O fluxo de trabalho moderno de três camadas do blueprint de aplicativos web OnPullRequestfalha com erro de permissões para a Amazon CodeGuru

Problema: quando tento executar um fluxo de trabalho para meu projeto, o fluxo de trabalho não é executado com a seguinte mensagem:

Failed at codeguru_codereview: The action failed during runtime. View the action's logs for more details.

Solução: uma possível causa dessa falha de ação pode ser devido à falta de permissões na política de função do IAM, em que sua versão da função de serviço usada por CodeCatalyst in the connected não tem as permissões necessárias para que a ação codeguru_codereview Conta da AWS seja executada com êxito. Para corrigir esse problema, a função de serviço deve ser atualizada com as permissões necessárias ou você deve alterar a função de serviço usada para o fluxo de trabalho para uma que tenha as permissões necessárias para a Amazon CodeGuru e o Amazon CodeGuru Reviewer. Realizando as etapas a seguir, encontre seu perfil e atualize as permissões da política de perfil para que o fluxo de trabalho seja executado com êxito.

nota

Essas etapas se aplicam aos seguintes fluxos de trabalho em: CodeCatalyst

• O OnPullRequestfluxo de trabalho fornecido para projetos criados com o modelo moderno de aplicativo web de três camadas em. CodeCatalyst

• Fluxos de trabalho adicionados aos projetos CodeCatalyst com ações que acessam a Amazon CodeGuru ou o Amazon CodeGuru Reviewer.

Cada projeto contém fluxos de trabalho com ações que usam uma função e um ambiente fornecidos pelos Conta da AWS conectados ao seu projeto em CodeCatalyst. O fluxo de trabalho com as ações e a política designada é armazenado em seu repositório de origem no diretório /.codecatalyst/workflows. Não é necessário modificar o YAML do fluxo de trabalho, a menos que você esteja adicionando um novo ID de perfil ao fluxo de trabalho existente. Para ter mais informações sobre elementos de modelo e formatação do YAML, consulte Definição do YAML do fluxo de trabalho.

Essas são as etapas detalhadas a serem seguidas para editar sua política de perfil e verificar o YAML do fluxo de trabalho.

Para referenciar o nome do perfil no YAML do fluxo de trabalho e atualizar a política

1. Abra o CodeCatalyst console em https://codecatalyst.aws/.

2. Navegue até seu CodeCatalyst espaço. Navegue até o projeto.

3. Selecione CI/CD e, depois, selecione Fluxos de trabalho.

4. Escolha o fluxo de trabalho intitulado OnPullRequest. Escolha a guia Definição.

5. No YAML do fluxo de trabalho, no campo Role: abaixo da ação codeguru_codereview, anote o nome do perfil. Esse é o perfil com a política que você modificará no IAM. O exemplo a seguir mostra o nome do perfil.

   

6. Execute um destes procedimentos:

   • (Recomendado) Atualize a função de serviço conectada ao seu projeto com as permissões necessárias para a Amazon CodeGuru e o Amazon CodeGuru Reviewer. O perfil terá um nome CodeCatalystWorkflowDevelopmentRole-spaceName com um identificador exclusivo anexado. Para ter mais informações sobre o perfil e a política de perfis, consulte Noções básicas sobre as CodeCatalystWorkflowDevelopmentRole-Função de serviço do spaceName. Continue com as próximas etapas para atualizar a política no IAM.

     nota

     Você deve ter acesso de AWS administrador ao Conta da AWS com a função e a política.

   • Altere a função de serviço usada para o fluxo de trabalho para uma que tenha as permissões necessárias para a Amazon CodeGuru e o Amazon CodeGuru Reviewer ou crie uma nova função com as permissões necessárias.

7. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

   No console do IAM, encontre o perfil na etapa 5, como CodeCatalystPreviewDevelopmentRole.

8. No perfil da etapa 5, altere a política de permissão para incluir as permissões codeguru-reviewer:* e codeguru:*. Depois de adicionar essas permissões, a política de permissões deve ser semelhante à seguinte:

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Action": [
                   "cloudformation:*",
                   "lambda:*",
                   "apigateway:*",
                   "ecr:*",
                   "ecs:*",
                   "ssm:*",
                   "codedeploy:*",
                   "s3:*",
                   "iam:DeleteRole",
                   "iam:UpdateRole",
                   "iam:Get*",
                   "iam:TagRole",
                   "iam:PassRole",
                   "iam:CreateRole",
                   "iam:AttachRolePolicy",
                   "iam:DetachRolePolicy",
                   "iam:PutRolePolicy",
                   "iam:CreatePolicy",
                   "iam:DeletePolicy",
                   "iam:CreatePolicyVersion",
                   "iam:DeletePolicyVersion",
                   "iam:PutRolePermissionsBoundary",
                   "iam:DeleteRolePermissionsBoundary",
                   "sts:AssumeRole",
                   "elasticloadbalancing:DescribeTargetGroups",
                   "elasticloadbalancing:DescribeListeners",
                   "elasticloadbalancing:ModifyListener",
                   "elasticloadbalancing:DescribeRules",
                   "elasticloadbalancing:ModifyRule",
                   "cloudwatch:DescribeAlarms",
                   "sns:Publish",
                   "sns:ListTopics",
                   "codeguru-reviewer:*",
                   "codeguru:*"
               ],
               "Resource": "*",
               "Effect": "Allow"
           }
       ]
   }

9. Depois de fazer as correções de política, retorne CodeCatalyst e inicie a execução do fluxo de trabalho novamente.