Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik terbaik keamanan
Topik
CodePipeline menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.
Anda menggunakan enkripsi dan otentikasi untuk repositori sumber yang terhubung ke pipeline Anda. Ini adalah praktik CodePipeline terbaik untuk keamanan:
-
Jika Anda membuat konfigurasi pipeline atau tindakan yang perlu menyertakan rahasia, seperti token atau kata sandi, jangan masukkan rahasia secara langsung dalam konfigurasi tindakan, atau nilai default variabel yang ditentukan pada level pipeline atau AWS CloudFormation konfigurasi, karena informasi akan ditampilkan di log. Gunakan Secrets Manager untuk mengatur dan menyimpan rahasia, lalu gunakan rahasia yang direferensikan dalam konfigurasi pipeline dan tindakan, seperti yang dijelaskan dalam Gunakan AWS Secrets Manager untuk melacak kata sandi basis data atau API kunci pihak ketiga.
-
Jika Anda membuat pipeline yang menggunakan bucket sumber S3, konfigurasikan enkripsi sisi server untuk artefak yang disimpan di Amazon S3 dengan mengelola, seperti yang dijelaskan dalam. CodePipeline AWS KMS keysKonfigurasikan enkripsi sisi server untuk artefak yang disimpan di Amazon S3 CodePipeline
-
Jika Anda menggunakan penyedia tindakan Jenkins, saat Anda menggunakan penyedia build Jenkins untuk tindakan build atau pengujian pipeline Anda, instal Jenkins pada EC2 instance dan konfigurasikan profil instance terpisahEC2. Pastikan bahwa profil instance memberi Jenkins hanya AWS izin yang diperlukan untuk melakukan tugas untuk proyek Anda, seperti mengambil file dari Amazon S3. Untuk mempelajari cara membuat peran untuk profil instans Jenkins Anda, lihat langkah-langkahnya. Buat IAM peran yang akan digunakan untuk integrasi Jenkins