Permita que os usuários interajam com CodeBuild

Se você seguir as etapas Conceitos básicos que usam o console AWS CodeBuild para acessar pela primeira vez, provavelmente não precisará das informações deste tópico. No entanto, à medida que você continua usando CodeBuild, talvez queira fazer coisas como dar a outros usuários e grupos da sua organização a capacidade de interagir com CodeBuild.

Para permitir que um IAM usuário ou grupo interaja com AWS CodeBuild, você deve conceder a eles permissões de acesso CodeBuild a. Esta seção descreve como fazer isso com o IAM console ou AWS CLI o.

Se você acessar CodeBuild com sua conta AWS root (não recomendada) ou com um usuário administrador em sua AWS conta, não precisará seguir estas instruções.

Para obter informações sobre contas AWS raiz e usuários administradores, consulte O usuário Conta da AWS raiz e Como criar seu primeiro usuário e grupo Conta da AWS raiz no Guia do usuário.

Para adicionar permissões de CodeBuild acesso a um IAM grupo ou usuário (console)

1. Abra o IAM console em https://console.aws.amazon.com/iam/.

   Você já deve ter feito login no AWS Management Console usando uma das seguintes opções:

   • Sua conta AWS root. Isso não é recomendado. Para obter mais informações, consulte The Conta da AWS root user no Guia do usuário.

   • Um usuário administrador em sua AWS conta. Para obter mais informações, consulte Criando seu primeiro usuário e grupo Conta da AWS raiz no Guia do usuário.

   • Um usuário em sua AWS conta com permissão para realizar o seguinte conjunto mínimo de ações:

     iam:AttachGroupPolicy
     iam:AttachUserPolicy
     iam:CreatePolicy
     iam:ListAttachedGroupPolicies
     iam:ListAttachedUserPolicies
     iam:ListGroups
     iam:ListPolicies
     iam:ListUsers

     Para obter mais informações, consulte Visão geral das IAM políticas no Guia do usuário.

2. No painel de navegação, escolha Policies.

3. Para adicionar um conjunto personalizado de permissões de AWS CodeBuild acesso a um IAM grupo ou IAM usuário, vá para a etapa 4 deste procedimento.

   Para adicionar um conjunto padrão de permissões de CodeBuild acesso a um IAM grupo ou IAM usuário, escolha Tipo de política, AWS Gerenciado e faça o seguinte:

   • Para adicionar permissões de acesso total ao CodeBuild, selecione a caixa chamada AWSCodeBuildAdminAccess, escolha Ações de política e, em seguida, escolha Anexar. Selecione a caixa ao lado do IAM grupo-alvo ou usuário e, em seguida, escolha Anexar política. Repita isso para as políticas denominadas AmazonS3 e. ReadOnlyAccess IAMFullAccess

   • Para adicionar permissões de acesso a tudo, CodeBuild exceto à administração do projeto de compilação, selecione a caixa chamada AWSCodeBuildDeveloperAccess, escolha Ações de política e, em seguida, escolha Anexar. Selecione a caixa ao lado do IAM grupo-alvo ou usuário e, em seguida, escolha Anexar política. Repita isso para a política chamada AmazonS3 ReadOnlyAccess.

   • Para adicionar permissões de acesso somente para leitura CodeBuild, selecione as caixas nomeadas. AWSCodeBuildReadOnlyAccess Selecione a caixa ao lado do IAM grupo-alvo ou usuário e, em seguida, escolha Anexar política. Repita isso para a política chamada AmazonS3 ReadOnlyAccess.

   Agora você adicionou um conjunto padrão de permissões de CodeBuild acesso a um IAM grupo ou usuário. Ignore as etapas seguintes deste procedimento.

4. Escolha Create Policy (Criar política).

5. Na página Create Policy, próximo a Create Your Own Policy, escolha Select.

6. Na página Review Policy (Revisar política), em Policy Name (Nome da política), insira um nome para a política (por exemplo, CodeBuildAccessPolicy). Se você usar um nome diferente, certifique-se de usá-lo durante todo este procedimento.

7. Em Policy Document (Documento de política), insira o seguinte e selecione Create Policy (Criar política):

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "CodeBuildAccessPolicy",
         "Effect": "Allow",
         "Action": [
           "codebuild:*"
         ],
         "Resource": "*"
       },
       {
         "Sid": "CodeBuildRolePolicy",
         "Effect": "Allow",
         "Action": [
           "iam:PassRole"
         ],
         "Resource": "arn:aws:iam::account-ID:role/role-name"
       },
       {
         "Sid": "CloudWatchLogsAccessPolicy",
         "Effect": "Allow",
         "Action": [
           "logs:FilterLogEvents",
           "logs:GetLogEvents"
         ],
         "Resource": "*"
       },
       {
         "Sid": "S3AccessPolicy",
         "Effect": "Allow",
         "Action": [
           "s3:CreateBucket",
           "s3:GetObject",
           "s3:List*",
           "s3:PutObject"
         ],
         "Resource": "*"
       },
       {
         "Sid": "S3BucketIdentity",
         "Effect": "Allow",
         "Action": [
           "s3:GetBucketAcl",
           "s3:GetBucketLocation"
         ],
         "Resource": "*"
       }
     ]
   }

   nota

   Essa política permite o acesso a todas CodeBuild as ações e a um número potencialmente grande de AWS recursos. Para restringir as permissões a CodeBuild ações específicas, altere o valor de codebuild:* na declaração CodeBuild de política. Para obter mais informações, consulte Gerenciamento de identidade e acesso. Para restringir o acesso a AWS recursos específicos, altere o valor do Resource objeto. Para obter mais informações, consulte Gerenciamento de identidade e acesso.

8. No painel de navegação, selecione Groups ou Users.

9. Na lista de grupos ou usuários, escolha o nome do IAM grupo ou IAM usuário ao qual você deseja adicionar permissões de CodeBuild acesso.

10. Para um grupo, na página de configurações do grupo, na guia Permissions (Permissões), expanda Managed Policies (Políticas gerenciadas) e escolha Attach Policy (Anexar política).

    Para um usuário, na página de configurações do usuário, na guia Permissions, escolha Add permissions.

11. Para um grupo, na página Anexar política CodeBuildAccessPolicy, selecione e escolha Anexar política.

    Para um usuário, na página Adicionar permissões, escolha Anexar políticas existentes diretamente. Selecione CodeBuildAccessPolicy, escolha Avançar: Revisão e, em seguida, escolha Adicionar permissões.

Para adicionar permissões de CodeBuild acesso a um IAM grupo ou usuário (AWS CLI)

1. Certifique-se de ter configurado o AWS CLI com a chave de AWS acesso e a chave de acesso AWS secreta que correspondem a uma das IAM entidades, conforme descrito no procedimento anterior. Para obter mais informações, consulte Noções básicas de configuração do AWS Command Line Interface no Guia do usuário do AWS Command Line Interface .

2. Para adicionar um conjunto personalizado de permissões de AWS CodeBuild acesso a um IAM grupo ou IAM usuário, vá para a etapa 3 deste procedimento.

   Para adicionar um conjunto padrão de permissões de CodeBuild acesso a um IAM grupo ou IAM usuário, faça o seguinte:

   Execute um dos comandos a seguir, dependendo se você deseja adicionar permissões a um IAM grupo ou usuário:

   aws iam attach-group-policy --group-name group-name --policy-arn policy-arn
   
   aws iam attach-user-policy --user-name user-name --policy-arn policy-arn

   Você deve executar o comando três vezes, substituindo group-name ou user-name com o nome do IAM grupo ou nome do usuário e substituindo policy-arn uma vez para cada uma das seguintes políticas Amazon Resource Names (ARNs):

   • Para adicionar permissões de acesso total ao CodeBuild, use a seguinte políticaARNs:

     • arn:aws:iam::aws:policy/AWSCodeBuildAdminAccess

     • arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

     • arn:aws:iam::aws:policy/IAMFullAccess

   • Para adicionar permissões de acesso a CodeBuild tudo, exceto à administração do projeto de compilação, use a seguinte políticaARNs:

     • arn:aws:iam::aws:policy/AWSCodeBuildDeveloperAccess

     • arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

   • Para adicionar permissões de acesso somente para leitura CodeBuild, use a seguinte política: ARNs

     • arn:aws:iam::aws:policy/AWSCodeBuildReadOnlyAccess

     • arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

   Agora você adicionou um conjunto padrão de permissões de CodeBuild acesso a um IAM grupo ou usuário. Ignore as etapas seguintes deste procedimento.

3. Em um diretório vazio na estação de trabalho local ou na instância em que o AWS CLI está instalado, crie um arquivo chamado put-group-policy.json ouput-user-policy.json. Se você escolher um nome de arquivo diferente, certifique-se de usá-lo durante todo este procedimento.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "CodeBuildAccessPolicy",
         "Effect": "Allow",
         "Action": [
           "codebuild:*"
         ],
         "Resource": "*"
       },
       {
         "Sid": "CodeBuildRolePolicy",
         "Effect": "Allow",
         "Action": [
           "iam:PassRole"
         ],
         "Resource": "arn:aws:iam::account-ID:role/role-name"
       },
       {
         "Sid": "CloudWatchLogsAccessPolicy",
         "Effect": "Allow",
         "Action": [
           "logs:FilterLogEvents",
           "logs:GetLogEvents"
         ],
         "Resource": "*"
       },
       {
         "Sid": "S3AccessPolicy",
         "Effect": "Allow",
         "Action": [
           "s3:CreateBucket",
           "s3:GetObject",
           "s3:List*",
           "s3:PutObject"
         ],
         "Resource": "*"
       },
       {
         "Sid": "S3BucketIdentity",
         "Effect": "Allow",
         "Action": [
           "s3:GetBucketAcl",
           "s3:GetBucketLocation"
         ],
         "Resource": "*"
       }
     ]
   }

   nota

   Essa política permite o acesso a todas CodeBuild as ações e a um número potencialmente grande de AWS recursos. Para restringir as permissões a CodeBuild ações específicas, altere o valor de codebuild:* na declaração CodeBuild de política. Para obter mais informações, consulte Gerenciamento de identidade e acesso. Para restringir o acesso a AWS recursos específicos, altere o valor do Resource objeto relacionado. Para obter mais informações, consulte Gerenciamento de identidade e acesso ou a documentação específica de segurança do serviço AWS .

4. Navegue até o diretório onde você salvou o arquivo e execute um dos seguintes comandos. Você pode usar valores diferentes para CodeBuildGroupAccessPolicy e CodeBuildUserAccessPolicy. Se você usar valores diferentes, certifique-se de usá-los aqui.

   Para um grupo IAM:

   aws iam put-group-policy --group-name group-name --policy-name CodeBuildGroupAccessPolicy --policy-document file://put-group-policy.json

   Para um usuário do :

   aws iam put-user-policy --user-name user-name --policy-name CodeBuildUserAccessPolicy --policy-document file://put-user-policy.json

   Nos comandos anteriores, substitua group-name ou user-name com o nome do IAM grupo-alvo ou usuário.