Praktik terbaik keamanan - AWS CodePipeline

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik keamanan

Topik

    CodePipeline menyediakan sejumlah fitur keamanan yang dapat dipertimbangkan ketika Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau cukup untuk lingkungan Anda, anggap praktik terbaik tersebut sebagai pertimbangan yang membantu dan bukan sebagai rekomendasi.

    Anda menggunakan enkripsi dan otentikasi untuk repositori sumber yang terhubung ke pipeline Anda. Ini adalah CodePipeline praktik terbaik untuk keamanan:

    • Jika Anda membuat pipeline atau konfigurasi tindakan yang perlu menyertakan rahasia, seperti token atau kata sandi, jangan masukkan rahasia secara langsung dalam konfigurasi tindakan atau CloudFormation konfigurasi karena informasi akan ditampilkan dalam log. Gunakan Secrets Manager untuk mengatur dan menyimpan rahasia, lalu gunakan rahasia yang direferensikan dalam konfigurasi pipeline dan tindakan, seperti yang dijelaskan dalam GunakanAWS Secrets Manageruntuk melacak kata sandi database atau kunci API pihak ketiga.

    • Jika Anda membuat pipeline yang menggunakan bucket sumber S3, konfigurasikan enkripsi sisi server untuk artefak yang disimpan di Amazon S3 CodePipeline dengan mengelolaAWS KMS keys, seperti yang dijelaskan dalamKonfigurasi enkripsi sisi server untuk artefak yang disimpan di Amazon S3 untuk CodePipeline.

    • Jika Anda menggunakan penyedia tindakan Jenkins, saat Anda menggunakan penyedia build Jenkins untuk tindakan build atau pengujian pipeline Anda, instal Jenkins pada instans EC2 dan konfigurasikan profil instans EC2 terpisah. Pastikan bahwa profil instans hanya memberikan JenkinsAWSizin yang diperlukan untuk melakukan tugas untuk proyek Anda, seperti mengambil file dari Amazon S3. Untuk mempelajari cara membuat peran untuk profil instans Jenkins Anda, lihat langkah-langkah diBuat IAM role untuk integrasi Jenkins.