Perlindungan data di AWS CodePipeline - AWS CodePipeline

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan data di AWS CodePipeline

Model tanggung jawab bersama AWS diterapkan untuk perlindungan data AWS CodePipeline. Sebagaimana dijelaskan dalam model ini, AWS bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk memelihara kendali terhadap konten yang di-hosting pada infrastruktur ini. Konten ini meliputi konfigurasi keamanan dan tugas pengelolaan untuk berbagai layanan Layanan AWS yang Anda gunakan. Untuk informasi lebih lanjut tentang privasi data, lihat FAQ tentang Privasi Data. Untuk informasi tentang perlindungan data di Eropa, lihat postingan blog Model Tanggung Jawab Bersama AWS dan GDPR di Blog Keamanan AWS.

Untuk tujuan perlindungan data, kami sarankan agar Anda melindungi kredensial Akun AWS dan menyiapkan akun pengguna individu dengan AWS Identity and Access Management (IAM). Dengan cara tersebut, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tugas tugas mereka. Kami juga menyarankan agar Anda mengamankan data dengan cara-cara berikut:

  • Gunakan autentikasi multifaktor (MFA) pada setiap akun.

  • Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya AWS. Kami merekomendasikan TLS 1.2 atau versi yang lebih baru.

  • Siapkan API dan log aktivitas pengguna dengan AWS CloudTrail.

  • Gunakan solusi enkripsi AWS, bersama semua kontrol keamanan default dalam layanan AWS.

  • Gunakan layanan keamanan terkelola lanjutan seperti Amazon Macie, yang membantu menemukan dan mengamankan data pribadi yang disimpan di Amazon S3.

  • Jika Anda memerlukan modul kriptografi yang divalidasi FIPS 140-2 ketika mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Untuk informasi lebih lanjut tentang titik akhir FIPS yang tersedia, lihat Standar Pemrosesan Informasi Federal (FIPS) 140-2.

Kami sangat menyarankan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam bidang isian bentuk bebas seperti bidang Nama. Ini termasuk ketika Anda bekerja dengan CodePipeline atau lainnyaAWSlayanan menggunakan konsol, API,AWS CLI, atauAWSSDK. Data apa pun yang Anda masukkan ke dalam tanda atau bidang formulir bebas yang digunakan untuk nama dapat digunakan untuk penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, jangan menyertakan informasi kredensial di URL untuk memvalidasi permintaan Anda ke server tersebut.

Praktik keamanan terbaik berikut juga membahas perlindungan data di CodePipeline:

Privasi lalu lintas jaringan Internet

Amazon VPC adalahAWSlayanan yang dapat Anda gunakan untuk meluncurkanAWSsumber daya dalam jaringan virtual (virtual private cloud) yang Anda tetapkan. CodePipeline mendukung titik akhir Amazon VPC yang didukung olehAWSPrivateLink,AWSteknologi yang memfasilitasi komunikasi pribadi antaraAWSmenggunakan elastic network interface dengan alamat IP pribadi. Ini berarti Anda dapat terhubung langsung ke CodePipeline melalui titik akhir pribadi di VPC Anda, menjaga semua lalu lintas di dalam VPC Anda danAWSjaringan. Sebelumnya, aplikasi yang berjalan di dalam VPC memerlukan akses internet untuk terhubung ke CodePipeline. Dengan VPC, Anda memiliki kendali terhadap pengaturan jaringan, seperti:

  • Rentang alamat IP,

  • Subnet,

  • Tabel rute, dan

  • Gateway jaringan.

Untuk menghubungkan VPC Anda ke CodePipeline, Anda menentukan antarmuka VPC endpoint untuk CodePipeline. Endpoint jenis ini memungkinkan Anda untuk menghubungkan VPC Anda keAWSlayanan. Endpoint menyediakan konektivitas yang andal dan terukur ke CodePipeline tanpa memerlukan gateway internet, instans terjemahan alamat jaringan (NAT), atau koneksi VPN. Untuk informasi tentang penyiapan VPC, lihatPanduan Pengguna VPC.

Enkripsi saat tidak aktif

Data CodePipeline dienkripsi saat istirahat menggunakanAWS KMS keys. Artefak kode disimpan dalam ember S3 milik pelanggan dan dienkripsi dengan baikKunci terkelola AWSatau kunci dikelola pelanggan. Untuk informasi selengkapnya, lihat Konfigurasi enkripsi sisi server untuk artefak yang tersimpan di Amazon S3 untuk CodePipeline.

Enkripsi dalam transit

Semua service-to-service komunikasi dienkripsi dalam transit menggunakan SSL/TLS.

Pengelolaan kunci enkripsi

Jika Anda memilih opsi default untuk mengenkripsi artefak kode, CodePipeline menggunakanKunci terkelola AWS. Anda tidak dapat mengubah atau menghapus Kunci terkelola AWS ini. Jika Anda menggunakan kunci dikelola pelangganAWS KMSuntuk mengenkripsi atau mendekripsi artefak di ember S3, Anda dapat mengubah atau memutar kunci yang dikelola pelanggan ini seperlunya.

penting

CodePipeline hanya mendukung kunci KMS simetris. Jangan gunakan kunci KMS asimetris untuk mengenkripsi data di bucket S3 Anda.

Topik