本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 安全最佳實務 **Topics** CodePipeline 提供許多安全功能,供您在開發和實作自己的安全政策時考慮。以下最佳實務為一般準則,並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求,因此請將其視為實用建議就好,而不要當作是指示。 您可以針對連線至管道的來源儲存庫使用加密和身分驗證。以下是 CodePipeline 安全性最佳實務: + 如果您建立需要包含秘密的管道或動作組態,例如字符或密碼、請勿直接在動作組態中輸入秘密,或在管道層級或 CloudFormation 組態中定義的變數預設值,因為資訊會顯示在日誌中。使用 Secrets Manager 設定和存放秘密,然後在管道和動作組態中使用參考的秘密,如中所述[使用 AWS Secrets Manager 追蹤資料庫密碼或第三方 API 金鑰](parameter-store-encryption.md)。 + 如果您建立使用 S3 來源儲存貯體的管道,請透過管理 ,為存放在 Amazon S3 for CodePipeline 中的成品設定伺服器端加密 AWS KMS keys,如中所述[針對存放在 Amazon S3 for CodePipeline 中的成品設定伺服器端加密](S3-artifact-encryption.md)。 + 如果您使用 Jenkins 建置提供者,當您針對管道的建置或測試動作使用 Jenkins 建置提供者時,請在 EC2 執行個體上安裝 Jenkins,並設定個別 EC2 執行個體描述檔。請確定執行個體描述檔只授予 Jenkins 執行專案任務所需的 AWS 許可,例如從 Amazon S3 擷取檔案。若要了解如何針對 Jenkins 執行個體描述檔建立該角色,請參閱[建立用於 Jenkins 整合的 IAM 角色](tutorials-four-stage-pipeline.md#tutorials-four-stage-pipeline-prerequisites-jenkins-iam-role)中的步驟。