あるチームがAWS CodePipelineを使ってCI/CDパイプラインを構築している。GitHubにコードをプッシュしたときにパイプラインが自動的にトリガーされるよう設定したい。最もセキュアかつ推奨される方法として正しいものはどれか。
- A. GitHubのWebhookをCodePipelineに直接設定し、GitHubのPersonal Access Tokenをパイプラインに保存する
- B. CodePipelineをポーリング設定にしてGitHubリポジトリを定期的に監視させる
- C. GitHub接続(CodeStar Connections)を作成し、CodePipelineのソースアクションにその接続ARNを指定する
- D. EventBridgeルールでGitHubのSNS通知を受信し、CodePipelineのStart Execution APIを呼び出すLambda関数をトリガーする
解答と解説を見る
正解: C
AWS CodeStar Connections(現在はDeveloper Tools Connectionsとも呼ばれる)を使うと、GitHubなどの外部ソースとAWSサービスを安全に接続できる。Personal Access Tokenを直接AWSに保存する必要がなく、OAuth2ベースの認証フローで権限を最小化できる。これがAWSの推奨するアプローチである。AはPersonal Access Tokenを保存するためトークン漏洩のリスクがあり、セキュリティ上推奨されない。Bのポーリング設定は非推奨(2022年以降Webhookが標準)であり、リアルタイム性に欠けAPIレート制限にも影響する。DはLambda関数を別途管理する必要があり、運用複雑性が高くAWSのマネージドな統合より劣る。
📚 関連サービスの解説: AWS CodePipeline