Permita que los usuarios interactúen con CodeBuild - AWS CodeBuild

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permita que los usuarios interactúen con CodeBuild

Si sigue los pasos descritos Primeros pasos con la consola AWS CodeBuild para acceder por primera vez, lo más probable es que no necesite la información de este tema. Sin embargo, a medida que continúe utilizándola CodeBuild, tal vez desee hacer cosas como permitir que otros usuarios y grupos de su organización interactúen con ellos CodeBuild.

Para permitir que un IAM usuario o un grupo interactúen con ellos AWS CodeBuild, debes concederles permisos de acceso a CodeBuild. En esta sección se describe cómo hacerlo con la IAM consola o el AWS CLI.

Si va a acceder CodeBuild con su cuenta AWS raíz (no se recomienda) o con un usuario administrador de su AWS cuenta, no es necesario que siga estas instrucciones.

Para obtener información sobre las cuentas AWS raíz y los usuarios administradores, consulte El usuario Cuenta de AWS raíz y Cómo crear su primer usuario y grupo Cuenta de AWS raíz en la Guía del usuario.

Para añadir permisos de CodeBuild acceso a un IAM grupo o usuario (consola)

  1. Abra la IAM consola en https://console.aws.amazon.com/iam/.

    Debería haber iniciado sesión en el AWS Management Console mediante uno de los siguientes métodos:

    • Tu cuenta AWS raíz. No se recomienda. Para obtener más información, consulte El usuario raíz de Cuenta de AWS en la Guía del usuario.

    • Un usuario administrador de tu AWS cuenta. Para obtener más información, consulte Creación de su primer grupo y usuario Cuenta de AWS root en la Guía del usuario.

    • Un usuario de su AWS cuenta con permiso para realizar el siguiente conjunto mínimo de acciones:

      iam:AttachGroupPolicy
iam:AttachUserPolicy
iam:CreatePolicy
iam:ListAttachedGroupPolicies
iam:ListAttachedUserPolicies
iam:ListGroups
iam:ListPolicies
iam:ListUsers

      Para obtener más información, consulte la descripción general de IAM las políticas en la Guía del usuario.

  2. En el panel de navegación, seleccione Políticas.

  3. Para añadir un conjunto personalizado de permisos de AWS CodeBuild acceso a un IAM grupo o IAM usuario, vaya directamente al paso 4 de este procedimiento.

    Para agregar un conjunto predeterminado de permisos de CodeBuild acceso a un IAM grupo o IAM usuario, elija Tipo de política, AWS Administrado y, a continuación, haga lo siguiente:

    • Para añadir permisos de acceso total a CodeBuild, seleccione la casilla denominada AWSCodeBuildAdminAccess, elija Acciones de política y, a continuación, seleccione Adjuntar. Seleccione la casilla situada junto al IAM grupo o usuario objetivo y, a continuación, elija Adjuntar política. Repita este procedimiento para las políticas denominadas AmazonS3 ReadOnlyAccess y IAMFullAccess.

    • Para añadir permisos de acceso a CodeBuild todo, excepto a la administración de proyectos de compilación, seleccione la casilla denominada AWSCodeBuildDeveloperAccess, elija Policy Actions y, a continuación, seleccione Adjuntar. Seleccione la casilla situada junto al IAM grupo o usuario objetivo y, a continuación, elija Adjuntar política. Repita este procedimiento para la política denominada AmazonS3 ReadOnlyAccess.

    • Para añadir permisos de acceso de solo lectura CodeBuild, seleccione las casillas denominadas. AWSCodeBuildReadOnlyAccess Seleccione la casilla situada junto al IAM grupo o usuario objetivo y, a continuación, elija Adjuntar política. Repita este procedimiento para la política denominada AmazonS3 ReadOnlyAccess.

    Ahora ha agregado un conjunto predeterminado de permisos de CodeBuild acceso a un IAM grupo o usuario. Omita el resto de los pasos de este procedimiento.

  4. Elija Crear política.

  5. En la página Create Policy, junto a Create Your Own Policy, elija Select.

  6. En la página Review Policy (Revisar política), en Policy Name (Nombre de política), escriba un nombre para la política (por ejemplo, CodeBuildAccessPolicy). Si elige otro nombre, no olvide utilizarlo durante todo este procedimiento.

  7. En Policy Document (Documento de la política), escriba lo siguiente y elija Create Policy (Crear política).

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeBuildAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "codebuild:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeBuildRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/role-name"
    },
    {
      "Sid": "CloudWatchLogsAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3AccessPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:GetObject",
        "s3:List*",
        "s3:PutObject"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3BucketIdentity",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}
    nota

    Esta política permite el acceso a todas CodeBuild las acciones y a una cantidad potencialmente grande de AWS recursos. Para restringir los permisos a CodeBuild acciones específicas, cambie el valor de codebuild:* en la declaración CodeBuild de política. Para obtener más información, consulte Administración de identidades y accesos. Para restringir el acceso a AWS recursos específicos, cambie el valor del Resource objeto. Para obtener más información, consulte Administración de identidades y accesos.

  8. En el panel de navegación, elija Groups o Users.

  9. En la lista de grupos o usuarios, elija el nombre del IAM grupo o IAM usuario al que desee añadir permisos de CodeBuild acceso.

  10. Si se trata de un grupo, en la página de configuración del grupo, en la pestaña Permissions (Permisos), expanda Managed Policies (Políticas administradas) y elija Attach Policy (Asociar política).

    Para un usuario, en la página de configuración del usuario, en la pestaña Permissions, seleccione Add permissions.

  11. Para un grupo, en la página Adjuntar política, seleccione y CodeBuildAccessPolicy, a continuación, elija Adjuntar política.

    Para un usuario, en la página Añadir permisos, elija Asociar políticas existentes directamente. Seleccione CodeBuildAccessPolicy, elija Siguiente: revisar y, a continuación, elija Agregar permisos.

Para añadir permisos de CodeBuild acceso a un IAM grupo o usuario (AWS CLI)

  1. Asegúrese de haberlo configurado AWS CLI con la clave de AWS acceso y la clave de acceso AWS secreta que corresponden a una de las IAM entidades, tal y como se describe en el procedimiento anterior. Para obtener más información, consulte Configuración inicial de la AWS Command Line Interface en la Guía del usuario de AWS Command Line Interface .

  2. Para agregar un conjunto personalizado de permisos de AWS CodeBuild acceso a un IAM grupo o IAM usuario, vaya al paso 3 de este procedimiento.

    Para agregar un conjunto predeterminado de permisos de CodeBuild acceso a un IAM grupo o IAM usuario, haga lo siguiente:

    Ejecute uno de los siguientes comandos, en función de si desea añadir permisos a un IAM grupo o a un usuario:

    aws iam attach-group-policy --group-name group-name --policy-arn policy-arn

aws iam attach-user-policy --user-name user-name --policy-arn policy-arn

    Debe ejecutar el comando tres veces, sustituyendo group-name o user-name por el nombre del IAM grupo o el nombre de usuario y sustituyéndolo policy-arn una vez para cada una de las siguientes políticas Amazon Resource Names (ARNs):

    • Para añadir permisos de acceso total a CodeBuild, utilice la siguiente políticaARNs:

      • arn:aws:iam::aws:policy/AWSCodeBuildAdminAccess

      • arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

      • arn:aws:iam::aws:policy/IAMFullAccess

    • Para añadir permisos de acceso a CodeBuild todo, excepto a la administración de proyectos de compilación, usa la siguiente políticaARNs:

      • arn:aws:iam::aws:policy/AWSCodeBuildDeveloperAccess

      • arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

    • Para añadir permisos de acceso de solo lectura a CodeBuild, usa la siguiente política: ARNs

      • arn:aws:iam::aws:policy/AWSCodeBuildReadOnlyAccess

      • arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

    Ahora ha agregado un conjunto predeterminado de permisos de CodeBuild acceso a un IAM grupo o usuario. Omita el resto de los pasos de este procedimiento.

  3. En un directorio vacío de la estación de trabajo o instancia local en la que AWS CLI está instalado, cree un archivo llamado put-group-policy.json oput-user-policy.json. Si elige otro nombre de archivo, no olvide utilizarlo durante todo este procedimiento.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeBuildAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "codebuild:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeBuildRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/role-name"
    },
    {
      "Sid": "CloudWatchLogsAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3AccessPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:GetObject",
        "s3:List*",
        "s3:PutObject"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3BucketIdentity",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}
    nota

    Esta política permite el acceso a todas CodeBuild las acciones y a una cantidad potencialmente grande de AWS recursos. Para restringir los permisos a CodeBuild acciones específicas, cambie el valor de codebuild:* en la declaración CodeBuild de política. Para obtener más información, consulte Administración de identidades y accesos. Para restringir el acceso a AWS recursos específicos, cambie el valor del Resource objeto relacionado. Para obtener más información, consulte Administración de identidades y accesos o la documentación de seguridad del servicio de AWS específico.

  4. Cambie al directorio donde ha guardado el archivo y, a continuación, ejecute uno de los siguientes comandos. Puede utilizar diferentes valores para CodeBuildGroupAccessPolicy y CodeBuildUserAccessPolicy. Si emplea valores diferentes, asegúrese de usarlos aquí.

    Para un grupo de IAM:

    aws iam put-group-policy --group-name group-name --policy-name CodeBuildGroupAccessPolicy --policy-document file://put-group-policy.json

    Para un usuario de :

    aws iam put-user-policy --user-name user-name --policy-name CodeBuildUserAccessPolicy --policy-document file://put-user-policy.json

    En los comandos anteriores, sustituya group-name o user-name por el nombre del usuario o IAM grupo objetivo.