Práticas recomendadas para pipelines de CI/CD - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas para pipelines de CI/CD

Confira abaixo as práticas recomendadas para pipelines de CI/CD totalmente automatizados:

  • Proteja o ambiente de produção: como é possível realizar praticamente tudo o que é necessário para a manutenção da conta e do ambiente usando o IaC, é importante fazer todos os esforços para proteger o ambiente de produção limitando o acesso programático e ao console. Recomendamos limitar o acesso a apenas alguns usuários, ou mesmo a nenhum. Quando você implanta o IaC por meio do AWS CloudFormation, o usuário precisa de permissões limitadas. A maioria das permissões é atribuída ao serviço do CloudFormation por meio de um perfil de serviço. Para obter mais informações, consulte Perfil de serviço na documentação do CloudFormation e Implementing policies for least-privilege permissions for AWS CloudFormation.

  • Crie contas separadas para cada ambiente: ao dedicar uma conta separada a cada ambiente, você pode simplificar o processo de implantação e criar controles de acesso refinados no nível da conta. Quando vários ambientes compartilham recursos, isso reduz a integridade do ambiente como uma unidade isolada. É melhor manter os ambientes sincronizados e distintos. Isso é ainda mais importante para o ambiente de produção porque tudo nessa conta deve ser tratado como um recurso de produção.

  • Restrinja as informações de identificação pessoal (PII) ao ambiente de produção: tanto para a segurança quanto para a proteção contra riscos de responsabilidade, proteja as PII o máximo possível. Quando possível, em ambientes inferiores, use dados anônimos ou de amostra em vez de copiar dados possivelmente sensíveis do ambiente de produção.

  • Revise o código em repositórios: um processo de CI/CD totalmente automatizado reduz os pontos de entrada de um pipeline a um único ponto, e este deve ser protegido. Por esse motivo, é recomendável que você exija várias revisões de código antes de mesclar as ramificações de recursos na ramificação principal. Essas análises de código podem ser conduzidas por qualquer membro qualificado da equipe, mas pelo menos um membro sênior deve revisá-las. O código deve ser testado rigorosamente pelo revisor. Afinal, a melhor maneira de corrigir problemas em um pipeline é evitar introduzi-los nele. Além disso, é importante resolver todos os comentários feitos por qualquer revisor antes da mesclagem. Essa resolução pode ser simplesmente uma explicação de por que nenhuma mudança é necessária, mas abordar todos os comentários é uma verificação extra importante para ajudar a evitar a introdução de problemas no pipeline.

  • Faça mesclagens pequenas e frequentes: para aproveitar ao máximo a integração contínua, é uma boa ideia inserir mudanças locais no pipeline de forma contínua. Afinal, é muito mais vantajoso que os ambientes de desenvolvimento permaneçam sincronizados se os ambientes locais também os acompanharem.

Para obter mais práticas recomendadas para pipelines de CI/CD, consulte Resumo das práticas recomendadas em Prática de integração e entrega contínuas na AWS.