翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
セキュリティに関するベストプラクティス
トピック
CodePipeline には、独自のセキュリティポリシーを開発および実装する際に考慮すべきセキュリティ機能が多数用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に必ずしも適切または十分でない可能性があるので、処方箋ではなく、あくまで有用な考慮事項とお考えください。
パイプラインに接続するソースリポジトリには暗号化と認証を使用します。セキュリティの CodePipeline ベストプラクティスは次のとおりです。
-
トークンやパスワードのようなシークレットを含むパイプラインやアクション設定を作成する場合は、そのシークレットをアクション設定や、パイプラインレベルまたは AWS CloudFormation 設定で定義された変数のデフォルト値に直接入力しないでください。シークレットの情報がログに表示される可能性があるためです。AWS Secrets Manager を使用してデータベースのパスワードやサードパーティーのAPIキーを追跡する で説明しているように、Secrets Manager を使用してシークレットを設定して保存し、パイプラインとアクション設定には、シークレットの参照を使用します。
-
S3 ソースバケットを使用するパイプラインを作成する場合は、「」で説明されているように、 を管理 CodePipeline して AWS KMS keys、Amazon S3 に保存されているアーティファクトのサーバー側の暗号化を設定しますの Amazon S3 に保存されているアーティファクトのサーバー側の暗号化を設定する CodePipeline。
-
Jenkins アクションプロバイダーを使用している場合、パイプラインのビルドまたはテストアクションに Jenkins ビルドプロバイダーを使用する場合は、EC2インスタンスに Jenkins をインストールし、別のEC2インスタンスプロファイルを設定します。インスタンスプロファイルが、Amazon S3 からファイルを取得するなど、プロジェクトのタスクを実行するために必要な AWS アクセス許可のみを Jenkins に付与していることを確認します。Jenkins インスタンスプロファイルのロールを作成する方法については、「Jenkins 統合に使用するIAMロールを作成する」のステップを参照してください。