数据加密 - AWS CodeBuild
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

数据加密

加密是 CodeBuild 安全性的一个重要组成部分。某些加密(例如,针对传输中的数据的加密)是默认提供的,无需您执行任何操作。其他加密(例如,针对静态数据的加密)可在创建项目或构建时进行配置。

  • 静态数据加密 - 默认情况下,使用 AWS Key Management Service 托管的 Amazon S3 的客户主密钥 (CMK) 对构建构件(例如,缓存、日志、导出的原始测试报告数据文件和构建结果)进行加密。如果您不想使用这些 CMK,则必须创建并配置一个客户管理的 CMK。有关更多信息,请参阅 AWS Key Management Service 用户指南 中的创建 KMS 密钥AWS Key Management Service 概念

    默认情况下,使用 AWS 托管的 CMK 对构建队列的 Amazon Elastic Block Store 卷进行加密。

  • 传输中的数据加密 - 使用通过签名版本 4 签名流程签名的 TLS 连接来保护客户与 CodeBuild 之间以及 CodeBuild 与其下游依赖项之间的所有通信。所有 CodeBuild 终端节点都使用由 AWS Certificate Manager 私有证书颁发机构 管理的 SHA-256 证书。有关更多信息,请参阅签名版本 4 签名流程什么是 ACM PCA

  • 构建构件加密 - CodeBuild 需要访问 AWS KMS CMK 以便对其构建输出构件进行加密。默认情况下,CodeBuild 使用您的 AWS 账户中适用于 Amazon S3 的 AWS Key Management Service CMK。如果您不想使用此 CMK,则必须创建并配置一个客户管理的 CMK。有关更多信息,请参阅创建密钥