Übersicht über die Verwaltung von Zugriffsberechtigungen für Ihre - AWS CodeBuild Ressourcen

Jede AWS Ressource gehört einem - AWS Konto und Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann Berechtigungsrichtlinien an IAM-Identitäten (Benutzer, Gruppen und Rollen) anfügen.

Anmerkung

Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie unter Bewährte Methoden für IAM im IAM-Benutzerhandbuch.

Beim Erteilen von Berechtigungen entscheiden Sie, wer die Berechtigungen erhält, für welche Ressourcen diese gelten und welche Aktionen an diesen Ressourcen gestattet werden sollen.

AWS CodeBuild -Ressourcen und -Operationen

In ist AWS CodeBuild die primäre Ressource ein Build-Projekt. In einer Richtlinie identifizieren Sie die Ressource, für welche die Richtlinie gilt, mithilfe eines Amazon-Ressourcennamens (ARN). Builds sind ebenfalls Ressourcen und haben einen zugeordneten ARN. Weitere Informationen finden Sie unter Amazon-Ressourcennamen (ARN) und AWS Service-Namespaces im Allgemeine Amazon Web Services-Referenz.

Ressourcentyp	ARN-Format
Build-Projekt	arn:aws:codebuild:region-ID:account-ID:project/project-name
Entwicklung	arn:aws:codebuild:region-ID:account-ID:build/build-ID
Berichtsgruppe	arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name
Bericht	arn:aws:codebuild:region-ID:account-ID:report/report-ID
Alle CodeBuild Ressourcen	arn:aws:codebuild:*
Alle CodeBuild Ressourcen, die dem angegebenen Konto in der angegebenen AWS Region gehören	arn:aws:codebuild:region-ID:account-ID:*

Anmerkung

Die meisten AWS Services behandeln einen Doppelpunkt (:) oder einen Schrägstrich (/) in ARNs als dasselbe Zeichen. CodeBuild verwendet jedoch eine exakte Übereinstimmung in Ressourcenmustern und Regeln. Verwenden Sie also die richtigen Zeichen zum Erstellen von Ereignismustern, sodass sie mit der ARN-Syntax in der Ressource übereinstimmen.

Sie können beispielsweise ein bestimmtes Build-Projekt (myBuildProject) in Ihrer Anweisung mithilfe des zugehörigen ARN wie folgt angeben:

"Resource": "arn:aws:codebuild:us-east-2:123456789012:project/myBuildProject"

Wenn Sie alle Ressourcen angeben möchten oder wenn eine API-Aktion keine ARNs unterstützt, verwenden Sie das Platzhalterzeichen (*) im Resource-Element, wie folgt:

"Resource": "*"

Einige CodeBuild API-Aktionen akzeptieren mehrere Ressourcen (z. B. BatchGetProjects). Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie die ARNs mit Komma, wie folgt:

"Resource": [
  "arn:aws:codebuild:us-east-2:123456789012:project/myBuildProject",
  "arn:aws:codebuild:us-east-2:123456789012:project/myOtherBuildProject"
]

CodeBuild bietet eine Reihe von Operationen für die Arbeit mit den - CodeBuild Ressourcen. Eine Liste finden Sie hier: AWS CodeBuild -Berechtigungsreferenz.

Grundlegendes zum Eigentum an Ressourcen

Das AWS Konto besitzt die Ressourcen, die im Konto erstellt werden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourceneigentümer das AWS Konto der Prinzipal-Entität (d. h. das Stammkonto, ein -Benutzer oder eine IAM-Rolle), die die Ressourcenerstellungsanforderung authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

• Wenn Sie die Root-Konto-Anmeldeinformationen Ihres AWS Kontos verwenden, um eine Regel zu erstellen, ist Ihr AWS Konto der Eigentümer der CodeBuild Ressource.

• Wenn Sie einen -Benutzer in Ihrem AWS Konto erstellen und diesem Berechtigungen zum Erstellen von - CodeBuild Ressourcen erteilen, kann der Benutzer - CodeBuild Ressourcen erstellen. Eigentümer der Ressourcen ist jedoch Ihr - AWS Konto, zu dem der CodeBuild Benutzer gehört.

• Wenn Sie in Ihrem AWS Konto eine IAM-Rolle mit Berechtigungen zum Erstellen von CodeBuild Ressourcen erstellen, kann jeder, der die Rolle übernimmt, Ressourcen erstellen CodeBuild. Eigentümer der Ressourcen ist Ihr - AWS Konto, zu dem die CodeBuild Rolle gehört.

Verwalten des Zugriffs auf Ressourcen

Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Ressourcen hat.

Anmerkung

Dieser Abschnitt beschäftigt sich mit der Verwendung von IAM in AWS CodeBuild. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter Was ist IAM? im IAM-Benutzerhandbuch. Für Informationen über die Syntax und Beschreibungen von AWS -IAM-Richtlinien lesen Sie die IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.

An eine IAM-Identität angefügte Richtlinien werden als identitätsbasierte Richtlinien (oder IAM-Richtlinien) bezeichnet. An eine Ressource angefügte Richtlinien werden als ressourcenbasierte Richtlinien bezeichnet. CodeBuild unterstützt identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien für bestimmte schreibgeschützte APIs zum Zweck der kontoübergreifenden Ressourcenfreigabe.

Sicherer Zugriff auf S3-Buckets

Wir empfehlen dringend, dass Sie die folgenden Berechtigungen in Ihre IAM-Rolle aufnehmen, um zu überprüfen, ob der S3-Bucket, der Ihrem CodeBuild Projekt zugeordnet ist, Ihnen oder einer Person gehört, der Sie vertrauen. Diese Berechtigungen sind nicht in von AWS verwalteten Richtlinien und Rollen enthalten. Sie müssen sie selbst hinzufügen.

• s3:GetBucketAcl

• s3:GetBucketLocation

Wenn sich der Eigentümer eines S3-Buckets ändert, der von Ihrem Projekt verwendet wird, müssen Sie überprüfen, ob Sie noch Eigentümer des Buckets sind, und die Berechtigungen in Ihrer IAM-Rolle aktualisieren, falls nicht. Weitere Informationen finden Sie unter Hinzufügen von CodeBuild Zugriffsberechtigungen zu einer IAM-Gruppe oder einem IAM-Benutzer und Erstellen Sie eine CodeBuild Servicerolle.

Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale

Für jede AWS CodeBuild Ressource definiert der Service eine Reihe von API-Operationen. Um Berechtigungen für diese API-Operationen zu erteilen, CodeBuild definiert eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können. Einige API-Operationen erfordern möglicherweise Berechtigungen für mehr als eine Aktion, um die API-Operation auszuführen. Weitere Informationen finden Sie unter AWS CodeBuild -Ressourcen und -Operationen und AWS CodeBuild -Berechtigungsreferenz.

Grundlegende Richtlinienelemente:

• Ressource – Sie verwenden einen Amazon-Ressourcennamen (ARN), um die Ressource, für welche die Richtlinie gilt, zu identifizieren.

• Aktion – Sie verwenden Aktionsschlüsselwörter, um Ressourcenoperationen zu identifizieren, die Sie zulassen oder verweigern möchten. Die codebuild:CreateProject-Berechtigung erteilt dem Benutzer zum Beispiel Berechtigungen zum Ausführen der CreateProject-Operation.

• Auswirkung – Sie geben den Effekt an, entweder zulassen oder verweigern, wenn der Benutzer die Aktion anfordert. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten („Allow“), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie zum Beispiel sicherstellen, dass Benutzer nicht auf eine Ressource zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

• Prinzipal – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie angefügt ist, der implizite Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll.

Weitere Informationen zur Syntax und zu Beschreibungen von IAM-Richtlinien finden Sie in der AWS -IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.

Eine Tabelle mit allen CodeBuild API-Aktionen und den Ressourcen, für die sie gelten, finden Sie unter AWS CodeBuild -Berechtigungsreferenz.