資料保護 AWS CodePipeline - AWS CodePipeline
網際網路流量隱私權靜態加密傳輸中加密加密金鑰管理

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

資料保護 AWS CodePipeline

AWS 共用責任模型適用於中的資料保護 AWS CodePipeline。如此模型所述, AWS 負責保護執行所有 AWS 雲端. 您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需有關資料隱私權的詳細資訊,請參閱資料隱私權FAQ如需歐洲資料保護的相關資訊,請參閱AWS 安全性GDPR部落格上的AWS 共同責任模型和部落格文章。

基於資料保護目的,我們建議您使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 保護 AWS 帳戶 認證並設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:

  • 對每個帳戶使用多重要素驗證 (MFA)。

  • 使用SSL/TLS與 AWS 資源溝通。我們需要 TLS 1.2 並推薦 TLS 1.3。

  • 使用設定API和使用者活動記錄 AWS CloudTrail。

  • 使用 AWS 加密解決方案以及其中的所有默認安全控制 AWS 服務。

  • 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。

  • 如果 AWS 透過命令列介面或存取時需要 FIPS 140-3 驗證的密碼編譯模組API,請使用端點。FIPS如需有關可用FIPS端點的詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-3

我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如名稱欄位。這包括當您與控制台、API、 CodePipeline 或一起 AWS 服務 使用或其他使用主控台時 AWS SDKs。 AWS CLI您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供URL給外部伺服器,我們強烈建議您不要在中包含認證資訊,URL以驗證您對該伺服器的要求。

下列安全性最佳做法也會解決中的資料保護 CodePipeline:

網際網路流量隱私權

Amazon VPC 是您可以用來在您定義的虛擬網路 (虛擬私有雲) 中啟動 AWS 資源的平台。 AWS 服務 CodePipeline支援 Amazon VPC 端點 AWS PrivateLink,這項 AWS 技術可促進 AWS 服務 使用具有私有 IP 地址的 elastic network interface 之間的私有通訊。這意味著您可以通 CodePipeline 過私有端點直接連接到您的VPC,從而將所有流量保留在您VPC和 AWS 網絡中。以前,在VPC必要的互聯網訪問內運行的應用程序才能連接到 CodePipeline。使用 aVPC,您可以控制網路設定,例如:

  • IP 位址範圍,

  • 子網路,

  • 路線表,以及

  • 網路閘道。

要連接VPC到 CodePipeline,您可以定義的接口VPC端點 CodePipeline。這種類型的端點使您可以連接VPC到 AWS 服務. 端點提供可靠、可擴充的連線能力, CodePipeline 無需網際網路閘道、網路位址轉譯 (NAT) 執行個體或VPN連線。若要取得有關設置的資訊VPC,請參閱《VPC使用者指南》

靜態加密

中的資料 CodePipeline 在靜態時使用 AWS KMS keys. 程式碼成品會儲存在客戶擁有的 S3 儲存貯體中,並使用 AWS 受管金鑰 或客戶受管金鑰加密。如需詳細資訊,請參閱為 Amazon S3 中存放的成品設定伺服器端加密 CodePipeline

傳輸中加密

所有 service-to-service 通信都在傳輸過程中使用SSL/進行加密TLS。

加密金鑰管理

如果您選擇加密程式碼加工品的預設選項,請 CodePipeline 使用 AWS 受管金鑰. 您無法變更或刪除此項 AWS 受管金鑰。如果您使用客戶受管金鑰 AWS KMS 來加密或解密 S3 儲存貯體中的成品,您可以視需要變更或輪換此客戶受管金鑰。

重要

CodePipeline 僅支持對稱KMS密鑰。請勿使用非對稱KMS金鑰來加密 S3 儲存貯體中的資料。

主題