データの暗号化 - AWS CodeBuild

データの暗号化

暗号化は CodeBuild セキュリティの重要な部分です。一部の暗号化 (伝送中のデータの暗号化など) はデフォルトで提供されるため、特に操作は不要です。その他の暗号化 (保管時のデータの暗号化など) については、プロジェクトまたはビルドの作成時に設定できます。

  • 保管時のデータの暗号化 - キャッシュ、ログ、エクスポートされた生のテストレポートデータファイル、およびビルド結果などのビルド成果物は、デフォルトで、AWS マネージドキー を使用して暗号化されます。これらの KMS キーを使用しない場合は、カスタマー管理キーを作成して設定する必要があります。詳細については、AWS Key Management Service ユーザーガイドの「KMS キーの作成」および「AWS Key Management Service の概念」を参照してください。

    ビルドフリートの Amazon Elastic Block Store ボリュームは、AWS マネージドキー を使用してデフォルトで暗号化されます。

  • 転送時のデータの暗号化 - カスタマーと CodeBuild とのすべての通信、および CodeBuild とそのダウンストリーム依存関係とのすべての通信は、署名バージョン 4 の署名プロセスで署名された TLS 接続を使用して保護されます。すべての CodeBuild エンドポイントは AWS Certificate Manager Private Certificate Authority が管理する SHA-256 証明書を使用します。詳細については、「署名バージョン 4 の署名プロセス」および「ACM PCA とは」を参照してください。

  • ビルドアーティファクトの暗号化 - プロジェクトに関連付けられた CodeBuild サービスロールには、そのビルド出力アーティファクトを暗号化するために、KMS キーへのアクセス権が必要です。デフォルトで、CodeBuild は AWS アカウントの Amazon S3 の AWS マネージドキー を使用します。この AWS マネージドキー を使用しない場合は、カスタマー管理キーを作成して設定する必要があります。詳細については、「カスタマーマネージドキーの作成」および AWS KMS デベロッパーガイドの「Creating Keys」を参照してください。