AWS CodeBuild référence aux autorisations

Vous pouvez utiliser des AWS clés de condition larges dans vos AWS CodeBuild polices pour exprimer des conditions. Pour obtenir une liste, consultez la section Clés disponibles dans le guide de l'utilisateur IAM.

Vous spécifiez les actions dans le champ Action de la politique. Pour spécifier une action, utilisez le préfixe codebuild: suivi du nom de l'opération d'API (par exemple, codebuild:CreateProject ou codebuild:StartBuild). Pour spécifier plusieurs actions dans une même instruction, séparez-les par une virgule (par exemple, "Action": [ "codebuild:CreateProject", "codebuild:StartBuild" ]).

Utilisation de caractères génériques

Vous spécifiez un ARN, avec ou sans caractère générique (*) comme valeur de ressource dans le champ Resource de la stratégie. Vous pouvez utiliser un caractère générique pour spécifier plusieurs actions ou ressources. Par exemple, codebuild:* spécifie toutes les CodeBuild actions et codebuild:Batch* indique toutes les CodeBuild actions qui commencent par le motBatch. L'exemple suivant accorde l'accès à tous les projets de génération dont le nom commence par my :

arn:aws:codebuild:us-east-2:123456789012:project/my*

CodeBuild Opérations d'API et autorisations requises pour les actions

BatchDeleteBuilds

Action : codebuild:BatchDeleteBuilds

Requise pour supprimer des générations

Ressource : arn:aws:codebuild:region-ID:account-ID:project/project-name

BatchGetBuilds

Action : codebuild:BatchGetBuilds

Requise pour obtenir des informations sur des générations.

Ressource : arn:aws:codebuild:region-ID:account-ID:project/project-name

BatchGetProjects

Action : codebuild:BatchGetProjects

Requise pour obtenir des informations sur des projets de génération.

Ressource : arn:aws:codebuild:region-ID:account-ID:project/project-name

BatchGetReportGroups

Action : codebuild:BatchGetReportGroups

Obligatoire pour obtenir des informations sur les groupes de rapports.

Ressource : arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

BatchGetReports

Action : codebuild:BatchGetReports

Obligatoire pour obtenir des informations sur des générations.

Ressource : arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

BatchPutTestCases¹

Action : codebuild:BatchPutTestCases

Obligatoire pour créer ou mettre à jour un rapport de test.

Ressource : arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

CreateProject

Actions : codebuild:CreateProject, iam:PassRole

Requise pour créer des projets de génération.

Ressources :

• arn:aws:codebuild:region-ID:account-ID:project/project-name

• arn:aws:iam::account-ID:role/role-name

CreateReport¹

Action : codebuild:CreateReport

Obligatoire pour créer un rapport de test.

Ressource : arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

CreateReportGroup

Action : codebuild:CreateReportGroup

Obligatoire pour créer un groupe de rapports.

Ressource : arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

CreateWebhook

Action : codebuild:CreateWebhook

Requise pour créer un webhook.

Ressource : arn:aws:codebuild:region-ID:account-ID:project/project-name

DeleteProject

Action : codebuild:DeleteProject

Nécessaire pour supprimer un CodeBuild projet.

Ressource : arn:aws:codebuild:region-ID:account-ID:project/project-name

DeleteReport

Action : codebuild:DeleteReport

Obligatoire pour supprimer une règle.

Ressource : arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

DeleteReportGroup

Action : codebuild:DeleteReportGroup

Obligatoire pour supprimer un groupe de rapports.

Ressource : arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

DeleteSourceCredentials

Action : codebuild:DeleteSourceCredentials

Nécessaire pour supprimer un ensemble d'SourceCredentialsInfoobjets contenant des informations sur les informations d'identification d'un GitHub référentiel GitHub Enterprise Server ou Bitbucket.

Ressource : *

DeleteWebhook

Action : codebuild:DeleteWebhook

Requise pour créer un webhook.

Ressource : arn:aws:codebuild:region-ID:account-ID:project/project-name

DescribeTestCases

Action : codebuild:DescribeTestCases

Obligatoire pour renvoyer une liste paginée de cas de test.

Ressource : arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

ImportSourceCredentials

Action : codebuild:ImportSourceCredentials

Nécessaire pour importer un ensemble d'SourceCredentialsInfoobjets contenant des informations sur les informations d'identification d'un GitHub référentiel GitHub Enterprise Server ou Bitbucket.

Ressource : *

InvalidateProjectCache

Action : codebuild:InvalidateProjectCache

Requise pour réinitialiser le cache pour un projet.

Ressource : arn:aws:codebuild:region-ID:account-ID:project/project-name

ListBuildBatches

Action : codebuild:ListBuildBatches

Nécessaire pour obtenir une liste des identifiants de lots de build.

Ressource : *

ListBuildBatchesForProject

Action : codebuild:ListBuildBatchesForProject

Nécessaire pour obtenir une liste des identifiants de lots de construction pour un projet spécifique.

Ressource : arn:aws:codebuild:region-ID:account-ID:project/project-name

ListBuilds

Action : codebuild:ListBuilds

Requise pour obtenir une liste d'ID de génération.

Ressource : *

ListBuildsForProject

Action : codebuild:ListBuildsForProject

Requise pour obtenir une liste d'ID pour un projet de génération.

Ressource : arn:aws:codebuild:region-ID:account-ID:project/project-name

ListCuratedEnvironmentImages

Action : codebuild:ListCuratedEnvironmentImages

Requise pour obtenir des informations sur toutes les images Docker gérées par AWS CodeBuild.

Ressource : * (requise, mais ne fait pas référence à une ressource AWS adressable)

ListProjects

Action : codebuild:ListProjects

Requise pour obtenir une liste de noms de projet de génération.

Ressource : *

ListReportGroups

Action : codebuild:ListReportGroups

Obligatoire pour obtenir une liste des groupes de rapports.

Ressource : *

ListReports

Action : codebuild:ListReports

Obligatoire pour obtenir une liste de rapports.

Ressource : *

ListReportsForReportGroup

Action : codebuild:ListReportsForReportGroup

Obligatoire pour obtenir une liste de rapports pour un groupe de rapports.

Ressource : arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

RetryBuild

Action : codebuild:RetryBuild

Nécessaire pour réessayer les builds.

Ressource : arn:aws:codebuild:region-ID:account-ID:project/project-name

StartBuild

Action : codebuild:StartBuild

Requise pour démarrer l'exécution de générations.

Ressource : arn:aws:codebuild:region-ID:account-ID:project/project-name

StopBuild

Action : codebuild:StopBuild

Requise pour tenter d'arrêter des générations en cours d'exécution.

Ressource : arn:aws:codebuild:region-ID:account-ID:project/project-name

UpdateProject

Actions : codebuild:UpdateProject, iam:PassRole

Requise pour modifier des informations sur les générations.

Ressources :

• arn:aws:codebuild:region-ID:account-ID:project/project-name

• arn:aws:iam::account-ID:role/role-name

UpdateProjectVisibility

Actions : codebuild:UpdateProjectVisibility, iam:PassRole

Nécessaire pour modifier la visibilité publique des versions d'un projet.

Ressources :

• arn:aws:codebuild:region-ID:account-ID:project/project-name

• arn:aws:iam::account-ID:role/role-name

UpdateReport¹

Action : codebuild:UpdateReport

Obligatoire pour créer ou mettre à jour un rapport de test.

Ressource : arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

UpdateReportGroup

Action : codebuild:UpdateReportGroup

Obligatoire pour mettre à jour un groupe de rapports.

Ressource : arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

UpdateWebhook

Action : codebuild:UpdateWebhook

Requise pour mettre à jour un webhook.

Ressource : arn:aws:codebuild:region-ID:account-ID:project/project-name

^{¹ Utilisé uniquement à des fins d'autorisation. Il n'existe aucune API pour cette action.}