安全最佳實務

CodePipeline 在您開發和實作自己的安全性原則時，提供許多安全性功能供您考量。以下最佳實務為一般準則，並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求，因此請將其視為實用建議就好，而不要當作是指示。

您可以針對連線至管道的來源儲存庫使用加密和身分驗證。以下是安全性的 CodePipeline 最佳做法：

• 如果您建立的管線或動作組態需要包含密碼 (例如 Token 或密碼)，請勿直接在動作組態中輸入密碼，或在管線層級或組 AWS CloudFormation 態中定義的變數預設值，因為資訊會顯示在記錄檔中。使用 Secrets Manager 來設定和儲存密碼，然後在管線和動作組態中使用參照的密碼，如中所述 用 AWS Secrets Manager 於追蹤資料庫密碼或第三方 API 金鑰。

• 如果您建立使用 S3 來源儲存貯體的管道，請 CodePipeline 按照中所述，透過管理 AWS KMS keys方式為 Amazon S3 中存放的成品設定伺服器端加密為 Amazon S3 中存放的成品設定伺服器端加密 CodePipeline。

• 如果您使用 Jenkins 建置提供者，當您針對管道的建置或測試動作使用 Jenkins 建置提供者時，請在 EC2 執行個體上安裝 Jenkins，並設定個別 EC2 執行個體描述檔。確保執行個體設定檔僅授予 Jenkins 執行專案任務所需的 AWS 許可，例如從 Amazon S3 擷取檔案。若要了解如何針對 Jenkins 執行個體描述檔建立該角色，請參閱建立 IAM 角色以用於詹金斯整合中的步驟。