Best practice di sicurezza - AWS CodePipeline

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice di sicurezza

Argomenti

    CodePipeline fornisce una serie di funzionalità di sicurezza da considerare durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l'ambiente, gestiscile come considerazioni utili anziché prescrizioni.

    Utilizza la crittografia e l'autenticazione per i repository di origine che si connettono alle pipeline. Queste sono le CodePipeline migliori pratiche per la sicurezza:

    • Se create una configurazione di pipeline o di azione che deve includere segreti, come token o password, non inserite i segreti direttamente nella configurazione dell'azione o i valori predefiniti delle variabili definite a livello di pipeline o di AWS CloudFormation configurazione, poiché le informazioni verranno visualizzate nei log. Utilizzare Secrets Manager per impostare e archiviare i segreti, quindi utilizzare il segreto di riferimento nella configurazione della pipeline e dell'azione, come descritto in. Utilizzalo per tenere traccia delle password del database o delle chiavi AWS Secrets Manager API di terze parti

    • Se crei una pipeline che utilizza un bucket di origine S3, configura la crittografia lato server per gli artefatti archiviati in Amazon S3 per la gestione, come descritto CodePipeline in. AWS KMS keysConfigura la crittografia lato server per gli artefatti archiviati in Amazon S3 per CodePipeline

    • Se utilizzi un provider di operazioni Jenkins, quando utilizzi un provider di compilazione Jenkins per l'operazione di compilazione e di test della pipeline, installa Jenkins su un'istanza EC2 e configura un profilo dell'istanza EC2 separato. Assicurati che il profilo dell'istanza conceda a Jenkins solo le AWS autorizzazioni necessarie per eseguire attività per il tuo progetto, come il recupero di file da Amazon S3. Per ulteriori informazioni su come creare il ruolo per il profilo dell'istanza Jenkins, consulta le fasi descritte in Crea un ruolo IAM da utilizzare per l'integrazione con Jenkins.