Configura la crittografia lato server per gli artefatti archiviati in Amazon S3 per CodePipeline - AWS CodePipeline
Visualizza il tuo Chiave gestita da AWSConfigura la crittografia lato server per i bucket S3 utilizzando o AWS CloudFormationAWS CLI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura la crittografia lato server per gli artefatti archiviati in Amazon S3 per CodePipeline

Esistono due modi per configurare la crittografia lato server per gli artefatti di Amazon S3:

  • CodePipeline crea un bucket di artefatti S3 ed è predefinito Chiave gestita da AWS quando crei una pipeline utilizzando la procedura guidata Create Pipeline. Chiave gestita da AWS Viene crittografato insieme ai dati degli oggetti e gestito da. AWS

  • È possibile creare e gestire la propria chiave gestita dai clienti.

Importante

CodePipeline supporta solo chiavi simmetricheKMS. Non utilizzare una KMS chiave asimmetrica per crittografare i dati nel bucket S3.

Se utilizzi la chiave S3 predefinita, non puoi modificarla o eliminarla. Chiave gestita da AWS Se utilizzi una chiave gestita dal cliente AWS KMS per crittografare o decrittografare gli artefatti nel bucket S3, puoi modificare o ruotare questa chiave gestita dal cliente secondo necessità.

Amazon S3 supporta le policy di bucket che puoi utilizzare per la crittografia lato server per tutti gli oggetti archiviati nel bucket. Ad esempio, la seguente policy sui bucket nega l'autorizzazione all'upload dell'oggetto (s3:PutObject) a tutti se la richiesta non include l'intestazione che richiede la crittografia lato server con -. x-amz-server-side-encryption SSE KMS

{
    "Version": "2012-10-17",
    "Id": "SSEAndSSLPolicy",
    "Statement": [
        {
            "Sid": "DenyUnEncryptedObjectUploads",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::codepipeline-us-west-2-89050EXAMPLE/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "DenyInsecureConnections",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::codepipeline-us-west-2-89050EXAMPLE/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

Per ulteriori informazioni sulla crittografia lato server e AWS KMS, vedere Protezione dei dati utilizzando la crittografia lato server e Protezione dei dati utilizzando la crittografia lato server con chiavi memorizzate in (-). KMS AWS Key Management Service SSE KMS

Per ulteriori informazioni in merito, consulta la Guida per gli sviluppatori AWS KMS.AWS Key Management Service

Visualizza il tuo Chiave gestita da AWS

Quando utilizzi la procedura guidata Create Pipeline (Crea pipeline) per creare la prima pipeline, un bucket S3 viene automaticamente creato nella stessa regione in cui è stata creata la pipeline. Il bucket viene utilizzato per archiviare gli artefatti pipeline. Quando una pipeline viene eseguita, gli artefatti vengono inseriti nel bucket S3 e recuperati dallo stesso. Per impostazione predefinita, CodePipeline utilizza la crittografia lato server con l' AWS KMS utilizzo di Chiave gestita da AWS per Amazon S3 (aws/s3la chiave). Questa Chiave gestita da AWS viene creata e archiviata nel tuo account. AWS Quando gli artefatti vengono recuperati dal bucket S3, CodePipeline utilizza lo stesso SSE KMS processo per decrittografare l'artefatto.

Per visualizzare informazioni sul tuo Chiave gestita da AWS

  1. Accedi a AWS Management Console e apri la AWS KMS console.

  2. Se viene visualizzata una pagina di benvenuto, scegli Inizia subito.

  3. Nel riquadro di navigazione del servizio, scegli chiavi AWS gestite.

  4. Scegli la regione per la tua pipeline. Ad esempio, se la pipeline è stata creata inus-east-2, assicurati che il filtro sia impostato su Stati Uniti orientali (Ohio).

    Per ulteriori informazioni sulle regioni e gli endpoint disponibili per CodePipeline, consulta AWS CodePipeline endpoint e quote.

  5. Nell'elenco, scegli la chiave con l'alias utilizzato per la tua pipeline (per impostazione predefinita, aws/s3). Vengono visualizzate informazioni di base sulla chiave.

Configura la crittografia lato server per i bucket S3 utilizzando o AWS CloudFormationAWS CLI

Quando si utilizza AWS CloudFormation o si AWS CLI crea una pipeline, è necessario configurare manualmente la crittografia lato server. Utilizza la policy bucket di esempio riportata sopra, quindi crea la tua chiave gestita dal cliente. Puoi anche usare le tue chiavi al posto di. Chiave gestita da AWS Alcuni motivi per scegliere la propria chiave includono:

  • Quando desideri ruotare la chiave in base a una pianificazione per soddisfare requisiti di business o di sicurezza dell'organizzazione.

  • Quando desideri creare una pipeline che utilizza le risorse associate a un altro account AWS . Ciò richiede l'uso di una chiave gestita dal cliente. Per ulteriori informazioni, consulta Crea una pipeline CodePipeline che utilizzi le risorse di un altro account AWS.

Le best practice di crittografia scoraggiano il riutilizzo esteso delle chiavi di crittografia. Come best practice, ruota la chiave regolarmente. Per creare nuovo materiale crittografico per le AWS KMS chiavi, è possibile creare una chiave gestita dal cliente e quindi modificare le applicazioni o gli alias per utilizzare la nuova chiave gestita dal cliente. In alternativa, puoi abilitare la rotazione automatica delle chiavi per una chiave gestita dal cliente esistente.

Per ruotare la chiave gestita dal cliente, consulta Rotazione delle chiavi.

Importante

CodePipeline supporta solo chiavi simmetricheKMS. Non utilizzare una KMS chiave asimmetrica per crittografare i dati nel bucket S3.