Consenti agli utenti di interagire con CodeBuild - AWS CodeBuild

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Consenti agli utenti di interagire con CodeBuild

Se segui la procedura di accesso Nozioni di base utilizzando la console AWS CodeBuild per la prima volta, probabilmente non hai bisogno delle informazioni contenute in questo argomento. Tuttavia, continuando a utilizzare CodeBuild, potresti voler fare cose come dare ad altri utenti e gruppi dell'organizzazione la possibilità di interagire con CodeBuild.

Per consentire a un IAM utente o a un gruppo di interagire con AWS CodeBuild, devi concedere loro le autorizzazioni di accesso a CodeBuild. Questa sezione descrive come eseguire questa operazione con la IAM console o il AWS CLI.

Se accederai CodeBuild con il tuo account AWS root (scelta non consigliata) o con un utente amministratore nel tuo AWS account, non è necessario seguire queste istruzioni.

Per informazioni sugli account AWS root e sugli utenti amministratori, vedere L'utente Account AWS root e Creare il primo utente e gruppo Account AWS root nella Guida per l'utente.

Per aggiungere le autorizzazioni di CodeBuild accesso a un IAM gruppo o utente (console)

  1. Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

    Dovresti aver già effettuato l'accesso AWS Management Console utilizzando uno dei seguenti metodi:

    • Il tuo account AWS root. Questo non è consigliato. Per ulteriori informazioni, consulta L'utente Account AWS root nella guida per l'utente.

    • Un utente amministratore nel tuo AWS account. Per ulteriori informazioni, consulta Creazione del primo utente e gruppo Account AWS root nella Guida per l'utente.

    • Un utente del tuo AWS account con l'autorizzazione a eseguire il seguente set minimo di azioni:

      iam:AttachGroupPolicy
iam:AttachUserPolicy
iam:CreatePolicy
iam:ListAttachedGroupPolicies
iam:ListAttachedUserPolicies
iam:ListGroups
iam:ListPolicies
iam:ListUsers

      Per ulteriori informazioni, vedere Panoramica delle IAM politiche nella Guida per l'utente.

  2. Nel riquadro di navigazione, seleziona Policy.

  3. Per aggiungere un set personalizzato di autorizzazioni di AWS CodeBuild accesso a un IAM gruppo o a un IAM utente, vai avanti al passaggio 4 di questa procedura.

    Per aggiungere un set predefinito di autorizzazioni di CodeBuild accesso a un IAM gruppo o a un IAM utente, scegli Tipo di politica, AWS Gestito, quindi procedi come segue:

    • Per aggiungere le autorizzazioni di accesso complete CodeBuild, seleziona la casella denominata AWSCodeBuildAdminAccess, scegli Azioni politiche, quindi scegli Allega. Seleziona la casella accanto al IAM gruppo o all'utente target, quindi scegli Allega politica. Ripeti questa operazione per le politiche denominate AmazonS3 ReadOnlyAccess e. IAMFullAccess

    • Per aggiungere le autorizzazioni di accesso a tutto CodeBuild tranne l'amministrazione del progetto di build, seleziona la casella denominata AWSCodeBuildDeveloperAccess, scegli Policy Actions, quindi scegli Allega. Seleziona la casella accanto al IAM gruppo o all'utente target, quindi scegli Allega politica. Ripeti questa operazione per la politica denominata ReadOnlyAccessAmazonS3.

    • Per aggiungere autorizzazioni di accesso in sola lettura, seleziona le caselle denominate CodeBuild. AWSCodeBuildReadOnlyAccess Seleziona la casella accanto al IAM gruppo o all'utente di destinazione, quindi scegli Allega politica. Ripeti questa operazione per la politica denominata ReadOnlyAccessAmazonS3.

    Ora hai aggiunto un set predefinito di autorizzazioni di CodeBuild accesso a un IAM gruppo o utente. Salta il resto dei passaggi in questa procedura.

  4. Scegliere Create Policy (Crea policy).

  5. Nella pagina Create Policy (Crea policy), accanto a Create Your Own Policy (Crea la tua policy), selezionare Select (Seleziona).

  6. Nella pagina Review Policy (Rivedi policy), immettere un nuovo nome per la policy in Policy Name (Nome policy), ad esempio CodeBuildAccessPolicy. Se si utilizza un nome diverso, assicurarsi di ripeterlo in tutta questa procedura.

  7. Per Policy Document (Documento policy) immettere quanto indicato di seguito e quindi scegliere Create Policy (Crea policy).

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeBuildAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "codebuild:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeBuildRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/role-name"
    },
    {
      "Sid": "CloudWatchLogsAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3AccessPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:GetObject",
        "s3:List*",
        "s3:PutObject"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3BucketIdentity",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}
    Nota

    Questa politica consente l'accesso a tutte CodeBuild le azioni e a un numero potenzialmente elevato di AWS risorse. Per limitare le autorizzazioni a CodeBuild azioni specifiche, modifica il valore di codebuild:* nella dichiarazione CodeBuild politica. Per ulteriori informazioni, consulta Gestione dell'identità e degli accessi. Per limitare l'accesso a AWS risorse specifiche, modificate il valore dell'Resourceoggetto. Per ulteriori informazioni, consulta Gestione dell'identità e degli accessi.

  8. Nel riquadro di navigazione selezionare Groups (Gruppi) o Users (Utenti).

  9. Nell'elenco dei gruppi o degli utenti, scegli il nome del IAM gruppo o IAM dell'utente a cui desideri aggiungere le autorizzazioni di CodeBuild accesso.

  10. Per un gruppo, nella pagina relativa alle impostazioni del gruppo, nella scheda Permissions (Autorizzazioni), espandere la sezione Managed Policies (Policy gestite) e selezionare Attach Policy (Collega policy).

    Per un utente, nella pagina di impostazioni utente, nella scheda Permissions (Autorizzazioni), selezionare Add permissions (Aggiungi autorizzazioni).

  11. Per un gruppo, nella pagina Allega policy, seleziona CodeBuildAccessPolicy, quindi scegli Allega policy.

    Per un utente, nella pagina Aggiungi autorizzazioni, scegli Allega direttamente le politiche esistenti. Seleziona CodeBuildAccessPolicy, scegli Avanti: Revisione, quindi scegli Aggiungi autorizzazioni.

Per aggiungere le autorizzazioni di CodeBuild accesso a un IAM gruppo o a un utente ()AWS CLI

  1. Assicurati di averlo configurato AWS CLI con la chiave di AWS accesso e la chiave di accesso AWS segreta che corrispondono a una delle IAM entità, come descritto nella procedura precedente. Per ulteriori informazioni, consulta Come configurare AWS Command Line Interface nella Guida per l'utente di AWS Command Line Interface .

  2. Per aggiungere un set personalizzato di autorizzazioni di AWS CodeBuild accesso a un IAM gruppo o a un IAM utente, vai al passaggio 3 di questa procedura.

    Per aggiungere un set predefinito di autorizzazioni di CodeBuild accesso a un IAM gruppo o a un IAM utente, procedi come segue:

    Esegui uno dei seguenti comandi, a seconda che desideri aggiungere autorizzazioni a un IAM gruppo o a un utente:

    aws iam attach-group-policy --group-name group-name --policy-arn policy-arn

aws iam attach-user-policy --user-name user-name --policy-arn policy-arn

    È necessario eseguire il comando tre volte, sostituendo group-name oppure user-name con il nome del IAM gruppo o il nome utente e sostituendo policy-arn una volta per ciascuna delle seguenti policy Amazon Resource Names (ARNs):

    • Per aggiungere le autorizzazioni di accesso complete a CodeBuild, utilizza la seguente politicaARNs:

      • arn:aws:iam::aws:policy/AWSCodeBuildAdminAccess

      • arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

      • arn:aws:iam::aws:policy/IAMFullAccess

    • Per aggiungere le autorizzazioni di accesso a tutto CodeBuild tranne l'amministrazione del progetto di compilazione, utilizza la seguente politica: ARNs

      • arn:aws:iam::aws:policy/AWSCodeBuildDeveloperAccess

      • arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

    • Per aggiungere autorizzazioni di accesso di sola lettura a CodeBuild, utilizza la seguente politica: ARNs

      • arn:aws:iam::aws:policy/AWSCodeBuildReadOnlyAccess

      • arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

    Ora hai aggiunto un set predefinito di autorizzazioni di CodeBuild accesso a un gruppo o a un IAM utente. Salta il resto dei passaggi in questa procedura.

  3. In una directory vuota della workstation o dell'istanza locale in cui AWS CLI è installato, create un file denominato put-group-policy.json o. put-user-policy.json Se si utilizza un nome file diverso, assicurarsi di ripeterlo in tutta questa procedura.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeBuildAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "codebuild:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeBuildRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/role-name"
    },
    {
      "Sid": "CloudWatchLogsAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3AccessPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:GetObject",
        "s3:List*",
        "s3:PutObject"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3BucketIdentity",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}
    Nota

    Questa politica consente l'accesso a tutte CodeBuild le azioni e a un numero potenzialmente elevato di AWS risorse. Per limitare le autorizzazioni a CodeBuild azioni specifiche, modifica il valore di codebuild:* nella dichiarazione CodeBuild politica. Per ulteriori informazioni, consulta Gestione dell'identità e degli accessi. Per limitare l'accesso a AWS risorse specifiche, modificate il valore dell'Resourceoggetto correlato. Per ulteriori informazioni, consulta Gestione dell'identità e degli accessi o la documentazione sulla sicurezza del servizio AWS specifico.

  4. Passare alla directory contenente il file salvato, quindi eseguire uno dei seguenti comandi. Puoi utilizzare valori diversi per CodeBuildGroupAccessPolicy e CodeBuildUserAccessPolicy. Se si utilizzano valori diversi, assicurarsi di specificarli qui.

    Per un gruppo IAM:

    aws iam put-group-policy --group-name group-name --policy-name CodeBuildGroupAccessPolicy --policy-document file://put-group-policy.json

    Per un utente :

    aws iam put-user-policy --user-name user-name --policy-name CodeBuildUserAccessPolicy --policy-document file://put-user-policy.json

    Nei comandi precedenti, sostituisci group-name oppure user-name con il nome del IAM gruppo o dell'utente target.