AWS CodeBuild
用户指南 (API 版本 2016-10-06)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

数据加密

加密是 CodeBuild 安全性的一个重要组成部分。某些加密(例如,针对传输中的数据的加密)是默认提供的,无需您执行任何操作。其他加密(例如,针对静态数据的加密)可在创建项目或构建时进行配置。

  • 静态数据加密 - 默认情况下,使用 AWS Key Management Service 托管的 Amazon S3 的客户主密钥 (CMK) 对构建构件(例如,缓存、日志和构建结果)进行加密。如果您不想使用这些 CMK,则必须创建并配置一个客户管理的 CMK。有关更多信息,请参阅创建 KMS 密钥AWS Key Management Service 概念

    默认情况下,使用 AWS 托管的 CMK 对构建队列的 Amazon Elastic Block Store 卷进行加密。

  • 传输中的数据加密 - 使用通过签名版本 4 签名流程签名的 SSL 连接来保护客户和 CodeBuild 之间以及 CodeBuild 与其下游依赖项之间的所有通信。所有 CodeBuild 终端节点都使用由 AWS Certificate Manager Private Certificate Authority 管理的 SHA-256 证书。有关更多信息,请参阅签名版本 4 签名流程什么是 ACM PCA

  • 构建构件加密 - CodeBuild 需要访问 AWS KMS CMK 以便对其构建输出构件进行加密。默认情况下,CodeBuild 使用您的 AWS 账户中适用于 Amazon S3 的 AWS Key Management Service CMK。如果您不想使用此 CMK,则必须创建并配置一个客户管理的 CMK。有关更多信息,请参阅创建 KMS 密钥