2025年AWS认证NIST800-53框架中MFA相关控制项的实现专题试卷及解析.pdfVIP

2025年AWS认证NIST80053框架中MFA相关控制项的实现专题试卷及解析1

2025年AWS认证NIST80053框架中MFA相关控制

项的实现专题试卷及解析

2025年AWS认证NIST80053框架中MFA相关控制项的实现专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWS中实现NISTSP80053IA2（身份识别和认证）控制项时，以下哪项服

务最适合用于强制多因素认证（MFA）？

A、AWSKMS

B、AWSIAM

C、AWSS3

D、AWSEC2

【答案】B

【解析】正确答案是B。AWSIAM（身份和访问管理）是专门用于管理用户身份和

认证的服务，支持MFA配置，直接对应NISTIA2控制要求。A选项KMS用于加密

管理，C选项S3是存储服务，D选项EC2是计算服务，均不直接处理身份认证。知识

点：IAM是AWS身份认证的核心服务。易错点：可能误选KMS，因其涉及安全但非

身份认证。

2、NISTSP80053IA2(1)控制项要求网络访问必须使用MFA，在AWS中应如何

实现？

A、配置VPC安全组

B、启用IAM用户MFA

C、使用AWSVPN并强制MFA

D、设置S3存储桶策略

【答案】C

【解析】正确答案是C。AWSVPN（SitetoSite或ClientVPN）支持MFA强制认

证，直接满足网络访问的MFA要求。A选项安全组控制流量但不认证身份，B选项仅

控制AWS控制台访问，D选项S3策略不涉及网络认证。知识点：网络访问MFA需

结合VPN或DirectConnect。易错点：可能忽略”网络访问”这一关键限定词。

3、在AWS中实现NISTIA2(2)（特权账户MFA）时，以下哪个操作是必需的？

A、为所有IAM用户启用MFA

B、仅为root账户启用MFA

C、为所有具有管理员权限的IAM用户启用MFA

D、为EC2实例配置IAM角色

【答案】C

2025年AWS认证NIST80053框架中MFA相关控制项的实现专题试卷及解析2

【解析】正确答案是C。特权账户指具有高权限的账户，必须强制MFA。A选项范

围过大，B选项遗漏其他特权账户，D选项与身份认证无关。知识点：特权账户包括

root和具有管理员策略的IAM用户。易错点：可能忽略除root外的其他特权账户。

4、AWSIAM身份中心（AWSSSO）如何支持NISTIA2(3)（移动设备MFA）？

A、通过设备信任策略

B、集成第三方MFA应用

C、使用生物识别

D、禁用移动设备访问

【答案】B

【解析】正确答案是B。AWSSSO支持集成第三方MFA应用（如GoogleAuthen-

ticator），满足移动设备MFA要求。A选项设备信任不等同于MFA，C选项生物识别

需额外配置，D选项不符合控制项要求。知识点：移动设备MFA需兼容标准协议（如

TOTP）。易错点：可能混淆设备信任与MFA概念。

5、NISTIA2(8)（重复认证器验证）在AWS中如何实现？

A、定期轮换MFA设备

B、使用硬件安全模块（HSM）

C、启用MFA设备自检功能

D、配置多个MFA设备

【答案】A

【解析】正确答案是A。定期轮换MFA设备可验证其有效性，符合重复认证器验

证要求。B选项HSM用于密钥管理，C选项AWS无此功能，D选项多设备不解决验

证问题。知识点：重复验证需定期测试认证器功能。易错点：可能误选D，但多设备不

等同于验证。

6、在AWS中实现NISTIA5（认证器管理）时，以下哪项是MFA设备管理的最

佳实践？

A、允许用户自注册MFA