCognito用户池的哪种功能最适合实现多因素认证（MFA）？

A、自适应认证

B、短信验证码

C、基于时间的一次性密码（TOTP）

D、社交身份提供商集成

【答案】C

【解析】正确答案是C。TOTP是标准MFA实现方式（如GoogleAuthenticator）。

短信验证码（B）仅是MFA的一种形式，自适应认证（A）是风险检测功能，社交集成

（D）是联合身份功能。知识点：Cognito安全机制。易错点：误认为所有验证方式都是

MFA，需区分基础验证与多因素认证。

3、以下哪种AWS服务可实现跨VPC的私有网络通信？

A、VPCPeering

B、InternetGateway

C、NATGateway

D、Route53Resolver

【答案】A

【解析】正确答案是A。VPCPeering允许两个VPC间私有IP通信。IGW（B）连

接互联网，NAT（C）提供出站互联网访问，Route53（D）是DNS服务。知识点：VPC

互联方案。易错点：忽略”私有通信”要求，误选其他网络组件。

2025年AWS认证子网与AWSCOGNITO用户池网络隔离专题试卷及解析2

4、在Cognito用户池中，以下哪种触发器最适合实现用户注册时的自定义验证逻

辑？

A、PreSignup

B、PostAuthentication

C、TokenGeneration

D、PreTokenGeneration

【答案】A

【解析】正确答案是A。PreSignup触发器在用户注册前执行，可添加自定义验证。

PostAuthentication（B）在登录后执行，Token相关（C、D）在认证流程中触发。知

识点：CognitoLambda触发器。易错点：混淆触发器执行时机，需明确注册与认证的

区别。

5、以下哪种子网配置最适合部署RDS数据库？

A、公有子网，配置AutoScaling组

B、私有子网，禁用公网IP

C、公有子网，关联安全组

D、VPN专用子网，启用流量镜像

【答案】B

【解析】正确答案是B。数据库应部署在无公网访问的私有子网。公有子网（A、C）

暴露风险高，VPN专用（D）非标准配置。知识点：数据库安全部署。易错点：忽略”

无公网访问”的数据库安全最佳实践。

6、Cognito用户池的”高级安全”功能主要提供什么？

A、自动用户数据加密

B、自适应认证和威胁检测

C、跨区域数据同步

D、无密码登录支持

【答案】B

【解析】正确答案是B。高级安全提供基于机器学习的威胁检测。数据加密（A）是

基础功能，跨区域同步（C）需配置，无密码登录（D）是独立功能。知识点：Cognito

安全特性。易错点：混淆基础安全与高级安全功能范围。

7、以下哪种NACL规则配置会阻止所有入站流量？

A、允许HTTP(80)，拒绝其他

B、拒绝SSH(22)，允许其他

C、拒绝所有流量

D、允许HTTP