Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configurer le chiffrement côté serveur pour les artefacts stockés dans Amazon S3 pour CodePipeline
Il existe deux manières de configurer le chiffrement côté serveur pour les artefacts Amazon S3 :
-
CodePipeline crée un compartiment d'artefacts S3 et un compartiment par défaut Clé gérée par AWS lorsque vous créez un pipeline à l'aide de l'assistant de création de pipeline. Clé gérée par AWS Il est crypté avec les données des objets et géré par AWS.
-
Vous pouvez créer et gérer votre propre clé gérée par le client.
Important
CodePipeline ne prend en charge que les KMS clés symétriques. N'utilisez pas de KMS clé asymétrique pour chiffrer les données de votre compartiment S3.
Si vous utilisez la clé S3 par défaut, vous ne pouvez ni la modifier ni la supprimer Clé gérée par AWS. Si vous utilisez une clé gérée par le client AWS KMS pour chiffrer ou déchiffrer des artefacts dans le compartiment S3, vous pouvez modifier ou faire pivoter cette clé gérée par le client si nécessaire.
Amazon S3 prend en charge les politiques de compartiment que vous pouvez utiliser si vous exigez un chiffrement côté serveur pour tous les objets stockés dans le compartiment. Par exemple, la politique de compartiment suivante refuse l'autorisation de upload object (s3:PutObject) à tout le monde si la demande n'inclut pas l'x-amz-server-side-encryptionen-tête demandant le chiffrement côté serveur avec SSE -. KMS
{ "Version": "2012-10-17", "Id": "SSEAndSSLPolicy", "Statement": [ { "Sid": "DenyUnEncryptedObjectUploads", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::codepipeline-us-west-2-89050EXAMPLE/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "DenyInsecureConnections", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::codepipeline-us-west-2-89050EXAMPLE/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] }
Pour plus d'informations sur le chiffrement côté serveur AWS KMS, voir Protection des données à l'aide du chiffrement côté serveur et Protection des données à l'aide du chiffrement côté serveur avec des KMS clés stockées dans (-). AWS Key Management Service SSE KMS
Pour plus d'informations à ce sujet AWS KMS, consultez le guide du AWS Key Management Service développeur.
Rubriques
Consultez votre Clé gérée par AWS
Lorsque vous utilisez l'assistant Création d'un pipeline pour créer votre premier pipeline, un compartiment S3 est créé automatiquement dans la région où vous avez créé ce pipeline. Ce compartiment permet de stocker les artefacts du pipeline. Lorsqu'un pipeline s'exécute, les artefacts sont placés dans le compartiment S3 et en sont extraits. Par défaut, CodePipeline utilise le chiffrement côté serveur à AWS KMS l'aide de la aws/s3 clé Clé gérée par AWS pour Amazon S3. Il Clé gérée par AWS est créé et enregistré dans votre AWS compte. Lorsque des artefacts sont extraits du compartiment S3, CodePipeline utilise le même SSE KMS processus pour déchiffrer l'artefact.
Pour consulter les informations relatives à votre Clé gérée par AWS
-
Connectez-vous à la AWS KMS console AWS Management Console et ouvrez-la.
-
Si une page de bienvenue apparaît, choisissez Commencer maintenant.
-
Dans le volet de navigation du service, choisissez les clés AWS gérées.
-
Choisissez la région de votre pipeline. Par exemple, si le pipeline a été créé en
us-east-2, assurez-vous que le filtre est défini sur US East (Ohio).Pour plus d'informations sur les régions et les points de terminaison disponibles CodePipeline, consultez la section AWS CodePipeline Points de terminaison et quotas.
-
Dans la liste, choisissez la clé avec l'alias utilisé pour votre pipeline (par défaut, aws/s3). Les informations de base sur la clé s'affichent.
Configurez le chiffrement côté serveur pour les compartiments S3 à l'aide ou AWS CloudFormationAWS CLI
Lorsque vous utilisez AWS CloudFormation ou AWS CLI pour créer un pipeline, vous devez configurer le chiffrement côté serveur manuellement. Utilisez l'exemple de politique de compartiment ci-dessus, puis créez votre propre clé gérée par le client. Vous pouvez également utiliser vos propres clés au lieu de Clé gérée par AWS. Voici quelques raisons de choisir votre propre clé :
-
Vous souhaitez effectuer une rotation de la clé sur un planning afin de répondre aux exigences relatives aux activités et à la sécurité de votre organisation.
-
Vous souhaitez créer un pipeline qui utilise des ressources associées à un autre compte AWS . Cette opération nécessite l'utilisation d'une clé gérée par le client. Pour de plus amples informations, veuillez consulter Créez un pipeline CodePipeline qui utilise les ressources d'un autre AWS compte.
Les bonnes pratiques de chiffrement décourage la réutilisation étendue des clés de chiffrement. La bonne pratique consiste à effectuer régulièrement une rotation de votre clé. Pour créer un nouveau matériel cryptographique pour vos AWS KMS clés, vous pouvez créer une clé gérée par le client, puis modifier vos applications ou alias pour utiliser la nouvelle clé gérée par le client. Vous pouvez également activer la rotation automatique des clés pour une clé gérée par le client existante.
Pour faire pivoter votre clé gérée par le client, voir Rotation des clés.
Important
CodePipeline ne prend en charge que les KMS clés symétriques. N'utilisez pas de KMS clé asymétrique pour chiffrer les données de votre compartiment S3.
