Menggunakan webhook dengan AWS CodeBuild - AWS CodeBuild
Praktik terbaik untuk menggunakan webhooks

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan webhook dengan AWS CodeBuild

AWS CodeBuild mendukung integrasi webhook dengan GitHub, GitHub Enterprise Server, GitLab GitLab Self Managed, dan Bitbucket.

Topik

Praktik terbaik untuk menggunakan webhook dengan AWS CodeBuild

Untuk proyek yang menggunakan repositori publik untuk mengatur webhook, kami merekomendasikan opsi berikut:

ACTOR_ACCOUNT_IDFilter pengaturan

Tambahkan ACTOR_ACCOUNT_ID filter ke grup filter webhook proyek Anda untuk menentukan pengguna mana yang dapat memicu build. Setiap acara webhook yang dikirimkan CodeBuild dilengkapi dengan informasi pengirim yang menentukan pengenal aktor. CodeBuild akan memfilter webhook berdasarkan pola ekspresi reguler yang disediakan dalam filter. Anda dapat menentukan pengguna tertentu yang diizinkan untuk memicu build dengan filter ini. Untuk informasi selengkapnya, lihat GitHub acara webhook dan Acara webhook Bitbucket.

FILE_PATHFilter pengaturan

Tambahkan FILE_PATH filter ke grup filter webhook proyek Anda untuk menyertakan atau mengecualikan file yang dapat memicu build saat diubah. Misalnya, Anda dapat menolak permintaan build untuk perubahan pada buildspec.yml file menggunakan pola ekspresi reguler seperti^buildspec.yml$, bersama dengan excludeMatchedPattern properti. Untuk informasi selengkapnya, lihat GitHub acara webhook dan Acara webhook Bitbucket.

Cakupan izin untuk peran IAM build Anda

Build yang dipicu oleh webhook menggunakan peran layanan IAM yang ditentukan dalam proyek. Sebaiknya setel izin dalam peran layanan ke set izin minimum yang diperlukan untuk menjalankan build. Misalnya, dalam skenario pengujian dan penerapan, buat satu proyek untuk pengujian dan proyek lain untuk penerapan. Proyek pengujian menerima build webhook dari repositori, tetapi tidak memberikan izin menulis ke sumber daya Anda. Proyek penerapan menyediakan izin tulis ke sumber daya Anda, dan filter webhook dikonfigurasi untuk hanya mengizinkan pengguna tepercaya memicu build.

Menggunakan buildspec tersimpan sebaris atau Amazon S3

Jika Anda menentukan buildspec inline dalam project itu sendiri, atau menyimpan file buildspec di bucket Amazon S3, file buildspec hanya dapat dilihat oleh pemilik proyek. Ini mencegah permintaan tarik membuat perubahan kode ke file buildspec dan memicu build yang tidak diinginkan. Untuk informasi selengkapnya, lihat ProjectSource.buildspec di Referensi API. CodeBuild