Bonnes pratiques de sécurité - AWS CodePipeline

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de sécurité

Rubriques

    CodePipeline fournit un certain nombre de fonctionnalités de sécurité à prendre en compte lors de l'élaboration et de la mise en œuvre de vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.

    Vous utilisez des processus de chiffrement et d'authentification pour les référentiels source qui se connectent à vos pipelines. Voici les CodePipeline meilleures pratiques en matière de sécurité :

    • Si vous créez une configuration de pipeline ou d'action qui doit inclure des secrets, tels que des jetons ou des mots de passe, n'entrez pas de secrets directement dans la configuration de l'action, ni les valeurs par défaut des variables définies au niveau du pipeline ou de la AWS CloudFormation configuration, car les informations s'afficheront dans les journaux. Utilisez Secrets Manager pour configurer et stocker les secrets, puis utilisez le secret référencé dans le pipeline et la configuration des actions, comme décrit dansAWS Secrets Manager À utiliser pour suivre les mots de passe de base de données ou les clés d'API tierces.

    • Si vous créez un pipeline qui utilise un compartiment source S3, configurez le chiffrement côté serveur pour les artefacts stockés dans Amazon S3 en les CodePipeline gérant AWS KMS keys, comme décrit dans. Configurer le chiffrement côté serveur pour les artefacts stockés dans Amazon S3 pour CodePipeline

    • Si vous utilisez le fournisseur d'action Jenkins, lorsque vous utilisez un fournisseur de génération Jenkins pour l'action de génération ou de test de votre pipeline, installez Jenkins sur une instance EC2 et configurez un profil d'instance EC2 distinct. Assurez-vous que le profil d'instance accorde à Jenkins uniquement les AWS autorisations nécessaires pour effectuer des tâches relatives à votre projet, telles que la récupération de fichiers depuis Amazon S3. Pour apprendre à créer le rôle pour votre profil d'instance Jenkins, consultez les étapes de Créez un rôle IAM à utiliser pour l'intégration de Jenkins.