Konfigurasi enkripsi sisi server untuk artefak yang tersimpan di Amazon S3 untuk CodePipeline - AWS CodePipeline

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasi enkripsi sisi server untuk artefak yang tersimpan di Amazon S3 untuk CodePipeline

Ada dua cara untuk mengonfigurasi enkripsi sisi server untuk artefak Amazon S3:

  • CodePipeline menciptakan S3 artefak bucket dan defaultKunci terkelola AWSsaat Anda membuat pipeline menggunakan wizard Create Pipeline. ParameterKunci terkelola AWSdienkripsi bersama dengan data objek dan dikelola olehAWS.

  • Anda dapat membuat dan mengelola kunci terkelola pelanggan.

penting

CodePipeline hanya mendukung kunci KMS simetris. Jangan gunakan kunci KMS asimetris untuk mengenkripsi data di bucket S3 Anda.

Jika Anda menggunakan kunci S3 default, Anda tidak dapat mengubah atau menghapus iniKunci terkelola AWS. Jika Anda menggunakan kunci terkelola pelangganAWS KMSuntuk mengenkripsi atau mendekripsi artefak di ember S3, Anda dapat mengubah atau memutar kunci yang dikelola pelanggan ini seperlunya.

Amazon S3 mendukung kebijakan bucket yang dapat Anda gunakan jika memerlukan enkripsi sisi server untuk semua objek yang disimpan di bucket Anda. Misalnya, kebijakan bucket berikut menolak izin mengunggah objek (s3:PutObject) kepada semua orang jika permintaan tidak mencakup header x-amz-server-side-encryption yang meminta enkripsi sisi server dengan SSE-KMS.

{ "Version": "2012-10-17", "Id": "SSEAndSSLPolicy", "Statement": [ { "Sid": "DenyUnEncryptedObjectUploads", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::codepipeline-us-west-2-89050EXAMPLE/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "DenyInsecureConnections", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::codepipeline-us-west-2-89050EXAMPLE/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] }

Untuk informasi selengkapnya tentang enkripsi sisi server danAWS KMS, LihatMelindungi Data Menggunakan Enkripsi Sisi ServerdanMelindungi data menggunakan enkripsi sisi server dengan kunci KMS yang disimpan diAWS Key Management Service(SSE-KMS).

Untuk informasi selengkapnya tentang AWS KMS, lihat Panduan Developer AWS Key Management Service.

LihatKunci terkelola AWS

Saat Anda menggunakanMembuat Pipelinewizard untuk membuat pipa pertama Anda, ember S3 dibuat untuk Anda di Wilayah yang sama Anda membuat pipa. Ember digunakan untuk menyimpan artefak pipa. Ketika pipa berjalan, artefak dimasukkan ke dalam dan diambil dari ember S3. Secara default, CodePipeline menggunakan enkripsi sisi server denganAWS KMSmenggunakanKunci terkelola AWSuntuk Amazon S3 (aws/s3kunci). IniKunci terkelola AWSdibuat dan disimpan dalamAWSakun. Ketika artefak diambil dari ember S3, CodePipeline menggunakan proses SSE-KMS yang sama untuk mendekripsi artefak.

Untuk menampilkan informasi tentangKunci terkelola AWS

  1. Masuk keAWS Management Consoledan membukaAWS KMSkonsol.

  2. Jika halaman selamat datang muncul, pilihSekarang, mulai.

  3. Di panel navigasi layanan, pilihAWSkunci terkelola.

  4. Pilih Wilayah untuk alur Anda. Misalnya, jika pipa dibuat dius-east-2, pastikan filter diatur ke AS Timur (Ohio).

    Untuk informasi selengkapnya tentang Wilayah dan titik akhir yang tersedia untuk CodePipeline, lihatAWS CodePipelinetitik akhir dan kuota.

  5. Dalam daftar, pilih kunci dengan alias yang digunakan untuk pipeline Anda (secara default,aws/s3). Informasi dasar tentang kunci akan ditampilkan.

Mengkonfigurasi enkripsi sisi server untuk bucket S3 menggunakanAWS CloudFormationatauAWS CLI

Saat Anda menggunakanAWS CloudFormationatauAWS CLIuntuk membuat pipa, Anda harus mengkonfigurasi enkripsi sisi server secara manual. Gunakan kebijakan bucket sampel di atas, lalu buat kunci terkelola owncustomer Anda. Anda juga dapat menggunakan kunci Anda sendiri, bukanKunci terkelola AWS. Beberapa alasan untuk memilih kunci Anda sendiri meliputi:

Praktik terbaik kriptografi mencegah penggunaan ulang kunci enkripsi secara ekstensif. Sebagai praktik terbaik, putar kunci secara teratur. Untuk membuat materi kriptografi baru untukAWS KMSkunci, Anda dapat membuat kunci terkelola pelanggan, dan kemudian mengubah aplikasi atau alias Anda untuk menggunakan kunci terkelola pelanggan baru. Atau, Anda dapat mengaktifkan rotasi kunci otomatis untuk kunci yang dikelola pelanggan yang sudah ada.

Untuk memutar kunci terkelola pelanggan Anda, lihatMemutar kunci.

penting

CodePipeline hanya mendukung kunci KMS simetris. Jangan gunakan kunci KMS asimetris untuk mengenkripsi data di bucket S3 Anda.