Prácticas recomendadas de seguridad - AWS CodePipeline

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas de seguridad

Temas

    CodePipeline proporciona una serie de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.

    Utilice el cifrado y la autenticación para los repositorios de origen que se conectan a sus canalizaciones. Estas son las CodePipeline mejores prácticas de seguridad:

    • Si crea una configuración de canalización o acción que debe incluir secretos, como tokens o contraseñas, no introduzca los secretos directamente en la configuración de la acción ni los valores predeterminados de las variables definidas a nivel de canalización o AWS CloudFormation configuración, ya que la información se mostrará en los registros. Utilice Secrets Manager para configurar y almacenar los secretos y, a continuación, utilice el secreto al que se hace referencia en la configuración de la canalización y la acción, tal y como se describe en AWS Secrets Manager Utilícela para rastrear contraseñas de bases de datos o claves de terceros API.

    • Si crea una canalización que utiliza un bucket de origen de S3, configure el cifrado del lado del servidor para los artefactos almacenados en Amazon S3 CodePipeline mediante la administración AWS KMS keys, tal y como se describe en. Configurar el cifrado del lado del servidor para los artefactos almacenados en Amazon S3 para CodePipeline

    • Si utiliza el proveedor de acciones de Jenkins, cuando utilice un proveedor de compilación de Jenkins para la acción de compilación o prueba de su canalización, instale Jenkins en una EC2 instancia y configure un perfil de instancia independiente. EC2 Asegúrese de que el perfil de instancia conceda a Jenkins solo los AWS permisos necesarios para realizar las tareas del proyecto, como la recuperación de archivos de Amazon S3. Para saber cómo crear la función para su perfil de instancia de Jenkins, consulte los pasos que se describen en Cree un IAM rol para usarlo en la integración de Jenkins.