Bewährte Methoden für die Gewährleistung der Sicherheit - AWS CodePipeline

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Gewährleistung der Sicherheit

Themen

    CodePipeline bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.

    Sie verwenden Verschlüsselung und Authentifizierung für die Quell-Repositorys, die mit Ihren Pipelines verbunden werden. Dies sind die CodePipeline bewährten Methoden für die Sicherheit:

    • Wenn Sie eine Pipeline- oder Aktionskonfiguration erstellen, die Geheimnisse wie Token oder Passwörter enthalten muss, geben Sie keine Geheimnisse direkt in die Aktionskonfiguration oder Standardwerte von Variablen ein, die auf Pipeline-Ebene oder AWS CloudFormation Konfiguration definiert wurden, da die Informationen in Protokollen angezeigt werden. Verwenden Sie Secrets Manager, um Secrets einzurichten und zu speichern, und verwenden Sie dann das referenzierte Secret in der Pipeline- und Aktionskonfiguration, wie unter beschrieben Wird verwendet AWS Secrets Manager , um Datenbankkennwörter oder API-Schlüssel von Drittanbietern zu verfolgen.

    • Wenn Sie eine Pipeline erstellen, die einen S3-Quell-Bucket verwendet, konfigurieren Sie die serverseitige Verschlüsselung für in Amazon S3 gespeicherte Artefakte CodePipeline durch Verwalten AWS KMS keys, wie unter beschrieben. Konfigurieren Sie die serverseitige Verschlüsselung für in Amazon S3 gespeicherte Artefakte für CodePipeline

    • Wenn Sie einen Jenkins-Build-Anbieter für ein Build oder eine Testaktion Ihrer Pipeline verwenden und dafür einen Jenkins-Aktionsanbieter nutzen, installieren Sie Jenkins auf einer EC2-Instance und konfigurieren Sie ein separates EC2-Instance-Profil. Stellen Sie sicher, dass das Instance-Profil Jenkins nur die AWS Berechtigungen gewährt, die für die Ausführung von Aufgaben für Ihr Projekt erforderlich sind, z. B. das Abrufen von Dateien aus Amazon S3. Eine Anleitung zum Erstellen der Rolle für Ihr Jenkins-Instance-Profil finden Sie unter Erstellen Sie eine IAM-Rolle, die für die Jenkins-Integration verwendet werden soll.