本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

中的資料保護 AWS CodePipeline

AWS 共同責任模型適用於 中的資料保護 AWS CodePipeline。如此模型所述， AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊，請參閱資料隱私權常見問答集。如需有關歐洲資料保護的相關資訊，請參閱 AWS 安全性部落格上的 AWS 共同的責任模型和 GDPR 部落格文章。

基於資料保護目的，我們建議您保護 AWS 帳戶 登入資料，並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來，每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料：

我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊，放在標籤或自由格式的文字欄位中，例如名稱欄位。這包括當您使用 CodePipeline 或其他 AWS 服務 使用主控台、API AWS CLI或 AWS SDKs時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL，我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。

下列安全最佳實務也會處理 CodePipeline 中的資料保護：

網際網路流量隱私權

Amazon VPC 是 AWS 服務 ，可用來在定義的虛擬網路 (虛擬私有雲端) 中啟動 AWS 資源。CodePipeline 支援採用 AWS PrivateLink 技術的 Amazon VPC 端點，這項 AWS 技術可促進 AWS 服務 使用具有私有 IP 地址的彈性網路介面之間的私有通訊。這表示您可以透過 VPC 中的私有端點直接連線至 CodePipeline，保留 VPC 和 AWS 網路內的所有流量。先前，在 VPC 內執行的應用程式需要網際網路存取才能連線至 CodePipeline。使用 VPC，您可以控制網路設定，例如：

若要將 VPC 連線至 CodePipeline，請定義 CodePipeline 的介面 VPC 端點。這種類型的端點可讓您將 VPC 連線到 AWS 服務。端點為 CodePipeline 提供可靠、可擴展的連線，而不需要網際網路閘道、網路地址轉譯 (NAT) 執行個體或 VPN 連線。如需設定 VPC 的相關資訊，請參閱 VPC 使用者指南。

靜態加密

CodePipeline 中的資料會使用 進行靜態加密 AWS KMS keys。程式碼成品存放在客戶擁有的 S3 儲存貯體中，並使用 AWS 受管金鑰 或客戶受管金鑰加密。如需詳細資訊，請參閱針對存放在 Amazon S3 for CodePipeline 中的成品設定伺服器端加密。

傳輸中加密

所有service-to-service通訊都會使用 SSL/TLS 在傳輸中加密。

加密金鑰管理

如果您選擇預設選項來加密程式碼成品，CodePipeline 會使用 AWS 受管金鑰。您無法變更或刪除此項目 AWS 受管金鑰。如果您在 中使用客戶受管金鑰 AWS KMS 來加密或解密 S3 儲存貯體中的成品，您可以視需要變更或輪換此客戶受管金鑰。