本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中的数据保护 Amazon CodePipeline
分 Amazon 分担责任模型
出于数据保护目的,我们建议您保护 Amazon Web Services 账户 凭据并使用 Amazon IAM Identity Center 或 Amazon Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。我们还建议您通过以下方式保护数据:
-
对每个账户使用多重身份验证 (MFA)。
-
使用SSL/TLS与 Amazon 资源通信。我们需要 TLS 1.2,建议使用 TLS 1.3。
-
使用API进行设置和用户活动记录 Amazon CloudTrail。有关使用 CloudTrail 跟踪捕获 Amazon 活动的信息,请参阅《Amazon CloudTrail 用户指南》中的使用跟 CloudTrail 踪。
-
使用 Amazon 加密解决方案以及其中的所有默认安全控件 Amazon Web Services 服务。
-
使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
-
如果您在 Amazon 通过命令行界面或访问时需要 FIPS 140-3 经过验证的加密模块API,请使用端点。FIPS有关可用FIPS端点的更多信息,请参阅联邦信息处理标准 (FIPS) 140-3
。
我们强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如名称字段)。这包括您使用 CodePipeline 或以其他 Amazon Web Services 服务 方式使用控制台时API、 Amazon CLI、或 Amazon SDKs。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您URL向外部服务器提供,我们强烈建议您不要在中包含凭据信息,URL以验证您对该服务器的请求。
以下安全最佳实践也涉及以下方面的数据保护 CodePipeline:
互联网络流量隐私保护
VPCA Amazon Web Services 服务 mazon 可以用来在您定义的虚拟网络(虚拟私有云)中启动 Amazon 资源。 CodePipeline支持 Amazon VPC 终端节点 Amazon PrivateLink,该 Amazon 技术可促进 Amazon Web Services 服务 使用弹性网络接口与私有 IP 地址之间的私密通信。这意味着您可以 CodePipeline 通过自己的私有端点直接连接VPC,从而将所有流量保持在您VPC和 Amazon 网络内。以前,在内部运行的应用程序VPC需要访问互联网才能连接 CodePipeline。使用 aVPC,您可以控制自己的网络设置,例如:
-
IP 地址范围
-
子网
-
路由表
-
网络网关。
要将您的连接VPC到 CodePipeline,您需要为定义接口VPC终端节点 CodePipeline。这种类型的端点使您可以连接VPC到 Amazon Web Services 服务。该端点 CodePipeline 无需互联网网关、网络地址转换 (NAT) 实例或VPN连接,即可提供可靠、可扩展的连接。有关设置的信息VPC,请参阅《VPC用户指南》。
静态加密
中的 CodePipeline 数据使用进行静态加密 Amazon KMS keys。代码项目存储在客户拥有的 S3 存储桶中,并使用 Amazon 托管式密钥 或客户托管密钥进行加密。有关更多信息,请参阅 为存储在 Amazon S3 中的项目配置服务器端加密 CodePipeline。
传输中加密
所有 service-to-service通信在传输过程中都使用 SSL /进行加密TLS。