Aggiungere le autorizzazioni di CodeBuild accesso a un gruppo o utente IAM Crea un ruolo CodeBuild di servizio Creare una chiave gestita dal cliente Installazione e configurazione dell'AWS CLI

Configurazione avanzata

Se segui i passaggi in Nozioni di base utilizzando la console per accedere a AWS CodeBuild per la prima volta, è probabile che tu non abbia bisogno delle informazioni contenute in questo argomento. Tuttavia, continuando a utilizzarlo CodeBuild, potresti voler fare cose come consentire ai gruppi e agli utenti IAM della tua organizzazione di accedere CodeBuild, modificare i ruoli di servizio esistenti in IAM o accedervi o configurarli per l'accessoAWS KMS keys CodeBuild aAWS CLI tutte le workstation dell'organizzazione CodeBuild. Questo argomento descrive come completare i relativi passaggi della configurazione.

Supponiamo che tu disponga già di un account AWS. Tuttavia, se non ne hai già uno, vai su http://aws.amazon.com, scegli Accedi alla console e segui le istruzioni online.

Argomenti

Aggiungere le autorizzazioni di CodeBuild accesso a un gruppo o utente IAM
Crea un ruolo CodeBuild di servizio
Creare e configurare una chiave gestita dal cliente per CodeBuild
Installazione e configurazione dell'AWS CLI

Aggiungere le autorizzazioni di CodeBuild accesso a un gruppo o utente IAM

Per accedereAWS CodeBuild con un gruppo o un utente IAM, devi aggiungere le autorizzazioni di accesso. Questa sezione descrive come eseguire questa operazione con la console IAM o ilAWS CLI.

Se accederai CodeBuild con il tuo accountAWS root (opzione non consigliata) o con un utente amministratore nel tuoAWS account, non devi seguire queste istruzioni.

Per informazioni sugli accountAWS root e sugli utenti amministratori, vedere L'utenteAccount AWS root e Creating Your firstAccount AWS root user and group nella Guida per l'utente.

Per aggiungere autorizzazioni di CodeBuild accesso a un gruppo o utente IAM (console)

Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

È necessario aver effettuato l'accesso alla AWS Management Console utilizzando uno dei seguenti metodi:
- Il tuo account root AWS. Questo non è consigliato. Per ulteriori informazioni, vedere L'utenteAccount AWS root nella Guida per l'utente.
- Un utente amministratore nel tuoAWS account. Per ulteriori informazioni, consulta Creating Your firstAccount AWS root user and group nella Guida per l'utente.
- Un utenteAWS del tuo account autorizzato a eseguire la seguente serie minima di azioni:
```
iam:AttachGroupPolicy
iam:AttachUserPolicy
iam:CreatePolicy
iam:ListAttachedGroupPolicies
iam:ListAttachedUserPolicies
iam:ListGroups
iam:ListPolicies
iam:ListUsers
```
  Per ulteriori informazioni, consulta Panoramica delle politiche IAM nella Guida per l'utente.
Nel pannello di navigazione, seleziona Policies (Policy).
Per aggiungere un set personalizzato di autorizzazioni diAWS CodeBuild accesso a un gruppo IAM o a un utente IAM, passa alla fase 4 in questa procedura.

Per aggiungere un set predefinito di autorizzazioni di CodeBuild accesso a un gruppo IAM o a un utente IAM, scegli Tipo di policy, AWSGestito, quindi procedi come segue:
- Per aggiungere autorizzazioni di accesso complete CodeBuild, seleziona la casella denominata AWSCodeBuildAdminAccess, scegli Azioni politiche e quindi scegli Allega. Seleziona la casella accanto al gruppo o all'utente IAM di destinazione, quindi scegli Attach Policy. Ripeti l'operazione per le politiche denominate AmazonS3ReadOnlyAccess e IAMFullAccess.
- Per aggiungere le autorizzazioni di accesso a CodeBuild tutto tranne che alla creazione dell'amministrazione del progetto, seleziona la casella denominata AWSCodeBuildDeveloperAccess, scegli Azioni politiche e quindi scegli Allega. Seleziona la casella accanto al gruppo o all'utente IAM di destinazione, quindi scegli Attach Policy. Ripeti l'operazione per la politica denominata AmazonS3ReadOnlyAccess.
- Per aggiungere autorizzazioni di accesso di sola lettura a CodeBuild, seleziona le caselle denominate AWSCodeBuildReadOnlyAccess. Seleziona la casella accanto al gruppo o all'utente IAM di destinazione, quindi scegli Attach Policy. Ripeti l'operazione per la politica denominata AmazonS3ReadOnlyAccess.
Ora hai aggiunto un set predefinito di autorizzazioni di CodeBuild accesso a un gruppo o utente IAM. Salta il resto dei passaggi in questa procedura.
Scegliere Create Policy (Crea policy).
Nella pagina Create Policy (Crea policy), accanto a Create Your Own Policy (Crea la tua policy), selezionare Select (Seleziona).
Nella pagina Review Policy (Rivedi policy), immettere un nuovo nome per la policy in Policy Name (Nome policy), ad esempio CodeBuildAccessPolicy. Se si utilizza un nome diverso, assicurarsi di ripeterlo in tutta questa procedura.

Per Policy Document (Documento policy) immettere quanto indicato di seguito e quindi scegliere Create Policy (Crea policy).


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeBuildAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "codebuild:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeBuildRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/role-name"
    },
    {
      "Sid": "CloudWatchLogsAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3AccessPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:GetObject",
        "s3:List*",
        "s3:PutObject"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3BucketIdentity",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}

Nota

Questa politica consente l'accesso a tutte CodeBuild le azioni e a un numero potenzialmente elevato diAWS risorse. Per limitare le autorizzazioni ad CodeBuild azioni specifiche, modifica il valore dicodebuild:* nella dichiarazione delle CodeBuild politiche. Per ulteriori informazioni, consulta Gestione dell'identità e degli accessi. Per limitare l'accesso a risorse AWS specifiche, modificare il valore dell'oggetto Resource. Per ulteriori informazioni, consulta Gestione dell'identità e degli accessi.

LaCodeBuildRolePolicy dichiarazione è necessaria per consentire la creazione o la modifica di un progetto di build.

Nel riquadro di navigazione selezionare Groups (Gruppi) o Users (Utenti).
Nell'elenco dei gruppi o degli utenti, scegli il nome del gruppo IAM o dell'utente IAM a cui desideri aggiungere le autorizzazioni di CodeBuild accesso.
Per un gruppo, nella pagina relativa alle impostazioni del gruppo, nella scheda Permissions (Autorizzazioni), espandere la sezione Managed Policies (Policy gestite) e selezionare Attach Policy (Collega policy).

Per un utente, nella pagina di impostazioni utente, nella scheda Permissions (Autorizzazioni), selezionare Add permissions (Aggiungi autorizzazioni).
Per un gruppo, nella pagina Allega politica CodeBuildAccessPolicy, seleziona e quindi scegli Allega politica.

Per un utente, nella pagina Aggiungi autorizzazioni, scegli Allega direttamente le politiche esistenti. Seleziona CodeBuildAccessPolicy, scegli Avanti: Revisione, quindi scegli Aggiungi autorizzazioni.

Per aggiungere autorizzazioni di CodeBuild accesso a un gruppo o utente IAM (AWS CLI)

Assicurati di averlo configuratoAWS CLI con la chiave diAWS accesso e la chiave di accessoAWS segreta che corrispondono a una delle entità IAM, come descritto nella procedura precedente. Per ulteriori informazioni, consulta Come configurare AWS Command Line Interface nella Guida per l'utente di AWS Command Line Interface.
Per aggiungere un set personalizzato di autorizzazioni diAWS CodeBuild accesso a un gruppo IAM o a un utente IAM, passa al passaggio 3 di questa procedura.

Per aggiungere un set predefinito di autorizzazioni di CodeBuild accesso a un gruppo IAM o a un utente IAM, procedi come segue:

Eseguire uno dei seguenti comandi, a seconda che desideri aggiungere le autorizzazioni a un gruppo o a un utente IAM:
```
aws iam attach-group-policy --group-name group-name --policy-arn policy-arn

aws iam attach-user-policy --user-name user-name --policy-arn policy-arn
```
È necessario eseguire il comando tre volte, sostituendo group-name o user-name con il nome del gruppo IAM o il nome utente e sostituendo policy-arn una volta per ciascuna delle seguenti policy Amazon Resource Names (ARN):
- Per aggiungere autorizzazioni di accesso complete a CodeBuild, utilizza le seguenti policy ARN:
  - arn:aws:iam::aws:policy/AWSCodeBuildAdminAccess
  - arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
  - arn:aws:iam::aws:policy/IAMFullAccess
- Per aggiungere le autorizzazioni di accesso a tutto CodeBuild tranne che all'amministrazione del progetto di build, utilizza i seguenti criteri ARN:
  - arn:aws:iam::aws:policy/AWSCodeBuildDeveloperAccess
  - arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
- Per aggiungere autorizzazioni di accesso di sola lettura a CodeBuild, utilizza i seguenti criteri ARN:
  - arn:aws:iam::aws:policy/AWSCodeBuildReadOnlyAccess
  - arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
Ora hai aggiunto un set predefinito di autorizzazioni di CodeBuild accesso a un gruppo o utente IAM. Salta il resto dei passaggi in questa procedura.

In una directory vuota nella workstation o nell'istanza locale, dove è installata AWS CLI, creare un file denominato put-group-policy.json o put-user-policy.json. Se si utilizza un nome file diverso, assicurarsi di ripeterlo in tutta questa procedura.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeBuildAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "codebuild:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeBuildRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/role-name"
    },
    {
      "Sid": "CloudWatchLogsAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3AccessPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:GetObject",
        "s3:List*",
        "s3:PutObject"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3BucketIdentity",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}

Nota

Questa politica consente l'accesso a tutte CodeBuild le azioni e a un numero potenzialmente elevato diAWS risorse. Per limitare le autorizzazioni ad CodeBuild azioni specifiche, modifica il valore dicodebuild:* nella dichiarazione delle CodeBuild politiche. Per ulteriori informazioni, consulta Gestione dell'identità e degli accessi. Per limitare l'accesso a risorse AWS specifiche, modificare il valore dell'oggetto Resource relativo. Per ulteriori informazioni, consulta Gestione dell'identità e degli accessi o la documentazione sulla sicurezza del servizio AWS specifico.

LaCodeBuildRolePolicy dichiarazione è necessaria per consentire la creazione o la modifica di un progetto di build.

Passare alla directory contenente il file salvato, quindi eseguire uno dei seguenti comandi. Puoi utilizzare valori diversi per CodeBuildGroupAccessPolicy e CodeBuildUserAccessPolicy. Se si utilizzano valori diversi, assicurarsi di specificarli qui.

Per un gruppo IAM:
```
aws iam put-group-policy --group-name group-name --policy-name CodeBuildGroupAccessPolicy --policy-document file://put-group-policy.json
```
Per un utente :
```
aws iam put-user-policy --user-name user-name --policy-name CodeBuildUserAccessPolicy --policy-document file://put-user-policy.json
```
Nei comandi precedenti, sostituisci group-name o user-name con il nome del gruppo o dell'utente IAM di destinazione.

Crea un ruolo CodeBuild di servizio

Hai bisogno di un ruoloAWS CodeBuild di servizio in modo che CodeBuild possa interagire conAWS i servizi dipendenti per tuo conto. È possibile creare un ruolo di CodeBuild servizio utilizzando leAWS CodePipeline console CodeBuild o. Per informazioni, consulta:

Se non prevedi di utilizzare queste console, questa sezione descrive come creare un ruolo di CodeBuild servizio con la console IAM o ilAWS CLI.

Importante

CodeBuild utilizza il ruolo del servizio per tutte le operazioni eseguite per conto dell'utente. Se il ruolo include le autorizzazioni di cui l'utente non dovrebbe disporre, puoi riassegnare involontariamente le autorizzazioni di un utente. Assicurati che il ruolo garantisca i privilegi minimi.

Il ruolo del servizio descritto in questa pagina contiene una policy che concede le autorizzazioni minime richieste per utilizzare CodeBuild. Potrebbe essere necessario aggiungere autorizzazioni aggiuntive, a seconda del caso d'uso.

Per creare un ruolo CodeBuild del servizio (console)

Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

È necessario aver effettuato l'accesso alla console utilizzando uno dei seguenti metodi:
- Il tuo account root AWS. Questo non è consigliato. Per ulteriori informazioni, vedere L'utenteAccount AWS root nella Guida per l'utente.
- Un utente amministratore nel tuoAWS account. Per ulteriori informazioni, consulta Creating Your firstAccount AWS root user and group nella Guida per l'utente.
- Un utenteAWS del tuo account autorizzato a eseguire la seguente serie minima di azioni:
```
iam:AddRoleToInstanceProfile
iam:AttachRolePolicy
iam:CreateInstanceProfile
iam:CreatePolicy
iam:CreateRole
iam:GetRole
iam:ListAttachedRolePolicies
iam:ListPolicies
iam:ListRoles
iam:PassRole
iam:PutRolePolicy
iam:UpdateAssumeRolePolicy
```
  Per ulteriori informazioni, consulta Panoramica delle politiche IAM nella Guida per l'utente.
Nel pannello di navigazione, selezionare Policies (Policy).
Scegliere Create Policy (Crea policy).
Nella pagina Create policy (Crea policy), selezionare JSON.

Per la policy JSON, immettere quanto segue, quindi selezionare Review Policy (Rivedi policy):


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudWatchLogsPolicy",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeCommitPolicy",
      "Effect": "Allow",
      "Action": [
        "codecommit:GitPull"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3GetObjectPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3PutObjectPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": "*"
    },
    {
      "Sid": "ECRPullPolicy",
      "Effect": "Allow",
      "Action": [
        "ecr:BatchCheckLayerAvailability",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchGetImage"
      ],
      "Resource": "*"
    },
    {
      "Sid": "ECRAuthPolicy",
      "Effect": "Allow",
      "Action": [
        "ecr:GetAuthorizationToken"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3BucketIdentity",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}

Nota

Questa policy contiene le istruzioni che permettono l'accesso a un gran numero di risorse AWS. Per limitare l'accesso di AWS CodeBuild a risorse AWS specifiche, modificare il valore dell'array Resource. Per ulteriori informazioni, consultare la documentazione sulla sicurezza del servizio AWS.

Nella pagina Review policy (Rivedi policy), in Policy Name (Nome policy), immettere un nome per la policy (ad esempio CodeBuildServiceRolePolicy), quindi selezionare Create policy (Crea policy).

Nota
Se si utilizza un nome diverso, assicurarsi di ripeterlo in tutta questa procedura.
Nel pannello di navigazione, seleziona Roles (Ruoli).
Selezionare Create role (Crea ruolo).
Nella pagina Crea ruolo, con AWSServizio già selezionato CodeBuild, scegli e quindi scegli Avanti:Autorizzazioni.
Nella pagina Allega criteri di autorizzazione CodeBuildServiceRolePolicy, seleziona e quindi scegli Avanti: Revisione.
Nella pagina Create role and review (Crea ruolo e rivedi), in Role name (Nome ruolo), immettere un nome per il ruolo (ad esempio, CodeBuildServiceRole), quindi selezionare Create role (Crea ruolo).

Per creare un ruolo CodeBuild di servizio (AWS CLI)

Assicurati di averlo configuratoAWS CLI con la chiave diAWS accesso e la chiave di accessoAWS segreta che corrispondono a una delle entità IAM, come descritto nella procedura precedente. Per ulteriori informazioni, consulta Come configurare AWS Command Line Interface nella Guida per l'utente di AWS Command Line Interface.

In una directory vuota nella workstation o nell'istanza locale, dove è installata AWS CLI, creare due file denominati create-role.json e put-role-policy.json. Se si utilizzano nomi file diversi, assicurarsi di ripeterli in tutta questa procedura.

create-role.json:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "codebuild.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Nota

Si consiglia di utilizzare il le chiavi di condizione aws:SourceAccount e aws:SourceArn per proteggersi dal problema del "confused deputy". Ad esempio, è possibile modificare la policy di attendibilità precedente con i seguenti blocchi di condizione. aws:SourceAccountÈ il proprietario del CodeBuild progetto e loaws:SourceArn è il CodeBuild progetto ARN.

Se desideri limitare il tuo ruolo di servizio a unAWS account,create-role.json potresti avere un aspetto simile a questo:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "codebuild.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "account-ID"
                    ]
                }
            }
        }
    ]
}

Se desideri limitare il tuo ruolo di servizio a un CodeBuild progetto specifico,create-role.json potrebbe avere un aspetto simile a questo:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "codebuild.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:codebuild:region-ID:account-ID:project/project-name"
                }
            }
        }
    ]
}

Nota

Se non si conosce o non si conosce il nome CodeBuild del progetto e desideri applicare una policy di attendibilità su un carattere jolly particolare, è possibile sostituire quella parte dell'ARN con un carattere jolly (*). Dopo aver creato il progetto, puoi aggiornare la politica di fiducia.

put-role-policy.json:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudWatchLogsPolicy",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeCommitPolicy",
      "Effect": "Allow",
      "Action": [
        "codecommit:GitPull"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3GetObjectPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3PutObjectPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3BucketIdentity",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}

Nota

Passare alla directory in cui sono stati salvati i file precedenti, quindi eseguire i seguenti due comandi, uno alla volta, in questo ordine. È possibile utilizzare valori diversi per CodeBuildServiceRole e CodeBuildServiceRolePolicy, ma assicurarsi di specificarli qui.
```
aws iam create-role --role-name CodeBuildServiceRole --assume-role-policy-document file://create-role.json
```
```
aws iam put-role-policy --role-name CodeBuildServiceRole --policy-name CodeBuildServiceRolePolicy --policy-document file://put-role-policy.json
```

Creare e configurare una chiave gestita dal cliente per CodeBuild

AWS CodeBuildPer crittografare gli artefatti in uscita dalla build, deve accedere a una chiave KMS. Per impostazione predefinita, CodeBuild utilizza ilChiave gestita da AWS per Amazon S3 nel tuoAWS account.

Se non si desidera utilizzare la chiave gestita dal clienteChiave gestita da AWS, è necessario creare e configurare personalmente una chiave gestita dal cliente. Questa sezione descrive come eseguire questa operazione con la console IAM.

Per informazioni sulle chiavi gestite dai clienti, consulta AWS Key Management ServiceConcetti e creazione di chiavi nella Guida per gliAWS KMS sviluppatori.

Per configurare una chiave gestita dal cliente per l'utilizzo da parte di CodeBuild, segui le istruzioni nella sezione «Come modificare una politica chiave» della Guida per gliAWS KMS sviluppatori. Quindi aggiungere le seguenti istruzioni (tra ### BEGIN ADDING STATEMENTS HERE ### e ### END ADDING STATEMENTS HERE ###) alla policy della chiave. Le ellissi (...) vengono utilizzate per brevità e per aiutare i clienti a individuare il punto in cui aggiungere le istruzioni. Non rimuovere nessuna istruzione e non digitare queste ellissi nella policy della chiave.


{
  "Version": "2012-10-17",
  "Id": "...",
  "Statement": [
    ### BEGIN ADDING STATEMENTS HERE ###
    {
      "Sid": "Allow access through Amazon S3 for all principals in the account that are authorized to use Amazon S3",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "s3.region-ID.amazonaws.com",
          "kms:CallerAccount": "account-ID"
        }
      }
    },
    {
      "Effect": "Allow", 
      "Principal": {
        "AWS": "arn:aws:iam::account-ID:role/CodeBuild-service-role"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    ### END ADDING STATEMENTS HERE ###
    {
      "Sid": "Enable IAM User Permissions",
      ...
    },
    {
      "Sid": "Allow access for Key Administrators",
      ...
    },
    {
      "Sid": "Allow use of the key",
      ...
    },
    {
      "Sid": "Allow attachment of persistent resources",
      ...
    }
  ]
}

Region-ID rappresenta l'ID dellaAWS regione in cui si CodeBuild trovano i bucket Amazon S3 associati (ad esempio,us-east-1).
Account-ID rappresenta l'ID dell'AWSaccount che possiede la chiave gestita dal cliente.
CodeBuild-service-role rappresenta il nome del ruolo di CodeBuild servizio creato o identificato in precedenza in questo argomento.

Nota

Per creare o configurare una chiave gestita dal cliente tramite la console IAM, devi prima accedereAWS Management Console utilizzando uno dei seguenti:

Il tuo account root AWS. Questo non è consigliato. Per ulteriori informazioni, consulta The Account Root User nella Guida per l'utente.
Un utente amministratore nel tuoAWS account. Per ulteriori informazioni, consulta Creating Your firstAccount AWS root user and group nella Guida per l'utente.
Un utente del tuoAWS account autorizzato a creare o modificare la chiave gestita dal cliente. Per ulteriori informazioni, consulta Autorizzazioni richieste per utilizzare la console AWS KMS nella Guida per gli sviluppatori di AWS KMS.

Installazione e configurazione dell'AWS CLI

Per accedereAWS CodeBuild, puoi utilizzare laAWS CLI console, la CodeBuild console o gliAWS SDK o al posto di essi. CodePipeline Per installare e configurare ilAWS CLI, vedere Getting Set Up with theAWS Command Line Interface nella Guida per l'AWS Command Line Interfaceutente.

Eseguire il comando seguente per confermare se l'installazione deiAWS CLI supporti CodeBuild:
```
aws codebuild list-builds
```
Se eseguito correttamente, delle informazioni simili alle seguenti appariranno nell'output:
```
{
  "ids": []
}
```
Le parentesi quadre vuote indicano che non hai ancora eseguito compilazioni.
In caso di errore, devi disinstallare la versione attuale di AWS CLI e installare l'ultima versione. Per ulteriori informazioni, consulta Disinstallare AWS CLI e Installare AWS Command Line Interface nella Guida per l'utente di AWS Command Line Interface.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Argomenti avanzati

Guida di riferimento alla riga di comando