Konfigurasi enkripsi sisi server untuk artefak yang disimpan di Amazon S3 untuk CodePipeline - AWS CodePipeline

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasi enkripsi sisi server untuk artefak yang disimpan di Amazon S3 untuk CodePipeline

Ada dua cara untuk mengonfigurasi enkripsi sisi server untuk artefak Amazon S3:

  • CodePipeline membuat bucket artefak S3 dan defaultKunci yang dikelola AWSketika Anda membuat alur menggunakan wizard Create Pipeline. KlasterKunci yang dikelola AWSdienkripsi bersama dengan data objek dan dikelola olehAWS.

  • Anda dapat membuat dan mengelola kunci terkelola pelanggan.

penting

CodePipeline hanya mendukung kunci KMS simetris. Jangan gunakan kunci KMS asimetris untuk mengenkripsi data di bucket S3 Anda.

Jika Anda menggunakan kunci S3 default, Anda tidak dapat mengubah atau menghapus iniKunci yang dikelola AWS. Jika Anda menggunakan kunci terkelola pelanggan diAWS KMSuntuk mengenkripsi atau mendekripsi artefak di bucket S3, Anda dapat mengubah atau memutar kunci yang dikelola pelanggan ini seperlunya.

Amazon S3 mendukung kebijakan bucket yang dapat Anda gunakan jika Anda memerlukan enkripsi sisi server untuk semua objek yang disimpan dalam bucket Anda. Misalnya, kebijakan bucket berikut menolak izin mengunggah objek (s3:PutObject) kepada semua orang jika permintaan tidak mencakup header x-amz-server-side-encryption yang meminta enkripsi sisi server dengan SSE-KMS.

{ "Version": "2012-10-17", "Id": "SSEAndSSLPolicy", "Statement": [ { "Sid": "DenyUnEncryptedObjectUploads", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::codepipeline-us-west-2-89050EXAMPLE/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "DenyInsecureConnections", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::codepipeline-us-west-2-89050EXAMPLE/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] }

Untuk informasi selengkapnya tentang enkripsi sisi server dan enkripsi sisi server danAWS KMSLihatMelindungi Data Menggunakan Enkripsi Sisi ServerdanMelindungi data menggunakan enkripsi sisi server dengan kunci KMS yang tersimpan diAWS Key Management Service(SSE-KM).

Untuk informasi selengkapnya tentang AWS KMS, lihat Panduan Developer AWS Key Management Service.

LihatKunci yang dikelola AWS

Saat Anda menggunakanMembuat Alurwizard untuk membuat pipeline pertama Anda, bucket S3 dibuat untuk Anda di Wilayah yang sama dengan yang Anda buat pipeline. Ember digunakan untuk menyimpan artefak pipa. Saat pipeline berjalan, artefak dimasukkan ke dalam dan diambil dari bucket S3. Secara default, CodePipeline menggunakan enkripsi sisi server denganAWS KMSmenggunakanKunci yang dikelola AWSuntuk Amazon S3 (aws/s3kunci). IniKunci yang dikelola AWSdibuat dan disimpan diAWSakun Ketika artefak diambil dari bucket S3, CodePipeline menggunakan proses SSE-KMS yang sama untuk mendekripsi artefak.

Untuk melihat informasi tentangKunci yang dikelola AWS

  1. Masuk keAWS Management Consoledan membukaAWS KMSkonsol

  2. Jika halaman selamat datang muncul, pilihSekarang, mulai.

  3. Di panel navigasi layanan, pilihAWSkunci terkelola.

  4. Pilih Wilayah untuk alur Anda. Misalnya, jika pipa dibuat dius-east-2, pastikan filter diatur ke US East (Ohio).

    Untuk informasi selengkapnya tentang Wilayah dan titik akhir yang tersedia untuk CodePipelineLihatAWS CodePipelineendpoint dan kuota.

  5. Dalam daftar, pilih kunci dengan alias yang digunakan untuk pipeline Anda (secara default,aws/s3). Informasi dasar tentang kunci akan ditampilkan.

Konfigurasi enkripsi sisi server untuk bucket S3 menggunakan bucket S3AWS CloudFormationatauAWS CLI

Saat Anda menggunakanAWS CloudFormationatauAWS CLIuntuk membuat pipeline, Anda harus mengkonfigurasi enkripsi sisi server secara manual. Gunakan kebijakan bucket contoh di atas, lalu buat kunci terkelola owncustomer Anda. Anda juga dapat menggunakan kunci Anda sendiri, bukanKunci yang dikelola AWS. Beberapa alasan untuk memilih kunci Anda sendiri meliputi:

Praktik terbaik kriptografi mencegah penggunaan ulang kunci enkripsi secara ekstensif. Sebagai praktik terbaik, putar kunci Anda secara teratur. Untuk membuat materi kriptografi baru untuk AndaAWS KMSkunci, Anda dapat membuat kunci terkelola pelanggan, lalu mengubah aplikasi atau alias Anda untuk menggunakan kunci terkelola pelanggan baru. Atau, Anda dapat mengaktifkan rotasi kunci otomatis untuk kunci yang dikelola pelanggan yang sudah ada.

Untuk memutar kunci yang dikelola pelanggan Anda, lihatMemutar kunci.

penting

CodePipeline hanya mendukung kunci KMS simetris. Jangan gunakan kunci KMS asimetris untuk mengenkripsi data di bucket S3 Anda.