数据加密
加密是 CodeBuild 安全性的一个重要组成部分。某些加密(例如,针对传输中的数据的加密)是默认提供的,无需您执行任何操作。其他加密(例如,针对静态数据的加密)可在创建项目或构建时进行配置。
-
静态数据加密 - 默认情况下,使用 AWS Key Management Service 托管的 Amazon S3 的客户主密钥 (CMK) 对构建构件(例如,缓存、日志、导出的原始测试报告数据文件和构建结果)进行加密。如果您不想使用这些 CMK,则必须创建并配置一个客户管理的 CMK。有关更多信息,请参阅 AWS Key Management Service 用户指南 中的创建 KMS 密钥和 AWS Key Management Service 概念。
-
您可以将 CodeBuild 用来对构建输出构件进行加密的 AWS KMS 密钥的标识符存储在
CODEBUILD_KMS_KEY_ID环境变量中。有关更多信息,请参阅 构建环境中的环境变量。 -
可以在创建构建项目时指定客户管理的 CMK。有关更多信息,请参阅 使用控制台设置加密密钥 和 使用 CLI 设置加密密钥。
默认情况下,使用 AWS 托管的 CMK 对构建队列的 Amazon Elastic Block Store 卷进行加密。
-
-
传输中的数据加密 - 使用通过签名版本 4 签名流程签名的 TLS 连接来保护客户与 CodeBuild 之间以及 CodeBuild 与其下游依赖项之间的所有通信。所有 CodeBuild 终端节点都使用由 AWS Certificate Manager 私有证书颁发机构 管理的 SHA-256 证书。有关更多信息,请参阅签名版本 4 签名流程和什么是 ACM PCA。
-
构建构件加密 - CodeBuild 需要访问 AWS KMS CMK 以便对其构建输出构件进行加密。默认情况下,CodeBuild 使用您的 AWS 账户中适用于 Amazon S3 的 AWS Key Management Service CMK。如果您不想使用此 CMK,则必须创建并配置一个客户管理的 CMK。有关更多信息,请参阅创建密钥。