AWS CodeBuild のアクセス許可に関するリファレンス - AWS CodeBuild

AWS CodeBuild のアクセス許可に関するリファレンス

アクセスコントロール をセットアップし、IAM アイデンティティ (アイデンティティベースのポリシー) にアタッチできるアクセス許可ポリシーを作成するときは、以下の表をリファレンスとして使用できます。

AWS ポリシーで AWS CodeBuild 全体の条件キーを使用して条件を表現できます。リストについては、IAM ユーザーガイドの「利用可能なキー」を参照してください。

アクションは、ポリシーの Action フィールドで指定します。アクションを指定するには、API オペレーション名 (たとえば、codebuild:codebuild:CreateProject) の前に codebuild:StartBuild プレフィックスを使用します。単一のステートメントに複数のアクションを指定するには、コンマで区切ります (たとえば、"Action": [ "codebuild:CreateProject", "codebuild:StartBuild" ])。

ワイルドカード文字の使用

ポリシーの Resource フィールドでリソース値として、ワイルドカード文字 (*) を使用して、または使用せずに ARN を指定します。ワイルドカードを使用して複数のアクションまたはリソースを指定することができます。たとえば、codebuild:* は、すべての CodeBuild アクションを指定し、codebuild:Batch* は、Batch という単語で始まるすべての CodeBuild アクションを指定します。次の例では、my で始まる名前のすべてのビルドプロジェクトへのアクセスを許可します。

arn:aws:codebuild:us-east-2:123456789012:project/my*

CodeBuild API オペレーションおよびコミットされたコードのアクションで必要なアクセス権限

BatchDeleteBuilds

アクション: codebuild:BatchDeleteBuilds

ビルドを削除するのに必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:project/project-name

BatchGetBuilds

アクション: codebuild:BatchGetBuilds

ビルドに関する情報を取得するのに必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:project/project-name

BatchGetProjects

アクション: codebuild:BatchGetProjects

ビルドプロジェクトに関する情報を取得するのに必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:project/project-name

BatchGetReportGroups

アクション: codebuild:BatchGetReportGroups

レポートグループに関する情報を取得するために必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

BatchGetReports

アクション: codebuild:BatchGetReports

レポートに関する情報を取得するのに必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

BatchPutTestCases ¹

アクション: codebuild:BatchPutTestCases

テストレポートを作成または更新するために必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

CreateProject

アクション: codebuild:CreateProject, iam:PassRole

ビルドプロジェクトを作成するのに必要です。

リソース:

  • arn:aws:codebuild:region-ID:account-ID:project/project-name

  • arn:aws:iam::account-ID:role/role-name

CreateReport ¹

アクション: codebuild:CreateReport

テストレポートを作成するために必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

CreateReportGroup

アクション: codebuild:CreateReportGroup

レポートグループを作成するために必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

CreateWebhook

アクション: codebuild:CreateWebhook

ウェブフックを作成するために必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:project/project-name

DeleteProject

アクション: codebuild:DeleteProject

CodeBuild プロジェクトを削除するために必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:project/project-name

DeleteReport

アクション: codebuild:DeleteReport

レポートを削除するのに必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

DeleteReportGroup

アクション: codebuild:DeleteReportGroup

レポートグループを削除するのに必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

DeleteSourceCredentials

アクション: codebuild:DeleteSourceCredentials

GitHub、GitHub Enterprise Server、または Bitbucket リポジトリの認証情報が含まれている一連の SourceCredentialsInfo オブジェクトを削除するために必要です。

リソース: *

DeleteWebhook

アクション: codebuild:DeleteWebhook

ウェブフックを作成するために必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:project/project-name

DescribeTestCases

アクション: codebuild:DescribeTestCases

ページ分割されたテストケースのリストを返すために必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

ImportSourceCredentials

アクション: codebuild:ImportSourceCredentials

GitHub、GitHub Enterprise Server、または Bitbucket リポジトリの認証情報が含まれている一連の SourceCredentialsInfo オブジェクトをインポートするために必要です。

リソース: *

InvalidateProjectCache

アクション: codebuild:InvalidateProjectCache

プロジェクトのキャッシュをリセットするために必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:project/project-name

ListBuildBatches

アクション: codebuild:ListBuildBatches

ビルドバッチ ID のリストを取得するために必要です。

リソース: *

ListBuildBatchesForProjects

アクション: codebuild:ListBuildBatchesForProjects

特定のプロジェクトのビルドバッチ ID のリストを取得するために必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:project/project-name

ListBuilds

アクション: codebuild:ListBuilds

ビルド ID のリストを取得するのに必要です。

リソース: *

ListBuildsForProject

アクション: codebuild:ListBuildsForProject

ビルドプロジェクトのビルド ID のリストを取得するために必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:project/project-name

ListCuratedEnvironmentImages

アクション: codebuild:ListCuratedEnvironmentImages

AWS CodeBuild によって管理されるすべての Docker イメージに関する情報を取得するのに必要です。

リソース:* (必須ですが、アドレスで呼び出せる AWS リソースを参照していません)

ListProjects

アクション: codebuild:ListProjects

ビルドプロジェクト名のリストを取得するのに必要です。

リソース: *

ListReportGroups

アクション: codebuild:ListReportGroups

レポートグループのリストを取得するために必要です。

リソース: *

ListReports

アクション: codebuild:ListReports

レポートリストを取得するために必要です。

リソース: *

ListReportsForReportGroup

アクション: codebuild:ListReportsForReportGroup

レポートグループのレポートのリストを取得するために必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

RetryBuild

アクション: codebuild:RetryBuild

ビルドを再試行するのに必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:project/project-name

StartBuild

アクション: codebuild:StartBuild

ビルドの実行を開始するために必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:project/project-name

StopBuild

アクション: codebuild:StopBuild

実行中のビルドを停止しようとするのに必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:project/project-name

UpdateProject

アクション:codebuild:UpdateProject, iam:PassRole

ビルドに関する情報を変更するのに必要です。

リソース:

  • arn:aws:codebuild:region-ID:account-ID:project/project-name

  • arn:aws:iam::account-ID:role/role-name

UpdateProjectVisibility

アクション:,codebuild:UpdateProjectVisibility iam:PassRole

プロジェクトのビルドの公開可視性を変更するために必要です。

リソース:

  • arn:aws:codebuild:region-ID:account-ID:project/project-name

  • arn:aws:iam::account-ID:role/role-name

UpdateReport ¹

アクション: codebuild:UpdateReport

テストレポートを作成または更新するために必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

UpdateReportGroup

アクション: codebuild:UpdateReportGroup

レポートグループを更新するために必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

UpdateWebHook

アクション: codebuild:UpdateWebhook

Webhook を更新するために必要です。

リソース: arn:aws:codebuild:region-ID:account-ID:project/project-name

¹ アクセス許可にのみ使用されます。このアクションに API はありません。