El cifrado es una parte importante de la seguridad de CodeBuild. Algunos cifrados, por ejemplo, para el cifrado de datos en tránsito se proporcionan de forma predeterminada y no es necesario que haga nada. Otros, por ejemplo, para el cifrado de datos en reposo, se pueden configurar cuando cree su proyecto o compilación.
-
Cifrado de datos en reposo: los artefactos de compilación, como, por ejemplo, una memoria caché, los registros, los archivos de datos de informes de pruebas sin formato exportados y los resultados de compilación, están cifrados de forma predeterminada con Claves administradas por AWS. Si no desea utilizar estas CMK, debe crear y configurar una clave de cliente personalizada administrada por el cliente. Para obtener más información, consulte Creación de claves de KMS y Conceptos de AWS Key Management Service en la Guía del usuario de AWS Key Management Service.
-
Puede almacenar el identificador de la clave de AWS KMS que CodeBuild utiliza para cifrar el artefacto de salida de la compilación en la variable de entorno
CODEBUILD_KMS_KEY_ID
. Para obtener más información, consulte Variables de entorno en los entornos de compilación -
Puede especificar una clave administrada por el cliente cuando cree un proyecto de compilación. Para obtener más información, consulte Set the Encryption Key Using the Console y Establecimiento de la clave de cifrado utilizando la CLI.
Los volúmenes de Amazon Elastic Block Store de su flota de compilación se cifran de forma predeterminada con Claves administradas por AWS.
-
-
Cifrado de datos en tránsito: todas las comunicaciones entre los clientes y CodeBuild, así como entre CodeBuild y sus dependencias posteriores están protegidas con conexiones TLS que se firman mediante el proceso de firma de Signature Version 4. Todos los puntos de conexión de CodeBuild utilizan certificados SHA-256 administrados por AWS Private Certificate Authority. Para más información, consulte Proceso de firma de Signature Version 4 y ¿Qué es PCA de ACM?.
-
Cifrado de artefactos de compilación: el rol de servicio de CodeBuild asociado al proyecto de compilación requiere acceso a una clave de KMS para cifrar los artefactos de salida de la compilación. De forma predeterminada, CodeBuild utiliza una Clave administrada de AWS para Amazon S3 en su cuenta de AWS. Si no desea utilizar esta Clave administrada de AWS, debe crear y configurar una clave administrada por el cliente. Para obtener más información, consulte Cifrado de las salidas de compilación y Creación de claves en la Guía para desarrolladores de AWS KMS.