AWS Key Management Servicee crittografia per i AWS CodeCommit repository - AWS CodeCommit

AWS CodeCommit non è più disponibile per i nuovi clienti. I clienti esistenti di AWS CodeCommit possono continuare a utilizzare il servizio normalmente. Scopri di più»

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Key Management Servicee crittografia per i AWS CodeCommit repository

I dati nei CodeCommit repository vengono crittografati in transito e a riposo. Quando i dati vengono inseriti in un CodeCommit repository (ad esempio, chiamandogit push), CodeCommit crittografa i dati ricevuti man mano che vengono archiviati nel repository. Quando i dati vengono estratti da un CodeCommit repository (ad esempio, effettuando una chiamatagit pull), li CodeCommit decripta e quindi li invia al chiamante. Ciò presuppone che l'utente IAM associato alla richiesta push o pull sia stato autenticato da. AWS I dati inviati o ricevuti vengono trasmessi mediante i protocolli di rete crittografati HTTPS o SSH.

Puoi utilizzare una chiave Chiave gestita da AWS o una chiave gestita dal cliente per crittografare e decrittografare i dati nel tuo repository. Per ulteriori informazioni sulle differenze tra le chiavi gestite dal cliente eChiavi gestite da AWS, consulta Customer managed keys e. Chiavi gestite da AWS Se non specifichi una chiave gestita dal cliente, CodeCommit utilizzerà una Chiave gestita da AWS per crittografare e decrittografare i dati nel tuo repository. Questo Chiave gestita da AWS viene creato automaticamente per te nel tuo. Account AWS La prima volta che crei un CodeCommit repository in un nuovo Regione AWS account Amazon Web Services, se non specifichi una chiave gestita dal cliente, CodeCommit crea una Chiave gestita da AWS (la aws/codecommit chiave) nello stesso account Regione AWS in AWS Key Management Service (AWS KMS). Questa aws/codecommit chiave viene utilizzata solo da CodeCommit. È memorizzato nel tuo account Amazon Web Services. A seconda di ciò che specifichi, CodeCommit utilizza la chiave gestita dal cliente o Chiave gestita da AWS per crittografare e decrittografare i dati nel repository.

Importante

CodeCommit esegue le seguenti AWS KMS azioni sulla AWS KMS chiave utilizzata per crittografare e decrittografare i dati in un repository. Se si utilizza unChiave gestita da AWS, un utente non necessita di autorizzazioni esplicite per queste azioni, ma non deve disporre di politiche allegate che neghino tali azioni per la chiave. aws/codecommit Se utilizzi una chiave gestita dal cliente con un Account AWS ID impostato come criterio principale per quella chiave, queste autorizzazioni devono essere impostate esplicitamente su. allow In particolare, quando si crea il primo repository e si aggiornano le chiavi per il repository, non è necessario impostare nessuna delle seguenti autorizzazioni deny se si utilizza una Chiave gestita da AWS chiave gestita dal cliente con un criterio principale: allow

  • "kms:Encrypt"

  • "kms:Decrypt"

  • "kms:ReEncrypt"(a seconda del contesto, ciò potrebbe richiedere kms:ReEncryptFrom

    kms:ReEncryptTo, o kms:ReEncrypt* non impostato per negare)

  • "kms:GenerateDataKey"

  • "kms:GenerateDataKeyWithoutPlaintext"

  • "kms:DescribeKey"

Se si desidera utilizzare la propria chiave gestita dal cliente, la chiave deve essere disponibile nel luogo in Regione AWS cui si trova l'archivio. CodeCommit supporta l'utilizzo di chiavi gestite dal cliente sia singole che multiregionali. Sebbene siano supportati tutti i principali tipi di origine dei materiali, consigliamo di utilizzare l'opzione KMS predefinita. I clienti che utilizzano l'opzione External Key Store potrebbero subire ritardi da parte del fornitore del negozio. Inoltre. CodeCommit presenta i seguenti requisiti per le chiavi gestite dal cliente:

  • CodeCommit supporta solo l'utilizzo di chiavi simmetriche.

  • Il tipo di utilizzo della chiave deve essere impostato su Encrypt and decrypt.

Per ulteriori informazioni sulla creazione di chiavi gestite dal cliente, consulta Concetti e creazione di chiavi.

Per visualizzare le informazioni sul file Chiave gestita da AWS generato da CodeCommit, procedi come segue:

  1. Accedi alla AWS Management Console e apri la console AWS Key Management Service (AWS KMS) all'indirizzo https://console.aws.amazon.com/kms.

  2. Per modificare la Regione AWS, utilizza il Selettore di regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione del servizio, scegli Chiavi gestite da AWS. Assicurati di aver effettuato l'accesso al sito in Regione AWS cui desideri rivedere le chiavi.

  4. Nell'elenco delle chiavi di crittografia, scegli Chiave gestita da AWS con l'alias aws/codecommit. Vengono visualizzate le informazioni di base su. Chiave di proprietà di AWS

Non è possibile modificarlo o eliminarloChiave gestita da AWS.

Come vengono utilizzati gli algoritmi di crittografia per crittografare i dati del repository

CodeCommit utilizza due approcci diversi per la crittografia dei dati. I singoli oggetti Git sotto 6 MB vengono crittografati utilizzando AES-GCM-256, che fornisce la convalida dell'integrità dei dati. Gli oggetti tra 6 MB e un massimo di 2 GB per un singolo blob vengono crittografati utilizzando AES-CBC-256. CodeCommit convalida sempre il contesto di crittografia.

Contesto di crittografia

Ogni servizio integrato in AWS KMS specifica un contesto di crittografia per le operazioni di crittografia e di decrittografia. Il contesto di crittografia rappresenta informazioni autenticate supplementari utilizzate da AWS KMS per verificare l'integrità dei dati. Se specificato per l'operazione di crittografia, deve anche essere specificato nell'operazione di decrittografia. In caso contrario, la decrittografia non riesce. CodeCommit utilizza l'ID del CodeCommit repository per il contesto di crittografia. È possibile utilizzare il get-repository comando o la CodeCommit console per trovare l'ID del repository. Cerca l'ID del CodeCommit repository nei AWS CloudTrail log per capire quali operazioni di crittografia sono state eseguite su quale chiave per crittografare o AWS KMS decrittografare i dati nel repository. CodeCommit

Per ulteriori informazioni su AWS KMS, consulta la Guida per sviluppatori di AWS Key Management Service.