Administración de identidades y accesos en AWS CodeBuild - AWS CodeBuild

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de identidades y accesos en AWS CodeBuild

El acceso a AWS CodeBuild requiere credenciales. Estas credenciales deben tener permisos para obtener acceso.AWSrecursos, como almacenar y recuperar artefactos de compilación en buckets de S3 y ver Amazon CloudWatch Registros de compilaciones. En las secciones siguientes, se describe cómo puede usarAWS Identity and Access Management(IAM) y CodeBuild para ayudar a proteger el acceso a los recursos:

Autenticación

Puede obtener acceso a AWS con los siguientes tipos de identidades:

  • Usuario raíz de la cuenta de AWS: cuando se registra en AWS, proporciona una dirección de correo electrónico y la contraseña asociada a su cuenta de AWS. Estas son las credenciales raíz y proporcionan acceso completo a todos los recursos de AWS.

    importante

    Por motivos de seguridad, le recomendamos que utilice las credenciales raíz solo para crear un usuario administrador, que es un usuario de IAM con permiso total para administrar suAWSaccount. A continuación, puede utilizar este usuario administrador para crear otros usuarios y roles de IAM; con permisos limitados. Para obtener más información, consulte Prácticas recomendadas de IAM y Creación de un grupo y usuario administrador en la Guía del usuario de IAM.

  • Usuario de IAM— UnUsuario de IAMes simplemente una identidad en tuAWScuenta que tiene permisos personalizados (por ejemplo, permiso para crear proyectos de compilación en CodeBuild). Puede usar una contraseña y un nombre de usuario de IAM para iniciar sesión en páginas web de AWS seguras, como AWS Management Console, Foros de debate de AWS o el Centro de AWS Support.

    Además de un nombre de usuario y una contraseña, también puede generar claves de acceso para cada usuario. Puede utilizar estas claves cuando obtenga acceso a los servicios de AWS mediante programación, ya sea a través de uno de los SDK de AWS o mediante la AWS Command Line Interface (AWS CLI). La AWS CLI y los SDK de AWS usan las claves de acceso para firmar criptográficamente la solicitud. Si no utiliza elAWS, debe firmar usted mismo la solicitud. CodeBuild es compatible con Signature Version 4, un protocolo para autenticar solicitudes de API de entrada. Para obtener más información acerca de la autenticación de solicitudes, consulte laProceso de firma Signature Version 4en laAWSReferencia general de.

  • Rol de IAM— UnRol de IAMes similar a un usuario de IAM, pero no está asociado a una determinada persona. Un rol de IAM le permite obtener claves de acceso temporales que se pueden utilizar para tener acceso a los servicios y recursos de AWS. Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:

    • Acceso de usuarios federados: en lugar de crear un usuario de IAM, puede usar identidades de usuario preexistentes de AWS Directory Service, el directorio de usuarios de la empresa o un proveedor de identidad web. Estas identidades se conocen como AWSusuarios federados. asigna un rol a un usuario federado cuando se solicita acceso a través de un proveedor de identidades. Para obtener más información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía del usuario de IAM.

    • Acceso entre cuentas: puede utilizar un rol de IAM en su cuenta para conceder permisos a otra cuenta de AWS con el fin de que tenga acceso a los recursos de su cuenta. Para ver un ejemplo, consulte .Tutorial: Delegar el acceso entre cuentasAWSCuentas con roles de IAMen laIAM User Guide.

    • AWSacceso a los servicios— Puede utilizar un rol de IAM en su cuenta para conceder permisos a unAWSservicio para acceder a los recursos de tu cuenta. Por ejemplo, puede crear un rol que permita a Amazon Redshift obtener acceso a un bucket de S3 en su nombre y, a continuación, cargar los datos almacenados en el bucket en un clúster de Amazon Redshift. Para obtener más información, consulte Creación de un rol para delegarle permisos a un servicio de AWS en la Guía del usuario de IAM.

    • Aplicaciones que se ejecutan en Amazon EC2— En lugar de almacenar claves de acceso en la instancia Amazon EC2 para que lo usen aplicaciones que se ejecutan en la instancia y realicenAWSSolicitudes de API de, puede utilizar un rol de IAM para administrar temporalmente credenciales para estas aplicaciones. Para asignar unAWSen una instancia de Amazon EC2 y ponerla a disposición de todas las aplicaciones, cree un perfil asociado a dicha instancia. Un perfil de instancias contiene el rol y permite a los programas que se encuentran en ejecución en la instancia de Amazon EC2 obtener credenciales temporales. Para obtener más información, consulte Uso de roles para aplicaciones en Amazon EC2 en la Guía del usuario de IAM.

Control de acceso

Puede tener credenciales válidas para autenticar las solicitudes, pero a menos que tenga permisos no podrá crear ni tener acceso a los recursos de AWS CodeBuild. Por ejemplo, debe disponer de permisos para crear, ver o eliminar proyectos de compilación y para iniciar, detener o consultar compilaciones.

En las siguientes secciones se describe cómo administrar los permisos de CodeBuild. Recomendamos que lea primero la información general.