2025年AWS认证CodePipeline网络隔离与私有部署专题试卷及解析.pdfVIP

2025年AWS认证CODEPIPELINE网络隔离与私有部署专题试卷及解析1

2025年AWS认证CodePipeline网络隔离与私有部署专

题试卷及解析

2025年AWS认证CodePipeline网络隔离与私有部署专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSCodePipeline中，为了确保构建服务器无法直接访问互联网，应采用

哪种网络架构？

A、将CodeBuild项目部署在公有子网中

B、为CodeBuild项目配置NAT网关

C、将CodeBuild项目部署在带有VPC端点的私有子网中

D、使用公共S3存储构建产物

【答案】C

【解析】正确答案是C。将CodeBuild部署在带有VPC端点的私有子网可以实现

完全的网络隔离，通过VPC端点访问AWS服务而无需经过互联网。A选项会使构建

服务器暴露在公网；B选项虽然能提供出站访问，但仍需经过NAT网关；D选项与网

络隔离无关。知识点：VPC端点配置、私有子网隔离。易错点：混淆NAT网关和VPC

端点的使用场景。

2、在CodePipeline中实现私有部署时，哪种方式最适合安全地访问自托管Git仓

库？

A、使用SSH密钥存储在AWSSecretsManager

B、在代码中硬编码凭证

C、使用公共IP访问Git仓库

D、禁用SSL验证

【答案】A

【解析】正确答案是A。AWSSecretsManager提供安全的凭证存储和轮换，是最佳

实践。B选项存在严重安全风险；C选项不符合私有部署要求；D选项会降低安全性。

知识点：AWSSecretsManager集成、凭证管理。易错点：忽视凭证管理的安全最佳实

践。

3、当CodePipeline需要访问位于私有子网的RDS数据库时，应该配置什么？

A、公共路由表

B、VPC对等连接

C、互联网网关

D、安全组允许所有流量

【答案】B

2025年AWS认证CODEPIPELINE网络隔离与私有部署专题试卷及解析2

【解析】正确答案是B。VPC对等连接允许不同VPC间的私有通信，是访问私有

子网资源的标准方式。A和C会暴露资源到公网；D违反最小权限原则。知识点：VPC

对等连接、私有网络通信。易错点：混淆不同网络组件的适用场景。

4、在CodePipeline中实现完全私有部署时，S3存储桶应该配置什么？

A、公共读取权限

B、仅VPC端点访问

C、跨区域复制

D、版本控制禁用

【答案】B

【解析】正确答案是B。仅VPC端点访问确保S3只能通过私有网络访问，符合完

全私有部署要求。A违反安全原则；C与网络隔离无关；D影响构建可靠性。知识点：

S3VPC端点、存储安全。易错点：忽视存储访问控制的重要性。

5、CodePipeline在私有部署环境中，如何安全地传递构建参数？

A、明文传递

B、使用ParameterStore加密存储

C、存储在EC2实例元数据中

D、通过环境变量传递

【答案】B

【解析】正确答案是B。ParameterStore提供安全的参数存储和加密功能。A不安

全；C和D可能泄露敏感信息。知识点：ParameterStore、参数安全。易错点：低估参

数传递的安全风险。

6、在私有部署的CodePipeline中，如何限制CodeBuild的出站访问？

A、配置安全组仅允许必要出站规则

B、使用默认安全组

C、禁用所有出站规则

D、配置为全开放

【答案】A

【解析】正确答案是A。最小权限原则要求仅允许必要的出站访问。B可能包含过

多权限；C会影响必要功能；D违反安全原则。知识点：安全组配置、最小权限。易错

点：忽视出流量的安全控制。

7、当CodePipeline需要访问私有Docker镜像仓库时，最佳