使用 CodeBuild 條件索引鍵做為 IAM 服務角色變數,以控制組建存取 - AWS CodeBuild

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 CodeBuild 條件索引鍵做為 IAM 服務角色變數,以控制組建存取

使用 CodeBuild 組建 ARN,您可以使用內容索引鍵來縮小 CodeBuild 服務角色中資源存取的範圍,以限制組建資源存取。對於 CodeBuild,可用於控制建置存取行為的金鑰為 codebuild:buildArncodebuild:projectArn。透過建置專案 ARN,您可以驗證對資源的呼叫是否來自特定的建置專案。若要驗證,請在 IAM 身分型政策中使用 codebuild:buildArncodebuild:projectArn條件金鑰。

若要在政策中使用 codebuild:buildArncodebuild:projectArn條件索引鍵,請在任何 ARN 條件運算子中包含它做為條件。金鑰的值必須是解析為有效 ARN 的 IAM 變數。在下面的範例政策中,允許的唯一存取權是使用 ${codebuild:projectArn} IAM 變數的專案 ARN 存取建置專案。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/${codebuild:projectArn}/*"
        }
    ]
}