亚马逊 CodeCatalyst 不再向新买家开放。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [如何从中迁移 CodeCatalyst](migration.md)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon 的数据保护 CodeCatalyst
<a name="data-protection"></a>

安全与合规是 Amazon CodeCatalyst 和买家的 AWS [共同责任](https://aws.amazon.com/compliance/shared-responsibility-model/)，就像分担适用于您对工作流程中使用的 AWS 资源的使用一样。如本模型所述 CodeCatalyst ，负责保护服务的全球基础架构。您负责维护对托管在此基础结构上的内容的控制。这种责任共担模式适用于中的数据保护 CodeCatalyst。

出于数据保护目的，建议您保护自己的账户凭证并在登录时设置多重身份验证。有关更多信息，请参阅 [将您的 AWS 生成器 ID 配置为使用多重身份验证 (MFA) 登录](mfa.md)。

请勿在标签或自由格式字段（例如**名称**字段）中输入机密信息或敏感信息（例如您客户的电子邮件地址）。这包括资源名称和您输入的任何其他标识符，以及任何已连接的标识符 AWS 账户。 CodeCatalyst例如，请勿在空间、项目或部署实例集名称中输入机密信息或敏感信息。您在标签、名称或用于名称的自由格式字段中输入的任何数据都可能用于计费或诊断日志，或包含在 URL 路径中。这适用于使用控制台、API AWS CLI、 CodeCatalyst 操作开发套件或任何工具 AWS SDKs。

如果您向外部服务器提供 URL，强烈建议您不要在 URL 中包含任何安全凭证信息来验证对该服务器的请求。

CodeCatalyst 源存储库会自动进行静态加密。无需客户采取任何行动。 CodeCatalyst 还使用 HTTPS 协议对传输中的存储库数据进行加密。

CodeCatalyst 不支持使用客户托管的 KMS 密钥对从 IAM Identity Center 检索的身份属性进行静态加密。

CodeCatalyst 支持 MFA。有关更多信息，请参阅 [将您的 AWS 生成器 ID 配置为使用多重身份验证 (MFA) 登录](mfa.md)。

## 数据加密
<a name="data-encryption"></a>

CodeCatalyst 在服务内安全地存储和传输数据。静态和传输中的所有数据均加密。由服务创建或存储的任何数据（包括服务的任何元数据）都原生存储在服务中并进行加密。

**注意**  
有关事务的信息安全地存储在服务中，而有关未解决事务的信息存储在浏览器的本地缓存中，您已在该浏览器中查看事务面板、待办事项和单个事务。要实现最高安全性，请务必清除浏览器缓存以移除此信息。

如果您使用链接到的资源 CodeCatalyst，例如与某个存储库的账户连接 AWS 账户 或中的链接存储库 GitHub，则从 CodeCatalyst 该链接资源传输的数据会被加密，但该链接资源中的数据处理由该关联服务管理。有关更多信息，请参阅关联服务的文档和 [Amazon CodeCatalyst 中的工作流操作的最佳实践](security-best-practices-for-actions.md)。

### 密钥管理
<a name="key-management"></a>

CodeCatalyst使用 AWS自有的 KMS 密钥。这意味着密钥由管理 AWS ，客户无需直接创建或管理密钥。这简化了 AWS中常见加密场景的密钥管理。

## 互联网络流量隐私
<a name="inter-network-traffic-privacy"></a>

在中创建空间时 CodeCatalyst，您可以选择该 AWS 区域 空间的数据和资源存储位置。项目数据和元数据绝不会离开该 AWS 区域。但是，为了支持在分区内导航 CodeCatalyst，将在[分区 AWS 区域](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/partitions.html)中的所有空间中复制有限的一组空间、项目和用户元数据。它不会被复制到该分区 AWS 区域 之外。例如，如果您在创建空间时选择**美国西部（俄勒冈州）**作为 AWS 区域 ，则您的数据将不会复制到中国地区或 AWS GovCloud (US)中的区域。有关更多信息，请参阅[管理 AWS 区域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)、[AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure)和[AWS 服务端点](https://docs.aws.amazon.com/general/latest/gr/rande.html#region-names-codes)。

在分区 AWS 区域 内复制的数据包括：
+ 一种加密的哈希值，它表示空间的名称以确保空间名称的唯一性。此值不是用户可读的，也不会暴露空间的实际名称
+ 空间的唯一 ID
+ 空间的元数据，有助于跨空间导航
+ 空间 AWS 区域 所在的位置
+ 该 IDs 领域所有项目的独特之处
+ 表示用户在空间或项目中角色的角色 ID
+ 注册时 CodeCatalyst，有关注册过程的数据和元数据，包括：
  + 的唯一 ID AWS 构建者 ID
  + 用户在其中的显示名称 AWS 构建者 ID
  + 用户在其中的别名 AWS 构建者 ID
  + 用户注册时使用的电子邮件地址 AWS 构建者 ID
  + 注册过程的进度
  + 如果在注册过程中创建空间，则使用作为空间账单账户的 AWS 账户 ID

空间名称在各处都是唯一的 CodeCatalyst。请勿在空间名称中包含敏感数据。

在使用关联的资源和关联的帐户（例如与 AWS 账户 或 GitHub 存储库的连接）时，我们建议将源位置和目标位置配置为各自支持的最高安全级别。 CodeCatalyst 使用传输层安全 (TLS) 1.2 保护 AWS 账户 AWS 区域、和可用区之间的连接。