AWS CodePipeline でのデータ保護 - AWS CodePipeline

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CodePipeline でのデータ保護

AWS 責任共有モデルは、AWS CodePipeline でのデータ保護に適用されます。このモデルで説明されているように、AWS は、AWS クラウド のすべてを実行するグローバルインフラストラクチャを保護する責任を担います。ユーザーには、このインフラストラクチャでホストされているコンテンツに対する制御を維持する責任があります。このコンテンツには、ユーザーが使用する AWS のサービス のセキュリティ設定と管理タスクが含まれます。データプライバシーの詳細については、「データプライバシーのよくある質問」を参照してください。欧州でのデータ保護の詳細については、AWS セキュリティブログの「AWS 責任共有モデルと GDPR」ブログ記事を参照してください。

データ保護のため、AWS アカウントの認証情報を保護し、AWS Identity and Access Management (IAM) を使用して個々のユーザーアカウントをセットアップすることをお勧めします。そうすることで、各ユーザーには、それぞれの職務を遂行するために必要な許可のみが付与されます。また、以下の方法でデータをセキュア化することもお勧めします。

  • 各アカウントで多要素認証 (MFA) を使用する。

  • AWS リソースとの通信に SSL/TLS を使用する。当社では TLS 1.2 以降の使用を推奨しています。

  • AWS CloudTrail を使用して API とユーザーアクティビティロギングをセットアップする。

  • AWS のサービス内のすべてのデフォルトセキュリティコントロールと共に AWS の暗号化ソリューションを使用する。

  • Amazon S3 に保存された個人データの検出とセキュア化を支援する Amazon Macie などの高度なマネージドセキュリティサービスを使用する。

  • コマンドラインインターフェイスまたは API を使用して AWS にアクセスするときに FIPS 140-2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用する。使用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-2」を参照してください。

タグ、または [Name] (名前) フィールドなど自由形式のフィールドには、顧客の E メールアドレスなどの機密または極秘情報を入力しないことを強くお勧めします。これは、を使用した作業の場合も含まれます。 CodePipeline または、AWSコンソール、API、を使用したサービスAWS CLI, またはAWSSDK. タグ、または名前などの自由形式フィールドに入力されるデータは、請求または診断ログに使用される場合があります。外部サーバーへの URL を提供する場合は、そのサーバーへのリクエストを検証するための認証情報を URL に含めないことを強くお勧めします。

以下のセキュリティのベストプラクティスも CodePipeline でのデータ保護に対処します。

インターネットトラフィックのプライバシー

Amazon VPC は、AWS のサービスで、AWS リソースを起動し、お客様の定義する仮想ネットワーク (仮想プライベートクラウド)で使用できます。CodePipeline は、AWS PrivateLink を利用した Amazon VPC エンドポイントをサポートしています。これは、AWS のテクノロジーで、プライベート IP アドレスを使用した Elastic Network Interface を使用して、AWS サービス間のプライベート通信を可能にします。これは、に直接接続できることを意味します。 CodePipeline VPC のプライベートエンドポイントを介して、すべてのトラフィックを VPC 内に保持し、AWSネットワーク。以前は、VPC 内で実行されているアプリケーションから、CodePipeline にインターネット接続する必要がありました。VPC では、次のようなネットワーク設定を管理することができます。

  • IP アドレス範囲

  • Subnets

  • ルートテーブル、

  • ネットワークゲートウェイ。

VPC を CodePipeline に接続するには、CodePipeline のインターフェイス VPC エンドポイントを定義します。このタイプのエンドポイントにより、VPC を AWS サービスに接続できるようになります。エンドポイントは、への信頼性の高いスケーラブルな接続を提供します CodePipeline インターネットゲートウェイ、ネットワークアドレス変換 (NAT) インスタンス、または VPN 接続を必要としません。VPC を設定する方法の詳細については、VPC ユーザーガイド参照してください。

保管中の暗号化

内のデータ CodePipeline を使用して保管時に暗号化されますAWS KMS keys。コードアーティファクトはカスタマー所有の S3 バケットに保存され、AWS マネージドキーまたは、カスタマーマネージドキーを指定します。詳細については、「CodePipeline 用に Amazon S3 に保存したアーティファクトのサーバー側の暗号化を設定する」を参照してください。

転送中の暗号化

すべて service-to-service 通信は、SSL/TLS を使用して転送中に暗号化されます。

暗号化キーの管理

コードアーティファクトを暗号化するためのデフォルトオプションを選択した場合、 CodePipeline を使用するを使用するAWS マネージドキー。この AWS マネージドキー を変更または削除することはできません。でカスタマーマネージドキーを使用する場合AWS KMSS3 バケット内のアーティファクトを暗号化または復号化するには、必要に応じてこのカスタマーマネージドキーを変更または更新できます。

重要

CodePipeline は、対称 KMS キーのみを対応しています。非対称キーを使用して S3 bucket のデータを暗号化しないでください。

トピック