Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Es gibt zwei Möglichkeiten, die serverseitige Verschlüsselung für Amazon S3 S3-Artefakte zu konfigurieren:
-
CodePipeline erstellt einen S3-Artefakt-Bucket und wird standardmäßig verwendet Von AWS verwalteter Schlüssel , wenn Sie mit dem Assistenten „Pipeline erstellen“ eine Pipeline erstellen. Das Von AWS verwalteter Schlüssel wird zusammen mit den Objektdaten verschlüsselt und von AWS verwaltet.
-
Sie können Ihren eigenen vom Kunden verwalteten Schlüssel erstellen und verwalten.
Wichtig
CodePipeline unterstützt nur symmetrische KMS-Schlüssel. Verwenden Sie keinen asymmetrischen KMS-Schlüssel, um die Daten in Ihrem S3-Bucket zu verschlüsseln.
Wenn Sie den Standard-S3-Schlüssel verwenden, können Sie diesen nicht ändern oder löschen. Von AWS verwalteter Schlüssel Wenn Sie einen vom Kunden verwalteten Schlüssel AWS KMS zum Verschlüsseln oder Entschlüsseln von Artefakten im S3-Bucket verwenden, können Sie diesen vom Kunden verwalteten Schlüssel nach Bedarf ändern oder rotieren.
Amazon S3 unterstützt Bucket-Richtlinien, die Sie verwenden können, wenn Sie eine serverseitige Verschlüsselung für alle in Ihrem Bucket gespeicherten Objekte benötigen. Beispielsweise verweigert die folgende Bucket-Richtlinie jedem die s3:PutObject-Berechtigung zum Hochladen von Objekten, wenn die Anfrage nicht den x-amz-server-side-encryption-Header enthält, der eine serverseitige Verschlüsselung mit SSE-KMS anfordert.
{
"Version": "2012-10-17",
"Id": "SSEAndSSLPolicy",
"Statement": [
{
"Sid": "DenyUnEncryptedObjectUploads",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::codepipeline-us-west-2-89050EXAMPLE/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "DenyInsecureConnections",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::codepipeline-us-west-2-89050EXAMPLE/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}Weitere Informationen zur serverseitigen Verschlüsselung finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung und Schützen von Daten mithilfe serverseitiger Verschlüsselung mit in (SSE-KMS) gespeicherten KMS-Schlüsseln. AWS KMS AWS Key Management Service
Weitere Informationen AWS KMS zu finden Sie im Entwicklerhandbuch.AWS Key Management Service
Themen
Sehen Sie sich Ihre an Von AWS verwalteter Schlüssel
Wenn Sie den Assistenten Create Pipeline (Pipeline erstellen) verwenden, um Ihre erste Pipeline zu erstellen, wird in derselben Region, in der Sie die Pipeline erstellt haben, ein S3-Bucket erstellt. Der Bucket wird für das Speichern von Pipeline-Artefakten verwendet. Während der Ausführung einer Pipeline werden Artefakte in den S3-Bucket eingefügt und aus diesem abgerufen. CodePipeline Verwendet standardmäßig serverseitige Verschlüsselung AWS KMS mit dem Von AWS verwalteter Schlüssel für Amazon S3 (dem aws/s3 Schlüssel). Dieser Von AWS verwalteter Schlüssel wird erstellt und in Ihrem AWS Konto gespeichert. Wenn Artefakte aus dem S3-Bucket abgerufen werden, CodePipeline verwendet denselben SSE-KMS-Prozess, um das Artefakt zu entschlüsseln.
Um Informationen zu Ihrem einzusehen Von AWS verwalteter Schlüssel
-
Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS KMS Konsole.
-
Wenn eine Willkommensseite angezeigt wird, wählen Sie Jetzt loslegen.
-
Wählen Sie im Service-Navigationsbereich AWS -verwaltete Schlüssel aus.
-
Wählen Sie die Region für Ihre Pipeline aus. Wenn die Pipeline beispielsweise in erstellt wurde
us-east-2, stellen Sie sicher, dass der Filter auf USA Ost (Ohio) eingestellt ist.Weitere Informationen zu den Regionen und Endpunkten CodePipeline, für die verfügbar sind, finden Sie unter AWS CodePipeline Endpunkte und Kontingente.
-
Wählen Sie in der Liste den Schlüssel mit dem Alias aus, der für Ihre Pipeline verwendet wird (standardmäßig aws/s3). Grundlegende Informationen zum Schlüssel werden angezeigt.
Konfigurieren Sie die serverseitige Verschlüsselung für S3-Buckets mit oder AWS CloudFormationAWS CLI
Wenn Sie AWS CloudFormation oder AWS CLI zum Erstellen einer Pipeline verwenden, müssen Sie die serverseitige Verschlüsselung manuell konfigurieren. Verwenden Sie die obige Beispiel-Bucket-Richtlinie und erstellen Sie dann Ihren eigenen vom Kunden verwalteten Schlüssel. Sie können anstelle von auch Ihre eigenen Schlüssel verwenden Von AWS verwalteter Schlüssel. Einige Gründe, warum Sie Ihren eigenen Schlüssel wählen sollten, sind unter anderem:
-
Sie möchten den Schlüssel nach einem Plan wechseln, um Geschäfts- oder Sicherheitsanforderungen Ihrer Organisation zu erfüllen.
-
Sie möchten eine Pipeline erstellen, die mit einem anderen AWS -Konto verknüpfte Ressourcen verwendet. Dies erfordert die Verwendung eines kundenverwalteten Schlüssels. Weitere Informationen finden Sie unter Erstellen Sie eine Pipeline CodePipeline , in der Ressourcen von einem anderen AWS Konto verwendet werden.
Die bewährten Methoden für die Kryptografie raten von einer extensiven Weiterverwendung von Verschlüsselungsschlüsseln ab. Das regelmäßige Wechseln Ihres Schlüssels stellt eine bewährte Methode dar. Um neues kryptografisches Material für Ihre AWS KMS Schlüssel zu erstellen, können Sie einen vom Kunden verwalteten Schlüssel erstellen und dann Ihre Anwendungen oder Aliase so ändern, dass sie den neuen vom Kunden verwalteten Schlüssel verwenden. Oder Sie können die automatische Schlüsselrotation für einen vorhandenen, vom Kunden verwalteten Schlüssel aktivieren.
Informationen zur Rotation Ihres vom Kunden verwalteten Schlüssels finden Sie unter Rotieren von Schlüsseln.
Wichtig
CodePipeline unterstützt nur symmetrische KMS-Schlüssel. Verwenden Sie keinen asymmetrischen KMS-Schlüssel, um die Daten in Ihrem S3-Bucket zu verschlüsseln.
