2025年AWS认证CodePipeline与AWSOrganizations服务控制策略集成专题试卷及解析.pdfVIP

2025年AWS认证CODEPIPELINE与AWSORGANIZATIONS服务控制策略集成专题试卷及解析1

2025年AWS认证CodePipeline与

AWSOrganizations服务控制策略集成专题试卷及解析

2025年AWS认证CodePipeline与AWSOrganizations服务控制策略集成专题试

卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSOrganizations中，服务控制策略（SCP）的主要作用是什么？

A、管理IAM用户的权限

B、控制成员账户的权限边界

C、创建和删除AWS资源

D、监控AWS服务使用情况

【答案】B

【解析】正确答案是B。SCP用于定义成员账户的权限边界，限制账户可以使用哪

些AWS服务及操作。A选项是IAM策略的功能；C选项是CloudFormation等服务的

功能；D选项是CloudTrail的功能。知识点：SCP的核心作用是权限边界控制。易错

点：容易混淆SCP与IAM策略的作用范围。

2、当CodePipeline需要跨账户访问S3存储桶时，必须配置什么？

A、VPC端点

B、IAM角色

C、KMS密钥

D、NAT网关

【答案】B

【解析】正确答案是B。跨账户访问需要通过IAM角色建立信任关系。A选项用于

VPC内通信；C选项用于加密；D选项用于出站互联网访问。知识点：跨账户访问的

核心是IAM角色。易错点：容易忽略角色信任策略的配置。

3、以下哪种SCP语法是有效的？

A、{“Effect”:“Allow”,“Action”:““}

B、{“Version”:,“Statement”:[{“Effect”:“Deny”,“Action”:[“s3:”],“Re-

source”:““}]}

C、{“Principal”:“arn:aws:iam::123456789012:user/test”}

D、{“Condition”:{“StringEquals”:{“aws:RequestedRegion”:“useast1”}}}

【答案】B

【解析】正确答案是B。SCP必须包含完整的Statement结构。A选项缺少Statement；

C选项是IAM策略元素；D选项缺少Effect和Action。知识点：SCP语法必须符合

IAM策略语法规范。易错点：容易遗漏必需的Statement元素。

2025年AWS认证CODEPIPELINE与AWSORGANIZATIONS服务控制策略集成专题试卷及解析2

4、CodePipeline集成SCP时，优先级更高的策略是？

A、SCP

B、IAM策略

C、资源策略

D、VPC端点策略

【答案】B

【解析】正确答案是B。IAM策略优先级高于SCP。A选项是权限边界；C选项是

资源级控制；D选项是网络层控制。知识点：AWS权限评估顺序是IAM策略SCP

资源策略。易错点：容易误认为SCP优先级最高。

5、当SCP拒绝某个服务时，CodePipeline会？

A、自动跳过该阶段

B、报错并停止

C、使用默认配置

D、记录警告日志

【答案】B

【解析】正确答案是B。被SCP拒绝的操作会直接失败。A选项需要显式配置；C

选项不存在默认行为；D选项是CloudTrail的功能。知识点：SCP的Deny是显式拒

绝。易错点：容易混淆Deny和Allow的行为差异。

6、在多账户环境中，CodePipeline的最佳实践是？

A、所有账户共享一个Pipeline

B、每个账户独立Pipeline

C、集中式Pipeline+跨账户角色

D、分布式Pipeline+本地角色

【答案】C

【解析】正确答案是C。集中式管理便于控制。A选项权限过大；B选项管理复杂；

D选项违反集中管理原则。知识点：多账户架构推荐集中控制。易错点：容易忽视集中

管理的优势。