Perlindungan data di AWS CodePipeline - AWS CodePipeline

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan data di AWS CodePipeline

Model tanggung jawab bersama AWS diterapkan untuk perlindungan data AWS CodePipeline. Sebagaimana dijelaskan dalam model ini, AWS bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda harus bertanggung jawab untuk memelihara kendali terhadap konten yang di-hosting pada infrastruktur ini. Konten ini meliputi konfigurasi keamanan dan tugas-tugas pengelolaan untuk berbagai layanan Layanan AWS yang Anda gunakan. Untuk informasi lebih lanjut tentang privasi data, lihat FAQ tentang Privasi Data. Untuk informasi tentang perlindungan data di Eropa, lihat postingan blog Model Tanggung Jawab Bersama AWS dan GDPR di Blog Keamanan AWS.

Untuk tujuan perlindungan data, sebaiknya Anda melindungi kredensial Akun AWS dan menyiapkan akun pengguna individu dengan AWS Identity and Access Management (IAM). Dengan cara seperti itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugas mereka. Kami juga merekomendasikan agar Anda mengamankan data Anda dengan cara-cara berikut ini:

  • Gunakan autentikasi multi-faktor (MFA) pada setiap akun.

  • Gunakan SSL/TLS untuk melakukan komunikasi dengan sumber daya AWS. Kami merekomendasikan TLS 1.2 atau versi yang lebih baru.

  • Siapkan API dan log aktivitas pengguna dengan AWS CloudTrail.

  • Gunakan solusi enkripsi AWS, bersama dengan semua kontrol keamanan default dalam layanan AWS.

  • Gunakan layanan keamanan terkelola lanjutan seperti Amazon Macie, yang membantu menemukan dan mengamankan data pribadi yang disimpan di Amazon Simple Storage Service (Amazon S3).

  • Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-2 ketika mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Untuk informasi lebih lanjut tentang titik akhir FIPS yang tersedia, lihat Standar Pemrosesan Informasi Federal (FIPS) 140-2.

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang Nama. Ini termasuk saat Anda bekerja dengan CodePipeline atau lainnyaAWSlayanan menggunakan konsol, API,AWS CLI, atauAWSSDK. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, sebaiknya Anda tidak menyertakan informasi kredensial di URL untuk memvalidasi permintaan Anda ke server tersebut.

Praktik terbaik CodePipeline:

Privasi lalu lintas jaringan Internet

Amazon VPC adalahAWSlayanan yang dapat Anda gunakan untuk memulaiAWSsumber daya di jaringan virtual (virtual private cloud) yang Anda tetapkan. CodePipelinemendukung Amazon VPC endpoint yang didukung olehAWS PrivateLink, sebuahAWSteknologi yang memfasilitasi komunikasi pribadi antaraAWSmenggunakan elastic network interface dengan alamat IP pribadi. Ini berarti Anda dapat terhubung langsung ke CodePipeline melalui titik akhir privat di VPC Anda, menjaga semua lalu lintas di VPC Anda danAWSjaringan. Sebelumnya, aplikasi yang berjalan di dalam VPC memerlukan akses internet untuk terhubung CodePipeline. Dengan VPC, Anda memiliki kendali terhadap pengaturan jaringan, seperti:

  • Rentang alamat IP,

  • Subnet,

  • Tabel rute, dan

  • Gateway jaringan.

Untuk menghubungkan VPC Anda ke CodePipeline, Anda mendefinisikan VPC antarmuka untuk CodePipeline. Jenis titik akhir ini memungkinkan Anda untuk menghubungkan VPC Anda keAWSlayanan Endpoint menyediakan konektivitas yang dapat diandalkan dan dapat ditingkatkan ke CodePipeline tanpa memerlukan gateway internet, instans translasi alamat jaringan (NAT), atau koneksi VPN. Untuk informasi tentang cara menyiapkan VPC, lihatPanduan Pengguna VPC.

Enkripsi saat tidak aktif

Data di CodePipeline dienkripsi saat istirahat menggunakanAWS KMS keys. Artefak kode disimpan dalam bucket S3 milik pelanggan dan dienkripsi denganKunci yang dikelola AWSatau kunci terkelola pelanggan. Untuk informasi selengkapnya, lihat Konfigurasi enkripsi sisi server untuk artefak yang disimpan di Amazon S3 untuk CodePipeline.

Enkripsi dalam transit

Semua service-to-service komunikasi dienkripsi dalam perjalanan menggunakan SSL/TLS.

Pengelolaan kunci enkripsi

Jika Anda memilih opsi default untuk mengenkripsi artefak kode, CodePipeline menggunakanKunci yang dikelola AWS. Anda tidak dapat mengubah atau menghapus Kunci yang dikelola AWS ini. Jika Anda menggunakan kunci dikelola pelangganAWS KMSuntuk mengenkripsi atau mendekripsi artefak di bucket S3, Anda dapat mengubah atau memutar kunci yang dikelola pelanggan ini seperlunya.

penting

CodePipeline hanya mendukung kunci KMS simetris. Jangan gunakan kunci KMS asimetris untuk mengenkripsi data di bucket S3 Anda.

Topik