Creación del punto de enlace de gateway de Amazon S3 - CodeArtifact
Permisos mínimos de bucket de Amazon S3 para AWS CodeArtifact

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación del punto de enlace de gateway de Amazon S3

CodeArtifact utiliza Amazon Simple Storage Service (Amazon S3) para almacenar los activos del paquete. Para extraer paquetes CodeArtifact, debe crear un punto de enlace de enlace para Amazon S3. Cuando su proceso de compilación o implementación descarga paquetes CodeArtifact, debe acceder CodeArtifact para obtener los metadatos del paquete y Amazon S3 para descargar los activos del paquete (por ejemplo, .jar archivos Maven).

nota

No se necesita un punto de conexión Amazon S3 cuando se utilizan los formatos de paquete Python o Swift.

Para crear el punto de enlace de la puerta de enlace Amazon S3 CodeArtifact, utilice el comando Amazon EC2 create-vpc-endpoint AWS CLI . Cuando cree el punto de conexión, debe seleccionar las tablas de enrutamiento para su VPC. Para obtener más información, consulte Puntos de conexión de VPC de la puerta de enlace en la Guía del usuario de Amazon Virtual Private Cloud.

El comando siguiente crea un punto de conexión de Amazon S3.

aws ec2 create-vpc-endpoint --vpc-id vpcid --service-name com.amazonaws.region.s3 \
  --route-table-ids routetableid

Permisos mínimos de bucket de Amazon S3 para AWS CodeArtifact

El punto de enlace de gateway de Amazon S3 utiliza un documento de políticas de IAM para limitar el acceso al servicio. Para permitir solo los permisos mínimos del bucket de Amazon S3 CodeArtifact, restrinja el acceso al bucket de Amazon S3 que se CodeArtifact utiliza al crear el documento de política de IAM para el punto final.

En la siguiente tabla se describen los buckets de Amazon S3 a los que debe hacer referencia en sus políticas para permitir el acceso CodeArtifact en cada región.

Región ARN del bucket de Amazon S3

us-east-1

arn:aws:s3:::assets-193858265520-us-east-1

us-east-2

arn:aws:s3:::assets-250872398865-us-east-2

us-west-2

arn:aws:s3:::assets-787052242323-us-west-2

eu-west-1

arn:aws:s3:::assets-438097961670-eu-west-1

eu-west-2

arn:aws:s3:::assets-247805302724-eu-west-2

eu-west-3

arn:aws:s3:::assets-762466490029-eu-west-3

eu-north-1

arn:aws:s3:::assets-611884512288-eu-north-1

eu-south-1

arn:aws:s3:::assets-484130244270-eu-south-1

eu-central-1

arn:aws:s3:::assets-769407342218-eu-central-1

ap-northeast-1

arn:aws:s3:::assets-660291247815-ap-northeast-1

ap-southeast-1

arn:aws:s3:::assets-421485864821-ap-southeast-1

ap-southeast-2

arn:aws:s3:::assets-860415559748-ap-southeast-2

ap-south-1

arn:aws:s3:::assets-681137435769-ap-south-1

Puede usar el aws codeartifact describe-domain comando para recuperar el bucket de Amazon S3 utilizado por un CodeArtifact dominio.

aws codeartifact describe-domain --domain mydomain

{
  "domain": {
    "name": "mydomain",
    "owner": "111122223333",
    "arn": "arn:aws:codeartifact:us-west-2:111122223333:domain/mydomain",
    "status": "Active",
    "createdTime": 1583075193.861,
    "encryptionKey": "arn:aws:kms:us-west-2:111122223333:key/a73que8sq-ba...",
    "repositoryCount": 13,
    "assetSizeBytes": 513830295,
    "s3BucketArn": "arn:aws:s3:::assets-787052242323-us-west-2"
  }
}

Ejemplo

El siguiente ejemplo ilustra cómo proporcionar acceso a los buckets de Amazon S3 necesarios para CodeArtifact las operaciones en la us-east-1 región. Para otras regiones, actualice la entrada Resource con el ARN de permiso correcto para su región según la tabla anterior.

{
  "Statement": [
    {
      "Sid": "Access-to-specific-bucket-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::assets-193858265520-us-east-1/*"]
    }
  ]
}