Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Datenschutz in AWS CodePipeline
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) und geteilter Verantwortung gilt für den Datenschutz in. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit der Konsole, der API oder auf andere AWS-Services Weise arbeiten oder diese verwenden. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
Die folgenden bewährten Sicherheitsmethoden umfassen ebenfalls den Adressdatenschutz in CodePipeline:
+ [Konfigurieren Sie die serverseitige Verschlüsselung für in Amazon S3 gespeicherte Artefakte für CodePipeline](S3-artifact-encryption.md)
+ [Wird verwendet AWS Secrets Manager , um Datenbankkennwörter oder API-Schlüssel von Drittanbietern zu verfolgen](parameter-store-encryption.md)
## Richtlinie für den Datenverkehr zwischen Netzwerken
Amazon VPC ist eine AWS-Service , die Sie verwenden können, um AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk (*virtuelle private Cloud*) zu starten. CodePipelineunterstützt Amazon VPC-Endpoints powered by AWS PrivateLink, eine AWS Technologie, die die private Kommunikation zwischen AWS-Services einer elastic network interface mit privaten IP-Adressen ermöglicht. Das bedeutet, dass Sie CodePipeline über einen privaten Endpunkt in Ihrer VPC eine direkte Verbindung herstellen können, sodass der gesamte Datenverkehr innerhalb Ihrer VPC und des AWS Netzwerks bleibt. Bisher war für Anwendungen, die innerhalb einer VPC ausgeführt wurden, ein Internetzugang erforderlich, um eine Verbindung mit CodePipeline herzustellen. Mit einer VPC haben Sie die Kontrolle über Ihre Netzwerkeinstellungen, z. B.:
+ IP-Adressbereich,
+ Subnetze,
+ Routing-Tabellen und
+ Netzwerk-Gateways.
Um Ihre VPC zu verbinden CodePipeline, definieren Sie einen VPC-Schnittstellen-Endpunkt für. CodePipeline Dieser Endpunkttyp ermöglicht es Ihnen, eine Verbindung zu Ihrer VPC herzustellen AWS-Services. Der Endpunkt bietet zuverlässige, skalierbare Konnektivität, CodePipeline ohne dass ein Internet-Gateway, eine NAT-Instanz (Network Address Translation) oder eine VPN-Verbindung erforderlich ist. Weitere Informationen zur Einrichtung einer VPC finden Sie im [VPC-Benutzerhandbuch](https://docs.aws.amazon.com/vpc/latest/userguide/).
## Verschlüsselung im Ruhezustand
Eingeschaltete CodePipeline Daten werden im Ruhezustand mit verschlüsselt AWS KMS keys. Code-Artefakte werden in einem kundeneigenen S3-Bucket gespeichert und entweder mit dem Von AWS verwalteter Schlüssel oder einem vom Kunden verwalteten Schlüssel verschlüsselt. Weitere Informationen finden Sie unter [Konfigurieren Sie die serverseitige Verschlüsselung für in Amazon S3 gespeicherte Artefakte für CodePipeline](S3-artifact-encryption.md).
## Verschlüsselung während der Übertragung
service-to-serviceDie gesamte Kommunikation wird während der Übertragung mit SSL/TLS verschlüsselt.
## Verwaltung von Verschlüsselungsschlüsseln
Wenn Sie die Standardoption für die Verschlüsselung von Codeartefakten wählen, CodePipeline verwendet die. Von AWS verwalteter Schlüssel Sie können dies Von AWS verwalteter Schlüssel nicht ändern oder löschen. Wenn Sie einen vom Kunden verwalteten Schlüssel AWS KMS zum Verschlüsseln oder Entschlüsseln von Artefakten im S3-Bucket verwenden, können Sie diesen vom Kunden verwalteten Schlüssel nach Bedarf ändern oder rotieren.
**Wichtig**
CodePipeline unterstützt nur symmetrische KMS-Schlüssel. Verwenden Sie keinen asymmetrischen KMS-Schlüssel, um die Daten in Ihrem S3-Bucket zu verschlüsseln.
**Topics**
# Konfigurieren Sie die serverseitige Verschlüsselung für in Amazon S3 gespeicherte Artefakte für CodePipeline
Es gibt zwei Möglichkeiten, die serverseitige Verschlüsselung für Amazon S3 S3-Artefakte zu konfigurieren:
+ CodePipeline erstellt einen S3-Artefakt-Bucket und wird standardmäßig verwendet Von AWS verwalteter Schlüssel , wenn Sie mit dem Assistenten „Pipeline erstellen“ eine Pipeline erstellen. Das Von AWS verwalteter Schlüssel wird zusammen mit den Objektdaten verschlüsselt und von AWS verwaltet.
+ Sie können Ihren eigenen, vom Kunden verwalteten Schlüssel erstellen und verwalten.
**Wichtig**
CodePipeline unterstützt nur symmetrische KMS-Schlüssel. Verwenden Sie keinen asymmetrischen KMS-Schlüssel, um die Daten in Ihrem S3-Bucket zu verschlüsseln.
Wenn Sie den Standard-S3-Schlüssel verwenden, können Sie diesen nicht ändern oder löschen. Von AWS verwalteter Schlüssel Wenn Sie einen vom Kunden verwalteten Schlüssel AWS KMS zum Verschlüsseln oder Entschlüsseln von Artefakten im S3-Bucket verwenden, können Sie diesen vom Kunden verwalteten Schlüssel nach Bedarf ändern oder rotieren.
Amazon S3 unterstützt Bucket-Richtlinien, die Sie verwenden können, wenn Sie eine serverseitige Verschlüsselung für alle in Ihrem Bucket gespeicherten Objekte benötigen. Beispielsweise verweigert die folgende Bucket-Richtlinie jedem die `s3:PutObject`-Berechtigung zum Hochladen von Objekten, wenn die Anfrage nicht den `x-amz-server-side-encryption`-Header enthält, der eine serverseitige Verschlüsselung mit SSE-KMS anfordert.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "SSEAndSSLPolicy",
"Statement": [
{
"Sid": "DenyUnEncryptedObjectUploads",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::codepipeline-us-west-2-89050EXAMPLE/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "DenyInsecureConnections",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::codepipeline-us-west-2-89050EXAMPLE/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
Weitere Informationen zur serverseitigen Verschlüsselung finden Sie unter [Schützen von Daten mithilfe serverseitiger Verschlüsselung und Schützen von Daten mithilfe serverseitiger Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) [mit in (SSE-KMS) gespeicherten KMS-Schlüsseln](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html). AWS KMS AWS Key Management Service
[Weitere Informationen AWS KMS zu finden Sie im Entwicklerhandbuch.AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/)
**Topics**
+ [Sehen Sie sich Ihre an Von AWS verwalteter Schlüssel](#S3-view-default-keys)
+ [Konfigurieren Sie die serverseitige Verschlüsselung für S3-Buckets mit oder CloudFormation AWS CLI](#S3-rotate-customer-key)
## Sehen Sie sich Ihre an Von AWS verwalteter Schlüssel
Wenn Sie den Assistenten **Create Pipeline (Pipeline erstellen)** verwenden, um Ihre erste Pipeline zu erstellen, wird in derselben Region, in der Sie die Pipeline erstellt haben, ein S3-Bucket erstellt. Der Bucket wird für das Speichern von Pipeline-Artefakten verwendet. Während der Ausführung einer Pipeline werden Artefakte in den S3-Bucket eingefügt und aus diesem abgerufen. CodePipeline Verwendet standardmäßig serverseitige Verschlüsselung AWS KMS mit dem Von AWS verwalteter Schlüssel für Amazon S3 (dem `aws/s3` Schlüssel). Dieser Von AWS verwalteter Schlüssel wird erstellt und in Ihrem AWS Konto gespeichert. Wenn Artefakte aus dem S3-Bucket abgerufen werden, CodePipeline verwendet denselben SSE-KMS-Prozess, um das Artefakt zu entschlüsseln.
**Um Informationen zu Ihrem einzusehen Von AWS verwalteter Schlüssel**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS KMS Konsole.
1. Wenn eine Willkommensseite angezeigt wird, wählen Sie **Jetzt loslegen**.
1. Wählen Sie im Service-Navigationsbereich **AWS -verwaltete Schlüssel** aus.
1. Wählen Sie die Region für Ihre Pipeline aus. Wenn die Pipeline beispielsweise in erstellt wurde`us-east-2`, stellen Sie sicher, dass der Filter auf USA Ost (Ohio) eingestellt ist.
Weitere Informationen zu den Regionen und Endpunkten CodePipeline, für die verfügbar sind, finden Sie unter [AWS CodePipeline Endpunkte und](https://docs.aws.amazon.com/general/latest/gr/codepipeline.html) Kontingente.
1. Wählen Sie in der Liste den Schlüssel mit dem Alias aus, der für Ihre Pipeline verwendet wird (standardmäßig **aws/s3**). Grundlegende Informationen zum Schlüssel werden angezeigt.
## Konfigurieren Sie die serverseitige Verschlüsselung für S3-Buckets mit oder CloudFormation AWS CLI
Wenn Sie CloudFormation oder AWS CLI zum Erstellen einer Pipeline verwenden, müssen Sie die serverseitige Verschlüsselung manuell konfigurieren. Verwenden Sie die obige Beispiel-Bucket-Richtlinie und erstellen Sie dann Ihren eigenen vom Kunden verwalteten Schlüssel. Sie können anstelle von auch Ihre eigenen Schlüssel verwenden Von AWS verwalteter Schlüssel. Einige Gründe, warum Sie Ihren eigenen Schlüssel wählen sollten, sind unter anderem:
+ Sie möchten den Schlüssel nach einem Plan wechseln, um Geschäfts- oder Sicherheitsanforderungen Ihrer Organisation zu erfüllen.
+ Sie möchten eine Pipeline erstellen, die mit einem anderen AWS -Konto verknüpfte Ressourcen verwendet. Dies erfordert die Verwendung eines kundenverwalteten Schlüssels. Weitere Informationen finden Sie unter [Erstellen Sie eine Pipeline CodePipeline , in der Ressourcen von einem anderen AWS Konto verwendet werden](pipelines-create-cross-account.md).
Die bewährten Methoden für die Kryptografie raten von einer extensiven Weiterverwendung von Verschlüsselungsschlüsseln ab. Das regelmäßige Wechseln Ihres Schlüssels stellt eine bewährte Methode dar. Um neues kryptografisches Material für Ihre AWS KMS Schlüssel zu erstellen, können Sie einen vom Kunden verwalteten Schlüssel erstellen und dann Ihre Anwendungen oder Aliase so ändern, dass sie den neuen vom Kunden verwalteten Schlüssel verwenden. Oder Sie können die automatische Schlüsselrotation für einen vorhandenen, vom Kunden verwalteten Schlüssel aktivieren.
Informationen zur Rotation Ihres vom Kunden verwalteten Schlüssels finden Sie unter [Rotieren von Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html).
**Wichtig**
CodePipeline unterstützt nur symmetrische KMS-Schlüssel. Verwenden Sie keinen asymmetrischen KMS-Schlüssel, um die Daten in Ihrem S3-Bucket zu verschlüsseln.
# Wird verwendet AWS Secrets Manager , um Datenbankkennwörter oder API-Schlüssel von Drittanbietern zu verfolgen
Wir empfehlen, dass Sie es verwenden, AWS Secrets Manager um Datenbankanmeldedaten, API-Schlüssel und andere **Geheimnisse** während ihres gesamten Lebenszyklus zu rotieren, zu verwalten und abzurufen. Secrets Manager ermöglicht es Ihnen, hartcodierte Anmeldeinformationen in Ihrem Code (einschließlich Passwörter) durch einen API-Aufruf an Secrets Manager zu ersetzen, um das Geheimnis programmgesteuert abzurufen. Weitere Informationen finden Sie unter [Was ist AWS Secrets Manager?](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) im *AWS Secrets Manager Manager-Benutzerhandbuch*.
Für Pipelines, bei denen Sie geheime Parameter (wie OAuth Anmeldeinformationen) in einer CloudFormation Vorlage übergeben, sollten Sie dynamische Verweise in Ihre Vorlage aufnehmen, die auf die Geheimnisse zugreifen, die Sie in Secrets Manager gespeichert haben. Das Referenz-ID-Muster und Beispiele finden Sie unter [Secrets Manager Secrets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html#dynamic-references-secretsmanager) im *AWS CloudFormation Benutzerhandbuch*. Ein Beispiel, das dynamische Verweise in einem Vorlagenausschnitt für GitHub Webhook in einer Pipeline verwendet, finden Sie unter [Webhook-Ressourcenkonfiguration](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-codepipeline-webhook.html#aws-resource-codepipeline-webhook--examples).
## Weitere Informationen finden Sie auch unter
Die folgenden verwandten Ressourcen unterstützen Sie bei der Arbeit mit der Verwaltung von geheimen Schlüsseln.
+ Secrets Manager kann Datenbankanmeldedaten automatisch rotieren, z. B. für die Rotation von Amazon RDS-Geheimnissen. Weitere Informationen finden Sie unter [Rotation Ihrer AWS Secrets Manager Manager-Geheimnisse](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) im *AWS Secrets Manager Manager-Benutzerhandbuch*.
+ Anweisungen zum Hinzufügen dynamischer Verweise von Secrets Manager zu Ihren CloudFormation -Vorlagen finden Sie unter [https://aws.amazon.com/blogs/security/how-to-create-and-retrieve-secrets-managed-in-aws-secrets-manager-using-aws-cloudformation-template/](https://aws.amazon.com/blogs/security/how-to-create-and-retrieve-secrets-managed-in-aws-secrets-manager-using-aws-cloudformation-template/).