2025年AWS认证Amazon Cognito与DynamoDB用户数据存储专题试卷及解析

2025年AWS认证AmazonCognito与DynamoDB用户数据存储专题试卷及解析本试卷聚焦AWS认证中AmazonCognito与DynamoDB在用户数据存储场景的核心应用，涵盖服务特性、集成架构、权限控制、性能优化等高频考点，题型包括单选、判断、案例分析，适合备考AWS解决方案架构师、开发者认证的学习者自测使用。考试说明：1.本试卷共25题，满分100分，其中单选题15题（每题4分），判断题5题（每题2分），案例分析题1题（30分）；2.答题完成后可结合解析核对答案，重点掌握知识点应用场景及易错点。一、单选题（每题4分，共15题，满分60分）题号题干选项答案解析1某应用需实现用户注册、登录认证，并存储用户的自定义角色（6种）、服务器访问权限（200-300台服务器）及项目/公司层级权限，以下最优架构是（）A.仅使用AmazonCognito，通过用户池自定义属性存储所有权限信息

B.仅使用DynamoDB，自行开发认证逻辑及权限管理模块

C.AmazonCognito负责认证，DynamoDB存储详细权限信息，通过Lambda实现用户数据同步

D.使用AmazonCognito用户池组管理所有角色及权限C解析：AmazonCognito擅长用户认证（注册、登录、令牌管理），但在复杂权限控制（如多层级、多维度权限）场景下存在局限性；DynamoDB适合存储结构化的权限数据，支持高并发查询；Lambda可自动化实现Cognito用户创建/更新时同步生成DynamoDB记录，实现认证与权限存储的解耦。A选项中Cognito自定义属性无法满足复杂权限的层级管理需求；B选项自行开发认证逻辑成本高、安全性低；D选项Cognito用户池组无法覆盖多服务器、多项目的精细化权限控制。2关于AmazonCognito用户池的描述，以下错误的是（）A.支持电子邮件、手机号、用户名等多种登录方式

B.可集成第三方身份提供商（如Google、Facebook）

C.内置用户数据存储，可直接存储用户的敏感权限信息

D.提供JWT令牌验证，保障用户认证安全性C解析：AmazonCognito用户池内置用户数据存储，主要用于存储认证相关信息（如用户名、密码哈希、基础用户属性），不建议存储复杂的敏感权限信息。敏感权限信息应存储在DynamoDB等专用数据库中，并通过权限控制策略保障访问安全。A、B、D均为Cognito用户池的核心特性。3在AmazonCognito与DynamoDB集成架构中，用户登录成功后，应用获取用户权限信息的正确流程是（）A.用户登录Cognito→Cognito直接返回DynamoDB中的权限数据→应用使用权限数据

B.用户登录Cognito→应用获取Cognito返回的JWT令牌→应用验证令牌后查询DynamoDB获取权限数据→应用使用权限数据

C.用户登录DynamoDB→DynamoDB验证用户身份后返回权限数据→应用使用权限数据

D.用户登录Cognito→Cognito调用Lambda查询DynamoDB→Cognito将权限数据与令牌一起返回→应用使用权限数据B解析：正确流程需区分认证与权限数据获取的职责边界：Cognito负责身份认证并返回JWT令牌（包含用户标识等基础信息），权限数据存储在DynamoDB中。应用需先验证JWT令牌的有效性，再通过令牌中的用户标识（如sub字段）查询DynamoDB获取对应的权限信息。A选项Cognito无法直接返回DynamoDB数据；C选项DynamoDB不具备用户认证功能；D选项增加了Cognito与DynamoDB的耦合度，不符合解耦设计原则。4某应用使用DynamoDB存储用户权限数据，要求根据“用户ID”快速查询权限信息，同时支持按“项目ID”批量查询该项目下所有用户的权限，以下DynamoDB表设计最优的是（）A.主分区键：用户ID，不设置排序键；创建全局二级索引（GSI），分区键：项目ID

B.主分区键：项目ID，排序键：用户ID；创建全局二级索引（GSI），分区键：用户ID

C.主分区键：用户ID，排序键：项目ID；创建全局二级索引（GSI），分区键：项目ID

D.主分区键：项目ID，不设置排序键；创建全局二级索引（GSI），分区键：用户IDA解析：需求的核心是两个查询场景：①按用户ID快速查询（主键查询）；②按项目ID批量查询（二级索引查询）。DynamoDB中主分区键决定数据分布，主键查询效率最高，因此主分区键应设为用户ID；无需排序键即可满足单用户ID查询需求。针对按项目ID查询的场景，创建以项目ID为分区键的全局二级索引（GSI），可高效批量查询该项目下所有用户的权限数据。B、D选项主分区键设为项目ID，无法高效支持按用户ID查询；C选项排序键设置冗余，且GSI设计未优化项目ID查询场景。5关于AmazonCognito身份池（IdentityPools）的作用，以下正确的是（）A.用于存储用户的详细权限信息

B.用于为已认证/未认证用户分配AWS服务访问权限（如DynamoDB读写权限）

C.替代用户池实现用户注册与登录功能

D.用于同步DynamoDB中的用户数据到CognitoB解析：Cognito身份池（IdentityPools）的核心作用是身份授权，即为通过认证的用户（来自用户池或第三方身份提供商）或未认证用户分配临时的AWS凭证，控制其对AWS服务（如DynamoDB、S3）的访问权限。A选项权限信息应存储在DynamoDB；C选项身份池不具备用户注册登录功能，需与用户池配合使用；D选项用户数据同步需通过Lambda等服务实现，非身份池的功能。6某应用需保障DynamoDB中用户权限数据的安全性，要求仅允许已通过AmazonCognito认证的用户查询自己的权限数据，以下实现方案正确的是（）A.在DynamoDB表上配置IAM策略，限制仅Cognito身份池颁发的凭证可访问，且查询条件必须匹配用户ID

B.在应用层对用户身份进行验证，仅允许合法用户调用DynamoDB查询接口

C.将用户权限数据加密存储在DynamoDB，仅应用服务知道解密密钥

D.在Cognito用户池中配置权限策略，限制用户只能访问自己的权限数据A解析：最优方案是通过IAM策略与Cognito身份池结合实现细粒度权限控制：①配置Cognito身份池，为认证用户分配具有DynamoDB访问权限的IAM角色；②在IAM策略中限制仅允许查询“用户ID=当前认证用户标识”的数据（通过${:sub}动态获取用户标识）。这种方案从AWS服务层保障安全性，避免应用层验证的漏洞。B选项应用层验证存在安全风险（如应用被篡改）；C选项加密存储无法控制用户对自身数据的访问权限；D选项Cognito用户池无法直接控制DynamoDB的访问权限。7以下关于AmazonCognito用户数据同步的描述，错误的是（）A.可通过Lambda触发器实现Cognito用户创建/更新时自动同步到DynamoDB

B.Cognito用户池的预注册（Pre-sign-up）触发器可用于在用户注册前验证数据并初始化DynamoDB记录

C.Cognito用户池的后认证（Post-authentication）触发器可用于同步用户认证状态到DynamoDB

D.Cognito支持自动同步DynamoDB中的数据到用户池，无需额外开发D解析：Cognito与DynamoDB的数据同步需要通过Lambda触发器等自定义开发实现，不存在自动同步功能。A、B、C均为常见的同步实现方案：预注册触发器可在用户注册前完成数据验证和DynamoDB记录初始化；后认证触发器可同步认证状态；用户创建/更新触发器可同步用户基础信息到DynamoDB。8某应用使用DynamoDB存储用户数据，预计用户量增长迅速，需保障高并发访问性能，以下优化措施错误的是（）A.启用DynamoDB自动扩展，根据流量自动调整读写容量单位

B.为频繁查询的字段创建本地二级索引（LSI）

C.采用读写分离架构，将读请求分流到只读副本

D.合理设计分区键，避免热点分区C解析：DynamoDB是分布式数据库，默认支持高并发访问，其优化核心在于分区键设计、索引优化和容量扩展。A选项自动扩展可应对流量波动；B选项本地二级索引（LSI）可优化基于主分区键+排序键的查询；D选项合理设计分区键（如避免单一值高频访问）可避免热点分区。C选项错误，DynamoDB不支持传统意义上的只读副本，其读扩展通过调整读容量单位、使用全局二级索引（GSI）等方式实现。9AmazonCognito用户池的JWT令牌中，用于标识用户唯一身份的字段是（）A.iss

B.sub

C.exp

D.audB解析：JWT令牌各核心字段含义：sub（subject）表示用户唯一标识，是关联Cognito用户与DynamoDB权限数据的关键字段；iss（issuer）表示令牌颁发者（Cognito用户池地址）；exp（expirationtime）表示令牌过期时间；aud（audience）表示令牌接收者（应用客户端ID）。因此正确答案为B。10某应用需要实现用户密码重置功能，以下基于AmazonCognito的实现方案正确的是（）A.应用直接修改DynamoDB中的用户密码字段，同时同步到Cognito用户池

B.调用Cognito用户池的密码重置API，由Cognito发送重置链接/验证码，用户重置成功后通过Lambda同步更新DynamoDB中的相关信息

C.应用生成临时密码存储到DynamoDB，通知用户使用临时密码登录，登录后再修改密码

D.直接在Cognito用户池控制台修改用户密码，无需同步到DynamoDBB解析：用户密码是认证核心信息，必须由Cognito用户池统一管理（Cognito会对密码进行哈希处理，保障安全性）。正确流程为：调用Cognito密码重置API，Cognito通过邮件/短信发送重置链接/验证码；用户完成密码重置后，Cognito触发相关Lambda触发器，同步更新DynamoDB中与用户认证相关的关联信息（如密码更新时间）。A选项直接修改DynamoDB密码字段无法保障安全性（密码未哈希）；C选项应用生成临时密码不符合Cognito认证流程；D选项未同步DynamoDB可能导致数据不一致。11关于DynamoDB存储用户权限数据的优势，以下描述错误的是（）A.支持自动扩展，可应对用户量增长带来的存储和访问压力

B.提供强一致性读取，保障权限数据查询的准确性

C.支持键值对存储，适合存储结构化的权限信息

D.与AWS其他服务（如Cognito、Lambda）集成便捷，简化架构设计B解析：DynamoDB默认提供最终一致性读取，强一致性读取需要显式指定（且会消耗更多读容量单位），并非默认特性。A、C、D均为DynamoDB的核心优势：自动扩展应对流量波动、键值对存储适配结构化权限数据、与AWS生态服务集成便捷。因此错误答案为B。12在AmazonCognito与DynamoDB集成架构中，以下关于Lambda触发器的应用场景，错误的是（）A.预注册触发器：验证用户注册信息的合法性，如手机号格式、邮箱域名

B.后注册触发器：用户注册成功后，在DynamoDB中创建对应的权限记录（初始权限）

C.认证触发器：用户认证过程中，从DynamoDB查询权限数据并返回给用户

D.预令牌生成触发器：自定义JWT令牌中的字段，如添加用户所属项目信息C解析：认证触发器（如Post-authentication）的作用是在用户认证成功后执行自定义逻辑（如记录认证日志），但无法直接从DynamoDB查询权限数据并返回给用户。权限数据的获取应在应用层完成（认证成功后通过用户标识查询DynamoDB）。A、B、D均为Lambda触发器的合理应用场景。13某应用需要限制用户对DynamoDB权限表的访问频率，避免恶意查询，以下实现方案正确的是（）A.在Cognito用户池中配置访问频率限制

B.启用DynamoDB的读写容量单位限制，间接限制访问频率

C.使用AWSWAF配置速率限制规则，拦截高频查询请求

D.在Lambda函数中实现访问频率控制，限制同一用户单位时间内的查询次数D解析：实现用户级别的访问频率控制，最优方案是在Lambda函数中集成限流逻辑（如使用Redis存储用户查询次数，或利用DynamoDB存储访问时间戳），限制同一用户单位时间内的查询次数。A选项Cognito无法直接限制DynamoDB访问频率；B选项读写容量单位限制是全局的，无法区分用户级别；C选项AWSWAF主要用于拦截HTTP/HTTPS请求的恶意攻击，难以精准控制DynamoDB的用户级查询频率。14关于AmazonCognito用户池客户端的描述，以下正确的是（）A.一个用户池只能创建一个客户端，对应一个应用

B.客户端ID和客户端密钥用于应用与Cognito用户池的身份验证

C.客户端密钥可用于用户登录认证

D.客户端配置中可直接指定DynamoDB的访问权限B解析：Cognito用户池客户端是应用与用户池交互的桥梁，每个客户端拥有唯一的客户端ID，机密客户端（如后端应用）还会有客户端密钥，用于应用与用户池的身份验证（如调用OAuth2.0API时）。A选项一个用户池可创建多个客户端，对应多个应用；C选项用户登录认证使用用户名/密码等凭证，客户端密钥用于应用身份验证；D选项客户端配置无法直接指定DynamoDB访问权限，需通过身份池关联IAM角色实现。15某应用使用DynamoDB存储用户权限数据，需要对权限数据进行版本控制，避免并发更新导致的数据冲突，以下实现方案正确的是（）A.启用DynamoDB的事务功能，确保更新操作的原子性

B.使用条件表达式，基于数据版本号进行更新（如仅当版本号匹配时更新）

C.采用乐观锁机制，在应用层控制并发更新

D.启用DynamoDB的强一致性读取，避免读取旧数据B解析：DynamoDB中实现数据版本控制、避免并发冲突的核心方案是使用条件表达式结合版本号字段：①在权限数据中添加版本号字段（如version）；②更新数据时，在条件表达式中指定“仅当当前版本号等于请求中的版本号时才更新”，同时更新版本号。A选项事务功能用于保障多操作的原子性，不直接解决版本控制问题；C选项乐观锁机制需要结合条件表达式实现，仅应用层控制存在风险；D选项强一致性读取无法解决并发更新冲突。二、判断题（每题2分，共5题，满分10分）题号题干答案解析1AmazonCognito用户池存储的用户数据默认加密，无需额外配置即可保障数据安全性。（）F解析：Cognito用户池存储的用户数据默认并非加密状态，需要手动启用服务器端加密（SSE），并可选择使用AWSKMS密钥进行加密，以保障数据安全性。因此题干描述错误。2DynamoDB的全局二级索引（GSI）可以使用与主表不同的分区键和排序键，适合优化多维度的查询场景。（）T解析：全局二级索引（GSI）是独立于主表的索引结构，支持使用与主表不同的分区键和排序键，可针对主表无法高效支持的查询场景（如多维度查询）进行优化，是DynamoDB查询优化的核心手段之一。题干描述正确。3AmazonCognito身份池可以为未认证用户分配临时AWS凭证，允许其访问指定的DynamoDB资源。（）T解析：Cognito身份池的核心功能之一是为未认证用户（如未登录的访客）分配临时AWS凭证，通过关联的IAM角色控制其访问权限，可实现允许未认证用户访问指定的DynamoDB资源（如公开的用户基础信息）。题干描述正确。4在AmazonCognito与DynamoDB集成架构中，用户的认证状态由DynamoDB维护，Cognito仅负责用户数据存储。（）F解析：职责边界颠倒，正确的职责分配是：Cognito负责维护用户认证状态（如登录状态、令牌有效期）并存储认证相关数据；DynamoDB负责存储用户的详细权限信息等业务数据。题干描述错误。5DynamoDB的写入操作是原子性的，即单个项目的多属性更新要么全部成功，要么全部失败。（）T解析：DynamoDB对单个项目的写入操作（如PutItem、UpdateItem）具备原子性，即对同一项目的多个属性进行更新时，不会出现部分属性更新成功、部分失败的情况，确保数据一致性。题干描述正确。三、案例分析题（共1题，满分30分）案例背景：某电商平台计划重构用户认证与权限管理系统，平台用户量约50万，高峰期并发访问量达1万QPS。核心需求如下：支持用户通过手机号、邮箱、第三方账号（微信、QQ）注册登录；存储用户的基础信息（姓名、头像、联系方式）和权限信息（角色：普通用户、商家、管理员；访问权限：订单管理、商品管理、用户管理等）；保障用户认证安全性，支持密码重置、多因素认证（MFA）；权限信息查询延迟要求低于100ms，支持高并发访问；系统需具备可扩展性，应对未来用户量增长；实现用户数据（认证信息、权限信息）的一致性同步。问题：请基于AmazonCognito与DynamoDB设计一套满足上述需求的架构方案，并回答以下问题：请画出架构示意图（文字描述核心组件及交互流程）；（10分）说明AmazonCognito和DynamoDB在方案中的核心职责；（8分）如何实现用户注册/登录后，认证信息与权限信息的一致性同步？（6分）针对权限信息查询延迟低于100ms的需求，DynamoDB需进行哪些优化配置？（6分）参考答案及解析架构示意图（文字描述）：

核心组件：电商应用客户端→AmazonCognito用户池→Lambda触发器→AmazonDynamoDB（用户基础信息表、权限信息表）→AmazonCognito身份池→IAM角色

交互流程：

①用户通过应用客户端发起注册/登录请求，提交凭证（手机号/邮箱/第三方账号）；

②Cognito用户池验证凭证，完成身份认证（支持MFA），返回JWT令牌；

③注册/登录过程中触发Lambda触发器，同步用户基础信息到DynamoDB用户基础信息表，初始化/更新权限信息到DynamoDB权限信息表；

④应用客户端获取JWT令牌后，通过Cognito身份池交换获取临时AWS凭证；

⑤应用客户端使用临时AWS凭证查询DynamoDB权限信息表，获取用户权限；

⑥IAM角色控制应用客户端对DynamoDB的访问权限，确保仅能查询当前用户的权限信息。（10分）核心职责：

（1）AmazonCognito：①负责用户身份认证，支持多渠道注册登录（手机号、邮箱、第三方账号）；②提供密码重置、MFA等安全功能，保障认证安全；③生成JWT令牌，标识用户身份；④通过身份池为认证用户分配临时AWS凭证，实现对DynamoDB的权限控制；⑤触发Lambda触发器，驱动用户数据同步。（4分）

（2）AmazonDynamoDB：①存储用户基础信息（姓名、头像、联系方式），支持高并发读写；②存储用户权限信息（角色、访问权限），保障权限查询的低延迟；③通过索引优化，支持按用户ID、角色等维度的高效查询；④支持自动扩展，应对用户量增长。（4分）一致性同