Prácticas recomendadas de seguridad - AWS CodePipeline

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas de seguridad

Temas

    CodePipeline proporciona una serie de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.

    Utilice el cifrado y la autenticación para los repositorios de origen que se conectan a sus canalizaciones. Estas son las CodePipeline mejores prácticas de seguridad:

    • Si crea una configuración de canalización o acción que debe incluir secretos, como tokens o contraseñas, no introduzca los secretos directamente en la configuración de la acción ni los valores predeterminados de las variables definidas a nivel de canalización o AWS CloudFormation configuración, ya que la información se mostrará en los registros. Utilice Secrets Manager para configurar y almacenar los secretos y, a continuación, utilice el secreto al que se hace referencia en la configuración de la canalización y la acción, tal y como se describe en Se usa AWS Secrets Manager para rastrear contraseñas de bases de datos o claves de API de terceros.

    • Si crea una canalización que utiliza un bucket de origen de S3, configure el cifrado del lado del servidor para los artefactos almacenados en Amazon S3 CodePipeline mediante la administración AWS KMS keys, tal y como se describe en. Configurar el cifrado del lado del servidor para los artefactos almacenados en Amazon S3 para CodePipeline

    • Cuando utilice un proveedor de compilación de Jenkins para la acción de compilación o prueba de la canalización, instale Jenkins en una instancia EC2 y configure un perfil de instancia EC2 distinto. Asegúrese de que el perfil de instancia conceda a Jenkins solo los AWS permisos necesarios para realizar las tareas del proyecto, como la recuperación de archivos de Amazon S3. Para saber cómo crear la función para su perfil de instancia de Jenkins, consulte los pasos que se describen en Creación de un rol de IAM para usar en la integración de Jenkins.