Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Protection des données dans AWS CodeBuild
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans AWS CodeBuild. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec CodeBuild ou d'autres Services AWS utilisateurs de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
Pour protéger les informations sensibles, les informations suivantes sont masquées dans CodeBuild les journaux :
+ Chaînes spécifiées à l'aide du Parameter Store dans les variables d'environnement CodeBuild du projet ou dans la section buildspec`env/parameter-store`. Pour plus d'informations, consultez la [présentation de la console [Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-paramstore.html) et Systems Manager Parameter Store dans le guide](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-walk.html#sysman-paramstore-console) de l'*utilisateur d'Amazon EC2 Systems Manager*.
+ Chaînes spécifiées AWS Secrets Manager à l'aide des variables d'environnement CodeBuild du projet ou de la section buildspec`env/secrets-manager`. Pour de plus amples informations, veuillez consulter [Gestion des clés](security-key-management.md).
Pour de plus amples informations sur la protection des données, veuillez consulter le billet de blog [Modèle de responsabilité partagée AWS et RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) à la page *Blog sur la sécuritéAWS *.
**Topics**
+ [Chiffrement des données](security-encryption.md)
+ [Gestion des clés](security-key-management.md)
+ [Confidentialité du trafic](security-traffic-privacy.md)
# Chiffrement des données
Le chiffrement est un élément important de la CodeBuild sécurité. Certains chiffrements, par exemple pour les données en transit, sont fournis par défaut et vous n'avez pas besoin de faire quoi que ce soit. Vous pouvez en configurer d'autres, par exemple pour les données au repos, lorsque vous créez votre projet ou votre génération.
+ **Chiffrement des données au repos** - Les artefacts de build, tels qu'un cache, des journaux, des fichiers de données de rapports de test bruts exportés et des résultats de build, sont chiffrés par défaut à l'aide Clés gérées par AWS de. Si vous ne souhaitez pas utiliser ces clés KMS, vous devez créer et configurer une clé gérée par le client. Pour de plus amples informations, veuillez consulter [Création de clés KMS](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) et [Concepts d'AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) dans le *Guide de l'utilisateur AWS Key Management Service *.
+ Vous pouvez stocker l'identifiant de la clé AWS KMS CodeBuild utilisée pour chiffrer l'artefact de sortie de construction dans la variable d'`CODEBUILD_KMS_KEY_ID`environnement. Pour de plus amples informations, consultez [Variables d'environnement dans les environnements de génération](build-env-ref-env-vars.md).
+ Vous pouvez spécifier une clé gérée par le client lorsque vous créez un projet de construction. Pour plus d'informations, consultez [Set the Encryption Key Using the Console](create-project.md#encryptionkey-console) et [Définissez la clé de chiffrement à l'aide de la CLI](create-project.md#cli.encryptionkey).
Les volumes Amazon Elastic Block Store de votre parc de produits sont chiffrés par défaut à l'aide de Clés gérées par AWS.
+ **Chiffrement des données en transit** : toutes les communications entre les clients CodeBuild et entre CodeBuild et leurs dépendances en aval sont protégées par des connexions TLS signées à l'aide du processus de signature Signature version 4. Tous les CodeBuild points de terminaison utilisent des certificats SHA-256 gérés par. AWS Autorité de certification privée Pour de plus amples informations, veuillez consulter [Processus de signature Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) et [Présentation d'ACM PCA](https://docs.aws.amazon.com/privateca/latest/userguide/).
+ **Chiffrement des artefacts** de génération : le rôle de CodeBuild service associé au projet de génération nécessite l'accès à une clé KMS afin de chiffrer ses artefacts de sortie de génération. Par défaut, CodeBuild utilise un Clé gérée par AWS pour Amazon S3 dans votre AWS compte. Si vous ne souhaitez pas l'utiliser Clé gérée par AWS, vous devez créer et configurer une clé gérée par le client. Pour plus d'informations, reportez-vous à [Chiffrer les sorties de build](setting-up-kms.md) la section [Création de clés](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) dans le *Guide du AWS KMS développeur*.
# Gestion des clés
Vous pouvez protéger votre contenu d'une utilisation non autorisée grâce au chiffrement. Stockez vos clés de chiffrement dans AWS Secrets Manager, puis autorisez le rôle de CodeBuild service associé au projet de génération à obtenir les clés de chiffrement depuis votre compte Secrets Manager. Pour de plus amples informations, veuillez consulter [Chiffrez les résultats de construction à l'aide d'une clé gérée par le client](setting-up-kms.md), [Créez un projet de construction dans AWS CodeBuild](create-project.md), [Exécuter AWS CodeBuild les builds manuellement](run-build.md) et [Didacticiel : Stockage et récupération d'un secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/tutorials_basic.html).
Utilisez la variable d'`CODEBUILD_KMS_KEY_ID`environnement dans une commande de construction pour obtenir l'identifiant de AWS KMS clé. Pour de plus amples informations, veuillez consulter [Variables d'environnement dans les environnements de génération](build-env-ref-env-vars.md).
Vous pouvez utiliser Secrets Manager pour protéger les informations d'identification d'un registre privé qui stocke une image Docker utilisée pour votre environnement d'exécution. Pour de plus amples informations, veuillez consulter [Registre privé avec AWS Secrets Manager échantillon pour CodeBuild](sample-private-registry.md).
# Confidentialité du trafic
Vous pouvez améliorer la sécurité de vos builds en les configurant CodeBuild pour utiliser un point de terminaison VPC d'interface. Pour ce faire, vous n'avez pas besoin d'une passerelle Internet, d'un périphérique NAT ni d'une passerelle privée virtuelle. Il n'est pas non plus nécessaire de le configurer PrivateLink, bien que cela soit recommandé. Pour de plus amples informations, veuillez consulter [Utilisation de points de terminaison de VPC](use-vpc-endpoints-with-codebuild.md). Pour plus d'informations sur PrivateLink les points de terminaison VPC, consultez [AWS PrivateLink](https://aws.amazon.com/privatelink/)et [Accès aux AWS](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html#what-is-privatelink) services via. PrivateLink