セキュリティに関するベストプラクティス

CodePipeline には、独自のセキュリティポリシーを開発および実装する際に考慮すべきさまざまなセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に必ずしも適切または十分でない可能性があるので、処方箋ではなく、あくまで有用な考慮事項とお考えください。

パイプラインに接続するソースリポジトリには暗号化と認証を使用します。セキュリティの CodePipeline ベストプラクティスは次のとおりです。

• トークンやパスワードのようなシークレットを含むパイプラインやアクション設定を作成する場合は、そのシークレットをアクション設定や、パイプラインレベルまたは AWS CloudFormation 設定で定義された変数のデフォルト値に直接入力しないでください。シークレットの情報がログに表示される可能性があるためです。AWS Secrets Manager を使用してデータベースパスワードまたはサードパーティーの API キーを追跡する で説明しているように、Secrets Manager を使用してシークレットを設定して保存し、パイプラインとアクション設定には、シークレットの参照を使用します。

• S3 ソースバケットを使用するパイプラインを作成する場合は、「」で説明されているように、 を管理 CodePipeline して AWS KMS keys、 の Amazon S3 に保存されているアーティファクトのサーバー側の暗号化を設定します用に Amazon S3 に保存されているアーティファクトのサーバー側の暗号化を設定する CodePipeline。

• Jenkins アクションプロバイダを使用しており、Jenkins ビルドプロバイダをパイプラインのビルドまたはテスト作業に使用する際は、ECS インスタンスに Jenkins をインストールし、別の EC2 インスタンスプロファイルを構成してください。インスタンスプロファイルが、Amazon S3 からファイルを取得するなど、プロジェクトのタスクを実行するために必要な AWS アクセス許可のみを Jenkins に付与していることを確認してください。 Amazon S3 Jenkins インスタンスプロファイルのロールを作成する方法については、「Jenkins 統合に使用する IAM ロールを作成する」のステップを参照してください。