Protección de datos en AWS CodePipeline - AWS CodePipeline
Privacidad del tráfico entre redesCifrado en reposoCifrado en tránsitoAdministración de claves de cifrado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en AWS CodePipeline

El modelo de responsabilidad AWS compartida modelo se aplica a la protección de datos en AWS CodePipeline. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Usted es responsable de mantener el control sobre el contenido alojado en esta infraestructura. Usted también es responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte la sección Privacidad de datos FAQ. Para obtener información sobre la protección de datos en Europa, consulte el modelo de responsabilidad AWS compartida y la entrada del GDPR blog sobre AWS seguridad.

Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

  • Utilice la autenticación multifactorial (MFA) con cada cuenta.

  • UseSSL/TLSpara comunicarse con AWS los recursos. Necesitamos TLS 1.2 y recomendamos TLS 1.3.

  • Configure API y registre la actividad del usuario con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte Cómo trabajar con CloudTrail senderos en la Guía del AWS CloudTrail usuario.

  • Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.

  • Utilice servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.

  • Si necesita entre FIPS 140 y 3 módulos criptográficos validados para acceder a AWS través de una interfaz de línea de comandos o unaAPI, utilice un FIPS terminal. Para obtener más información sobre los FIPS puntos finales disponibles, consulte la Norma federal de procesamiento de información () FIPS 140-3.

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como, por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto incluye cuando trabaja con CodePipeline o Servicios de AWS utiliza la consola, API AWS CLI, o. AWS SDKs Cualquier dato que ingrese en etiquetas o campos de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, le recomendamos encarecidamente que no incluya la información sobre las credenciales URL para validar la solicitud a ese servidor.

Las siguientes prácticas recomendadas de seguridad también abordan la protección de datos en CodePipeline:

Privacidad del tráfico entre redes

Amazon VPC es una Servicio de AWS que puedes usar para lanzar AWS recursos en una red virtual (nube privada virtual) que tú definas. CodePipelinees compatible VPC con los puntos de AWS PrivateLink conexión de Amazon con AWS tecnología que facilita la comunicación privada entre direcciones IP privadas Servicios de AWS mediante una elastic network interface. Esto significa que puede conectarse directamente a CodePipeline través de un punto final privado en su interiorVPC, manteniendo todo el tráfico dentro de su AWS red VPC y dentro de ella. Anteriormente, las aplicaciones que se ejecutaban dentro de un acceso a Internet VPC requerían conectarse a ellas CodePipeline. Con unVPC, tienes el control de la configuración de la red, como:

  • Rango de direcciones IP,

  • Subredes,

  • Tablas de enrutamiento y

  • Gateways de red

Para conectarse VPC a CodePipeline, debe definir un VPC punto final de interfaz para CodePipeline. Este tipo de punto final le permite VPC conectar su terminal Servicios de AWS. El terminal proporciona una conectividad fiable y escalable CodePipeline sin necesidad de una pasarela de Internet, una instancia de traducción de direcciones de red (NAT) o VPN una conexión. Para obtener información sobre cómo configurar unVPC, consulte la Guía del VPC usuario.

Cifrado en reposo

Los datos en reposo CodePipeline se cifran mediante AWS KMS keys. Los artefactos de código se almacenan en un depósito de S3 propiedad del cliente y se cifran con la clave gestionada por el cliente Clave administrada de AWS o con una clave gestionada por el cliente. Para obtener más información, consulte Configurar el cifrado del lado del servidor para los artefactos almacenados en Amazon S3 para CodePipeline.

Cifrado en tránsito

Todas las service-to-service comunicaciones en tránsito se cifran medianteSSL/. TLS

Administración de claves de cifrado

Si elige la opción predeterminada para cifrar los artefactos de código, CodePipeline utiliza la Clave administrada de AWS. No puede cambiarlo ni eliminarlo Clave administrada de AWS. Si utiliza una clave gestionada por el cliente AWS KMS para cifrar o descifrar los artefactos del depósito de S3, puede cambiar o rotar esta clave gestionada por el cliente según sea necesario.

importante

CodePipeline solo admite claves simétricasKMS. No utilice una KMS clave asimétrica para cifrar los datos de su bucket de S3.

Temas