Amazon CodeCatalyst でのデータ保護 - Amazon CodeCatalyst
データ暗号化ネットワーク間トラフィックのプライバシー

Amazon CodeCatalyst でのデータ保護

セキュリティとコンプライアンスは、ワークフローで使用される AWS リソースの使用に AWS 責任共有モデル、、が適用されるのと同様に、Amazon CodeCatalyst とお客様間の責任共有です。このモデルで説明されているように、CodeCatalyst は、サービスのためグローバルインフラストラクチャを保護する責任があります。お客様は、このインフラストラクチャでホストされているコンテンツに対する管理を維持する責任があります。CodeCatalyst のデータ保護には、責任共有モデルが適用されます。

データ保護を目的として、アカウントの認証情報を保護し、サインイン時に多要素認証を設定することをお勧めします。詳細については、「多要素認証 (MFA) でサインインするように AWS Builder ID を設定する」を参照してください。

顧客の E メールアドレスなどの機密情報や機密情報をタグや [名前] フィールドなどの自由形式のフィールドに入力しないでください。これには、接続されている AWS アカウント に加え、CodeCatalyst に入力したリソース名やその他の識別子が含まれます。例えば、スペース、プロジェクト、デプロイフリート名の一部として機密情報や機密情報を入力しないでください。タグ、名前、名前に使用した自由記入欄に入力したデータは、課金や診断ログに使用される場合があり、または URL パスに含まれる場合があります。これは、コンソール、API、AWS CLI、CodeCatalyst アクション開発キット、または任意の AWS SDK の使用に適用されます。

外部サーバーへの URL を提供する場合は、そのサーバーへのリクエストを検証するためのセキュリティ認証情報を URL に含めないように強くお勧めします。

CodeCatalyst ソースリポジトリは保存中に自動的に暗号化されます。お客様の操作は必要ありません。CodeCatalyst は、HTTPS プロトコルを使用して転送中のリポジトリデータも暗号化します。

CodeCatalyst は MFA をサポートしています。詳細については、「多要素認証 (MFA) でサインインするように AWS Builder ID を設定する」を参照してください。

データ暗号化

CodeCatalyst は、サービス内にデータを安全に保存および転送します。すべてのデータは、転送時と保管時のいずれも暗号化されます。サービスによって作成または保存されたデータには、サービスのメタデータを含め、ネイティブにサービスに保存され、暗号化されます。

注記

問題に関する情報はサービス内に安全に保存されますが、未解決の問題に関する情報は、問題ボード、バックログ、個々の問題を表示したブラウザのローカルキャッシュにも保存されます。セキュリティを最適化するには、ブラウザキャッシュをクリアしてこの情報を削除してください。

AWS アカウント へのアカウント接続や GitHub 内のリンクされたリポジトリなど、CodeCatalyst にリンクされたリソースを使用する場合、CodeCatalyst からそのリンクされたリソースに転送中のデータは暗号化されますが、そのリンクされたリソース内のデータ処理は、そのリンクされたサービスによって管理されます。詳細については、リンクされたサービスと Amazon CodeCatalyst におけるワークフローアクションのベストプラクティス のドキュメントを参照してください。

キー管理

CodeCatalyst はキー管理をサポートしていません。

ネットワーク間トラフィックのプライバシー

CodeCatalyst でスペースを作成するときは、そのスペースのデータとリソースを保存する AWS リージョン を選択します。プロジェクトデータとメタデータがその AWS リージョン を離れることはありません。ただし、CodeCatalyst 内のナビゲーションをサポートするために、限られたスペース、プロジェクト、およびユーザーメタデータのセットが [パーティション] 内のすべての AWS リージョン にレプリケートされます。そのパーティションの AWS リージョン 外部にはレプリケートされません。例えば、スペースの作成時に AWS リージョン として [米国西部 (オレゴン)] を選択した場合、データは中国リージョンまたは AWS GovCloud (US) のリージョンにレプリケートされません。詳細については、「AWS リージョン の管理」、「AWS グローバルインフラストラクチャ」、「AWS サービスエンドポイント」を参照してください。

パーティション AWS リージョン 内でレプリケートされるデータには以下が含まれます。

  • スペース名の一意性を確保するために、スペースの名前を表す暗号化されたハッシュ値です。この値は人間が読み取ることができず、スペースの実際の名前は公開されません。

  • スペースの一意の ID

  • スペース間のナビゲーションを支援するスペースのメタデータ

  • スペースのある AWS リージョン

  • スペース内のすべてのプロジェクトの一意の ID

  • スペースまたはプロジェクト内のユーザーロールを示すロール ID

  • CodeCatalyst にサインアップする場合、サインアッププロセスに関するデータとメタデータには以下が含まれます。

    • AWS ビルダー ID の一意の ID

    • AWS ビルダー ID のユーザーの表示名

    • AWS ビルダー ID のユーザーのエイリアス

    • ユーザーが AWS ビルダー ID にサインアップするときに使用する E メールアドレス

    • サインアッププロセスの進捗状況

    • サインアッププロセスの一環としてスペースを作成する場合、そのスペースの請求アカウントとして使用される AWS アカウント ID

スペース名は CodeCatalyst 全体で一意です。スペースの名前に機密データを含めないでください。

リンクされたリソースや、AWS アカウント や GitHub リポジトリへの接続などの接続されたアカウントを使用する場合は、ソースと宛先の場所を、それぞれがサポートする最高レベルのセキュリティで設定することをお勧めします。CodeCatalyst は、Transport Layer Security (TLS) 1.2 を使用して、AWS アカウント、AWS リージョン、および Availability Zones 間の接続を保護します。