2025年AWS认证CodePipeline使用AWSCloudTrail进行审计与合规性追踪专题试卷及解析.pdfVIP

2025年AWS认证CODEPIPELINE使用AWSCLOUDTRAIL

2025年AWS认证CodePipeline使用

AWSCloudTrail进行审计与合规性追踪专题试卷及解析

2025年AWS认证CodePipeline使用AWSCloudTrail进行审计与合规性追踪专题

试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、AWSCloudTrail在CodePipeline审计中的主要作用是什么？

A、自动化代码部署

B、记录和存储API调用历史

C、优化CI/CD流程性能

D、管理EC2实例

【答案】B

【解析】正确答案是B。CloudTrail的核心功能是记录AWS服务API调用历史，这

对审计CodePipeline的操作至关重要。A是CodePipeline的功能，C是CodeBuild的优

化方向，D是EC2服务的范畴。知识点：CloudTrail基础功能。易错点：混淆CloudTrail

与CodePipeline的功能边界。

2、当需要追踪CodePipeline中谁在何时修改了管道配置时，应优先查看哪个Cloud-

Trail事件？

A、StartPipelineExecution

B、UpdatePipeline

C、GetPipelineState

D、StopPipelineExecution

【答案】B

【解析】正确答案是B。UpdatePipeline事件专门记录管道配置的修改操作，包含时

间戳和操作者信息。A是执行事件，C是查询事件，D是停止事件。知识点：CloudTrail

事件类型。易错点：误认为执行事件包含配置修改信息。

3、要确保CodePipeline操作日志至少保留2557天（7年），应如何配置CloudTrail？

A、创建单区域trail并启用S3服务器端加密

B、创建多区域trail并配置S3生命周期策略

C、启用CloudTrail日志文件验证

D、集成AWSConfig

【答案】B

【解析】正确答案是B。多区域trail确保捕获所有区域操作，S3生命周期策略可

实现长期存储。A缺少长期存储配置，C是日志完整性验证，D是配置管理服务。知识

点：CloudTrail长期存储配置。易错点：忽略多区域要求或生命周期策略的必要性。

2025年AWS认证CODEPIPELINE使用AWSCLOUDTRAIL

4、在CloudTrail中检测到CodePipeline的”UpdatePipeline”事件来自未授权IP时，

应采取什么措施？

A、立即删除管道

B、检查IAM策略并添加IP条件限制

C、禁用CloudTrail

D、重启管道服务

【答案】B

【解析】正确答案是B。IAM策略的IP条件限制是控制访问来源的标准方法。A

会影响业务连续性，C会丢失审计证据，D无法解决根本问题。知识点：IAM访问控

制。易错点：过度反应采取破坏性措施。

5、CloudTrail日志中CodePipeline的”errorCode”字段主要反映什么信息？

A、管道性能指标

B、操作失败的具体原因

C、执行时长

D、资源使用量

【答案】B

【解析】正确答案是B。errorCode字段明确标识操作失败的技术原因。A是Cloud-

Watch指标，C是duration字段，D需要CloudWatchLogs。知识点：CloudTrail事件

结构。易错点：混淆不同日志字段的含义。

6、要分析CodePipeline过去30天的所有失败操作，最高效的方法是？

A、逐条查看CloudTrail日志

B、使用Athena查询S3中的CloudTrail日志

C、检查CodePipeline控制台

D、启用AWSConfig规则

【答案】B

【解析】正确答案是B。Athena可直接查询S3存储的CloudTrail日志，适合批量

分析。A效率低下，C只能查看当前状态，D侧重配置合规。