Si sigue los pasos de Primeros pasos con la consola para acceder a AWS CodeBuild por primera vez, lo más probable es que no necesite la información de este tema. Sin embargo, a medida que siga usando CodeBuild, puede que quiera hacer cosas como cifrar los artefactos de compilación.
Para que AWS CodeBuild cifre los artefactos de salida de la compilación, necesita acceso a una clave KMS. De forma predeterminada, CodeBuild utiliza Clave administrada de AWS para Amazon S3 en su cuenta de AWS.
Si no desea utilizar la Clave administrada de AWS, debe crear y configurar una clave administrada por el cliente por su cuenta. En esta sección se describe cómo hacer esto con la consola de IAM.
Para obtener más información acerca de las claves administradas por el cliente, consulte Conceptos de AWS Key Management Service y Creación de claves en la Guía para desarrolladores de AWS KMS.
Si quiere configurar una clave administrada por el cliente para utilizarla en CodeBuild, siga las instrucciones que se indican en la sección "Cómo modificar una política de claves" de Modificación de una política de claves en la Guía para desarrolladores de AWS KMS. A continuación, añada las siguientes instrucciones (entre ### BEGIN ADDING STATEMENTS HERE ###
y ### END ADDING STATEMENTS HERE ###
) a la política de la clave. Los puntos suspensivos (...
) se usan por motivos de brevedad y para ayudarle a encontrar el lugar donde debe añadir las instrucciones. No elimine ninguna instrucción ni incluya estos puntos suspensivos en la política de la clave.
{
"Version": "2012-10-17",
"Id": "...",
"Statement": [
### BEGIN ADDING STATEMENTS HERE ###
{
"Sid": "Allow access through Amazon S3 for all principals in the account that are authorized to use Amazon S3",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "s3.region-ID
.amazonaws.com",
"kms:CallerAccount": "account-ID
"
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-ID
:role/CodeBuild-service-role
"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
### END ADDING STATEMENTS HERE ###
{
"Sid": "Enable IAM User Permissions",
...
},
{
"Sid": "Allow access for Key Administrators",
...
},
{
"Sid": "Allow use of the key",
...
},
{
"Sid": "Allow attachment of persistent resources",
...
}
]
}
-
region-ID
representa el ID de la región de AWS donde se encuentran los buckets de Amazon S3 asociados a CodeBuild (por ejemplo,us-east-1
). -
account-ID
representa el ID de la cuenta de AWS que posee la clave administrada por el cliente. -
CodeBuild-service-role
representa el nombre del rol de servicio de CodeBuild que se ha creado o identificado anteriormente en este tema.
nota
Para crear o configurar una clave administrada por el cliente a través de la consola de IAM, primero debe iniciar sesión en AWS Management Console utilizando alguna de las opciones siguientes:
-
Su cuenta raíz de AWS. No se recomienda. Para obtener más información, consulte El usuario raíz de la cuenta en la Guía del usuario.
-
Un usuario administrador en su cuenta de AWS. Para obtener más información, consulte Creación del primer usuario raíz y grupo de Cuenta de AWS en la Guía del usuario.
-
Un usuario de su cuenta de AWS con permiso para crear o modificar la clave administrada por el cliente. Para obtener más información, consulte Permisos necesarios para usar la consola de AWS KMS en la Guía para desarrolladores de AWS KMS.