Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Protezione dei dati in AWS CodePipeline
<a name="data-protection"></a>

Il [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati in. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.

Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+  SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori o Servizi AWS utilizzi la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.

Le best practice di sicurezza seguenti gestiscono anche la protezione dei dati in CodePipeline:
+ [Configura la crittografia lato server per gli artefatti archiviati in Amazon S3 per CodePipeline](S3-artifact-encryption.md)
+ [Utilizzalo per tenere traccia delle password del database o delle chiavi Gestione dei segreti AWS API di terze parti](parameter-store-encryption.md)

## Riservatezza del traffico Internet
<a name="inter-network-traffic-privacy"></a>

 Amazon VPC è un software Servizio AWS che puoi utilizzare per avviare AWS risorse in una rete virtuale (*cloud privato virtuale*) da te definita. CodePipelinesupporta gli endpoint Amazon VPC powered by AWS PrivateLink, una AWS tecnologia che facilita la comunicazione privata tra l' Servizi AWS utilizzo di un'interfaccia di rete elastica e indirizzi IP privati. Ciò significa che puoi connetterti direttamente CodePipeline tramite un endpoint privato nel tuo VPC, mantenendo tutto il traffico all'interno del tuo VPC e della rete. AWS In passato, le applicazioni in esecuzione all'interno di un VPC avevano bisogno dell'accesso a Internet per connettersi ad CodePipeline. Con un VPC, hai il controllo delle impostazioni di rete, ad esempio:
+ Intervallo di indirizzi IP,
+ sottoreti,
+ Tabelle di routing e
+ Gateway di rete.

Per connettere il tuo VPC CodePipeline, definisci un'interfaccia VPC endpoint per. CodePipeline Questo tipo di endpoint ti consente di connettere il tuo Servizi AWS VPC a. L'endpoint fornisce una connettività affidabile e scalabile CodePipeline senza richiedere un gateway Internet, un'istanza NAT (Network Address Translation) o una connessione VPN. Per ulteriori informazioni sulla configurazione di un VPC, consulta la [Guida per l'utente di VPC](https://docs.aws.amazon.com/vpc/latest/userguide/).

## Crittografia dei dati a riposo
<a name="encryption-at-rest"></a>

I dati in ingresso vengono crittografati CodePipeline quando sono inattivi utilizzando. AWS KMS keys Gli artefatti del codice vengono archiviati in un bucket S3 di proprietà del cliente e crittografati con la chiave o con una chiave gestita dal Chiave gestita da AWS cliente. Per ulteriori informazioni, consulta [Configura la crittografia lato server per gli artefatti archiviati in Amazon S3 per CodePipeline](S3-artifact-encryption.md).

## Crittografia dei dati in transito
<a name="encryption-in-transit"></a>

Tutte le service-to-service comunicazioni sono crittografate in transito tramite SSL/TLS. 

## Gestione delle chiavi crittografiche
<a name="key-management"></a>

Se scegli l'opzione predefinita per la crittografia degli artefatti del codice, utilizza il. CodePipeline Chiave gestita da AWS Non è possibile modificarlo o eliminarlo. Chiave gestita da AWS Se utilizzi una chiave gestita dal cliente AWS KMS per crittografare o decrittografare gli artefatti nel bucket S3, puoi modificare o ruotare questa chiave gestita dal cliente secondo necessità.

**Importante**  
CodePipeline supporta solo chiavi KMS simmetriche. Non utilizzare una chiave KMS asimmetrica per crittografare i dati nel bucket S3.

**Topics**

# Configura la crittografia lato server per gli artefatti archiviati in Amazon S3 per CodePipeline
<a name="S3-artifact-encryption"></a>

Esistono due modi per configurare la crittografia lato server per gli artefatti di Amazon S3:
+ CodePipeline crea un bucket di artefatti S3 ed è predefinito Chiave gestita da AWS quando crei una pipeline utilizzando la procedura guidata Create Pipeline. Chiave gestita da AWS Viene crittografato insieme ai dati degli oggetti e gestito da. AWS
+ È possibile creare e gestire la propria chiave gestita dai clienti.

**Importante**  
CodePipeline supporta solo chiavi KMS simmetriche. Non utilizzare una chiave KMS asimmetrica per crittografare i dati nel bucket S3.

Se utilizzi la chiave S3 predefinita, non puoi modificarla o eliminarla. Chiave gestita da AWS Se stai utilizzando una chiave gestita dal cliente AWS KMS per crittografare o decrittografare gli artefatti nel bucket S3, puoi modificare o ruotare questa chiave gestita dal cliente secondo necessità.

Amazon S3 supporta le policy di bucket che puoi utilizzare per la crittografia lato server per tutti gli oggetti archiviati nel bucket. Ad esempio, la seguente policy di bucket rifiuta a chiunque l'autorizzazione al caricamento dell'oggetto (`s3:PutObject`) se la richiesta non include l'intestazione `x-amz-server-side-encryption` che richiede la codifica lato server con SSE-KMS.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "SSEAndSSLPolicy",
    "Statement": [
        {
            "Sid": "DenyUnEncryptedObjectUploads",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::codepipeline-us-west-2-89050EXAMPLE/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "DenyInsecureConnections",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::codepipeline-us-west-2-89050EXAMPLE/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}
```

------

Per ulteriori informazioni sulla crittografia lato server e AWS KMS, consulta [Protezione dei dati utilizzando la crittografia lato server e Protezione dei dati utilizzando la crittografia lato server con chiavi KMS archiviate in ([SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)). AWS Key Management Service 

[Per ulteriori informazioni in merito, consulta la Guida per gli sviluppatori. AWS KMSAWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/)

**Topics**
+ [Visualizza il tuo Chiave gestita da AWS](#S3-view-default-keys)
+ [Configura la crittografia lato server per i bucket S3 utilizzando o CloudFormation AWS CLI](#S3-rotate-customer-key)

## Visualizza il tuo Chiave gestita da AWS
<a name="S3-view-default-keys"></a>

Quando utilizzi la procedura guidata **Create Pipeline (Crea pipeline)** per creare la prima pipeline, un bucket S3 viene automaticamente creato nella stessa regione in cui è stata creata la pipeline. Il bucket viene utilizzato per archiviare gli artefatti pipeline. Quando una pipeline viene eseguita, gli artefatti vengono inseriti nel bucket S3 e recuperati dallo stesso. Per impostazione predefinita, CodePipeline utilizza la crittografia lato server con l' AWS KMS utilizzo di Chiave gestita da AWS per Amazon S3 (`aws/s3`la chiave). Questa Chiave gestita da AWS viene creata e archiviata nel tuo account. AWS Quando gli artefatti vengono recuperati dal bucket S3, CodePipeline utilizza lo stesso processo SSE-KMS per decrittografare l'artefatto.

**Per visualizzare informazioni sul tuo Chiave gestita da AWS**

1. Accedi a Console di gestione AWS e apri la AWS KMS console.

1. Se viene visualizzata una pagina di benvenuto, scegli **Inizia subito**.

1. Nel riquadro di navigazione del servizio, scegli **chiavi AWS gestite**. 

1. Scegli la regione per la tua pipeline. Ad esempio, se la pipeline è stata creata in`us-east-2`, assicurati che il filtro sia impostato su Stati Uniti orientali (Ohio).

   Per ulteriori informazioni sulle regioni e gli endpoint disponibili per CodePipeline, consulta [AWS CodePipeline endpoint](https://docs.aws.amazon.com/general/latest/gr/codepipeline.html) e quote.

1. **Nell'elenco, scegli la chiave con l'alias utilizzato per la tua pipeline (per impostazione predefinita, aws/s3).** Vengono visualizzate informazioni di base sulla chiave.



## Configura la crittografia lato server per i bucket S3 utilizzando o CloudFormation AWS CLI
<a name="S3-rotate-customer-key"></a>

Quando si utilizza CloudFormation o si AWS CLI crea una pipeline, è necessario configurare manualmente la crittografia lato server. Utilizza la policy bucket di esempio riportata sopra, quindi crea la tua chiave gestita dal cliente. Puoi anche usare le tue chiavi al posto di Chiave gestita da AWS. Alcuni motivi per scegliere la propria chiave includono:
+ Quando desideri ruotare la chiave in base a una pianificazione per soddisfare requisiti di business o di sicurezza dell'organizzazione.
+ Quando desideri creare una pipeline che utilizza le risorse associate a un altro account AWS . Ciò richiede l'uso di una chiave gestita dal cliente. Per ulteriori informazioni, consulta [Crea una pipeline CodePipeline che utilizzi le risorse di un altro account AWS](pipelines-create-cross-account.md). 

Le best practice di crittografia scoraggiano il riutilizzo esteso delle chiavi di crittografia. Come best practice, ruota la chiave regolarmente. Per creare nuovo materiale crittografico per le AWS KMS chiavi, è possibile creare una chiave gestita dal cliente e quindi modificare le applicazioni o gli alias per utilizzare la nuova chiave gestita dal cliente. In alternativa, puoi abilitare la rotazione automatica delle chiavi per una chiave gestita dal cliente esistente. 

Per ruotare la chiave gestita dal cliente, consulta [Rotazione delle](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) chiavi. 

**Importante**  
CodePipeline supporta solo chiavi KMS simmetriche. Non utilizzare una chiave KMS asimmetrica per crittografare i dati nel bucket S3.

# Utilizzalo per tenere traccia delle password del database o delle chiavi Gestione dei segreti AWS API di terze parti
<a name="parameter-store-encryption"></a>

Ti consigliamo di utilizzarle Gestione dei segreti AWS per ruotare, gestire e recuperare le credenziali del database, le chiavi API e altri **segreti** durante tutto il loro ciclo di vita. Secrets Manager consente di sostituire le credenziali codificate nel codice (comprese le password) con una chiamata API a Secrets Manager per recuperare il segreto a livello di codice. Per ulteriori informazioni, consulta [What Is AWS Secrets Manager?](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) nella *Guida per l'utente di AWS Secrets Manager*.

Per le pipeline in cui si passano parametri segreti (come OAuth le credenziali) in un CloudFormation modello, è necessario includere nel modello riferimenti dinamici che accedono ai segreti archiviati in Secrets Manager. Per il modello di ID di riferimento e gli esempi, vedere [Secrets Manager Secrets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html#dynamic-references-secretsmanager) nella *Guida AWS CloudFormation per l'utente*. [Per un esempio che utilizza riferimenti dinamici in uno snippet di modello per GitHub webhook in una pipeline, vedi Webhook Resource Configuration.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-codepipeline-webhook.html#aws-resource-codepipeline-webhook--examples)



## Consulta anche
<a name="related-resources-managing-secrets"></a>

Le risorse correlate seguenti possono rivelarsi utili durante l'utilizzo della gestione dei segreti.
+ Secrets Manager può ruotare automaticamente le credenziali del database, ad esempio per la rotazione dei segreti di Amazon RDS. Per ulteriori informazioni, consulta [Rotating Your AWS Secrets Manager Secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) nella *Guida per l'utente di AWS Secrets Manager*.
+ Per visualizzare le istruzioni per l'aggiunta di riferimenti dinamici di Secrets Manager ai modelli CloudFormation , consulta [https://aws.amazon.com/blogs/security/how-to-create-and-retrieve-secrets-managed-in-aws-secrets-manager-using-aws-cloudformation-template/](https://aws.amazon.com/blogs/security/how-to-create-and-retrieve-secrets-managed-in-aws-secrets-manager-using-aws-cloudformation-template/).