A criptografia é uma parte importante da segurança do CodeBuild. Algumas criptografias, como aquelas de dados em trânsito, são fornecidas por padrão e não requerem qualquer ação por parte do cliente. Outras criptografias, como aquelas de dados em repouso, podem ser configuradas durante a criação do projeto ou compilação.
-
Criptografia de dados em repouso: os artefatos de compilação, como cache, logs, arquivos de dados do relatório de teste bruto exportados e resultados de compilação, são criptografados por padrão usando Chaves gerenciadas pela AWS. Se não quiser usar essas chaves do KMS, deverá criar e configurar uma chave gerenciada pelo cliente. Para obter mais informações, consulte Criar chaves do KMS e Conceitos do AWS Key Management Service no Guia do usuário do AWS Key Management Service.
-
É possível armazenar o identificador da chave do AWS KMS que o CodeBuild usa para criptografar o artefato de saída de compilação na variável de ambiente
CODEBUILD_KMS_KEY_ID
. Para obter mais informações, consulte Variáveis de ambiente em ambientes de compilação. -
É possível especificar uma chave gerenciada pelo cliente ao criar um projeto de compilação. Para obter mais informações, consulte Set the Encryption Key Using the Console e Definir a chave de criptografia usando a CLI.
Os volumes do Amazon Elastic Block Store da frota de compilação são criptografados por padrão usando Chaves gerenciadas pela AWS.
-
-
Criptografia de dados em trânsito: todas as comunicações entre clientes e o CodeBuild e entre o CodeBuild e suas dependências de downstream são protegidas por meio de conexões TLS assinadas usando o processo de assinatura do Signature versão 4. Todos os endpoints do CodeBuild usam certificados SHA-256 gerenciados pelo AWS Private Certificate Authority. Para obter mais informações, consulte Processo de assinatura do Signature versão 4 e O que é o ACM PCA?.
-
Criptografia de artefatos de compilação: o perfil de serviço do CodeBuild associado ao projeto de compilação requer acesso a uma chave do KMS para criptografar os artefatos de saída de compilação. Por padrão, o CodeBuild usa um Chave gerenciada pela AWS para o Amazon S3 na conta da AWS. Se você não quiser usar essa Chave gerenciada pela AWS, deverá criar e configurar uma chave gerenciada pelo cliente. Para obter mais informações, consulte Criptografar saídas da compilação e Creating keys no Guia do desenvolvedor do AWS KMS.