2025年AWS认证CodePipeline端到端安全架构设计与实现专题试卷及解析.pdfVIP

2025年AWS认证CODEPIPELINE端到端安全架构设计与实现专题试卷及解析1

2025年AWS认证CodePipeline端到端安全架构设计与

实现专题试卷及解析

2025年AWS认证CodePipeline端到端安全架构设计与实现专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSCodePipeline中，为确保源代码仓库的访问安全，以下哪种方式最适

合用于存储和管理访问凭证？

A、直接在CodePipeline配置中硬编码GitHub访问令牌

B、使用AWSSecretsManager存储GitHub访问令牌，并在CodePipeline中引用

C、将GitHub访问令牌存储在S3存储桶中

D、通过IAM用户访问密钥直接访问GitHub仓库

【答案】B

【解析】正确答案是B。AWSSecretsManager是专门用于安全存储和管理敏感信息

的服务，可以自动轮换凭证，并与CodePipeline无缝集成。A选项硬编码存在安全风险；

C选项S3不适合存储凭证且缺乏管理功能；D选项IAM访问密钥不能用于GitHub

认证。知识点：AWSSecretsManager的最佳实践。易错点：容易忽视凭证轮换和审计

功能的重要性。

2、在CodePipeline的构建阶段，为了确保构建环境的安全性，应该优先采用哪种

方式？

A、使用永久EC2实例作为构建环境

B、采用AWSCodeBuild的临时构建环境

C、在本地开发机上进行构建

D、使用DockerHub的公共镜像

【答案】B

【解析】正确答案是B。CodeBuild提供完全托管的临时构建环境，每次构建后自动

销毁，减少了攻击面。A选项永久实例增加维护成本和安全风险；C选项本地构建不符

合CI/CD理念；D选项公共镜像可能存在安全漏洞。知识点：临时构建环境的安全优

势。易错点：容易忽略构建环境的生命周期管理。

3、在CodePipeline部署阶段，为了实现最小权限原则，应该采用哪种IAM策略

配置方式？

A、为CodePipeline服务角色附加AdministratorAccess策略

B、为每个阶段创建独立的IAM角色并配置最小权限

C、使用AWS托管式策略PowerUserAccess

D、跳过IAM配置以简化部署流程

【答案】B

2025年AWS认证CODEPIPELINE端到端安全架构设计与实现专题试卷及解析2

【解析】正确答案是B。最小权限原则要求每个角色只拥有执行其任务所需的最小

权限。A和C选项权限过大；D选项完全不符合安全要求。知识点：IAM最小权限原

则。易错点：容易为了方便而过度授权。

4、在CodePipeline中集成静态代码分析工具时，为了确保扫描结果的安全性，应

该采用哪种架构？

A、将扫描工具直接部署在EC2实例上

B、使用AWSCodeBuild集成第三方扫描工具

C、在本地运行扫描工具后上传结果

D、跳过静态代码分析以加快部署速度

【答案】B

【解析】正确答案是B。CodeBuild可以集成各种静态分析工具，并确保扫描过程在

受控环境中进行。A选项需要自行管理基础设施；C选项本地扫描可能被绕过；D选项

完全违背安全要求。知识点：CI/CD中的安全扫描集成。易错点：容易忽视扫描过程本

身的安全性。

5、在CodePipeline的部署阶段，为了实现安全的蓝绿部署，应该使用哪种AWS

服务？

A、直接使用AWSCLI手动部署

B、采用AWSCodeDeploy的蓝绿部署功能

C、通过CloudFormation一次性更新所有资源

D、使用ElasticBeanstalk的滚动部署

【答案】B

【解析】正确答案是B。CodeDeploy专门提供蓝绿部署功能，可以安全地切换流量。

A选项手动操作风险高；C选项不是蓝绿部署；D选项滚动部署不是蓝绿部署。知识

点：蓝绿部署的实现方式。易错点：容易混淆不同部署策略。

6、在CodePipeline中配置加密传