Protezione dei dati in AWS CodePipeline - AWS CodePipeline
Riservatezza del traffico InternetCrittografia a riposoCrittografia dei dati in transitoGestione delle chiavi di crittografia

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in AWS CodePipeline

Il modello di responsabilità AWS condivisa modello di di si applica alla protezione dei dati in AWS CodePipeline. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le Domande frequenti sulla privacy dei dati. Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al Modello di responsabilità condivisa AWS e GDPR nel Blog sulla sicurezza AWS .

Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l'autenticazione a più fattori (MFA) con ogni account.

  • Usa SSL/TLS per comunicare con le risorse. AWS È richiesto TLS 1.2 ed è consigliato TLS 1.3.

  • Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta Lavorare con i CloudTrail percorsi nella Guida per l'AWS CloudTrail utente.

  • Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.

  • Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

  • Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-3.

Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori CodePipeline o Servizi AWS utilizzi la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.

Le best practice di sicurezza seguenti gestiscono anche la protezione dei dati in CodePipeline:

Riservatezza del traffico Internet

Amazon VPC è un software Servizio AWS che puoi utilizzare per avviare AWS risorse in una rete virtuale (cloud privato virtuale) da te definita. CodePipelinesupporta gli endpoint Amazon VPC powered by AWS PrivateLink, una AWS tecnologia che facilita la comunicazione privata tra l' Servizi AWS utilizzo di un'interfaccia di rete elastica e indirizzi IP privati. Ciò significa che puoi connetterti direttamente CodePipeline tramite un endpoint privato nel tuo VPC, mantenendo tutto il traffico all'interno del tuo VPC e della rete. AWS In passato, le applicazioni in esecuzione all'interno di un VPC avevano bisogno dell'accesso a Internet per connettersi ad CodePipeline. Con un VPC, hai il controllo delle impostazioni di rete, ad esempio:

  • Intervallo di indirizzi IP,

  • sottoreti,

  • Tabelle di routing e

  • Gateway di rete.

Per connettere il tuo VPC CodePipeline, definisci un'interfaccia VPC endpoint per. CodePipeline Questo tipo di endpoint ti consente di connettere il tuo Servizi AWS VPC a. L'endpoint fornisce una connettività affidabile e scalabile CodePipeline senza richiedere un gateway Internet, un'istanza NAT (Network Address Translation) o una connessione VPN. Per ulteriori informazioni sulla configurazione di un VPC, consulta la Guida per l'utente di VPC.

Crittografia a riposo

I dati in ingresso vengono crittografati CodePipeline quando sono inattivi utilizzando. AWS KMS keys Gli artefatti del codice vengono archiviati in un bucket S3 di proprietà del cliente e crittografati con la chiave o con una chiave gestita dal Chiave gestita da AWS cliente. Per ulteriori informazioni, consulta Configura la crittografia lato server per gli artefatti archiviati in Amazon S3 per CodePipeline.

Crittografia dei dati in transito

Tutte le service-to-service comunicazioni sono crittografate in transito tramite SSL/TLS.

Gestione delle chiavi di crittografia

Se scegli l'opzione predefinita per la crittografia degli artefatti del codice, utilizza il. CodePipeline Chiave gestita da AWS Non è possibile modificarlo o eliminarlo. Chiave gestita da AWS Se utilizzi una chiave gestita dal cliente AWS KMS per crittografare o decrittografare gli artefatti nel bucket S3, puoi modificare o ruotare questa chiave gestita dal cliente secondo necessità.

Importante

CodePipeline supporta solo chiavi KMS simmetriche. Non utilizzare una chiave KMS asimmetrica per crittografare i dati nel bucket S3.

Argomenti