Cómo permitir que los usuarios interactúen con CodeBuild - AWS CodeBuild

Cómo permitir que los usuarios interactúen con CodeBuild

Si sigue los pasos de Primeros pasos con la consola para acceder a AWS CodeBuild por primera vez, lo más probable es que no necesite la información de este tema. Sin embargo, a medida que siga usando CodeBuild, puede que quiera hacer cosas como conceder a otros usuarios y grupos de la organización la capacidad de interactuar con CodeBuild.

Para permitir que un usuario o un grupo de IAM interactúe con AWS CodeBuild, debe concederles permisos de acceso a CodeBuild. En esta sección, se describe cómo hacer esto con la consola de IAM o la AWS CLI.

Si va a obtener acceso a CodeBuild con una cuenta de usuario raíz de AWS (no se recomienda) o un usuario administrador de la cuenta de AWS, no es necesario que siga estas instrucciones.

Para obtener información sobre las cuentas de usuario raíz y los usuarios administradores de AWS, consulte El usuario raíz de Cuenta de AWS y Creación del primer usuario raíz y grupo de Cuenta de AWS en la Guía del usuario.

Para añadir permisos de acceso de CodeBuild a un grupo o a un usuario de IAM (consola)

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

    Debe haber iniciado sesión en la AWS Management Console con alguna de las entidades siguientes:

  2. En el panel de navegación, seleccione Políticas.

  3. Para añadir un conjunto personalizado de permisos de acceso de AWS CodeBuild a un grupo o a un usuario de IAM, vaya al paso 4 de este procedimiento.

    Para añadir un conjunto predeterminado de permisos de acceso de CodeBuild a un grupo o a un usuario de IAM, seleccione Tipo de política, Administrada por AWS y, a continuación, haga lo siguiente:

    • Para agregar permisos de acceso completo a CodeBuild, seleccione el cuadro AWSCodeBuildAdminAccess, elija Acciones de la política y, a continuación, elija Asociar. Active la casilla situada junto al grupo o el usuario de IAM de destino y, a continuación, seleccione Asociar política. Repita esta operación para las políticas denominadas AmazonS3ReadOnlyAccess e IAMFullAccess.

    • Si desea agregar permisos de acceso a CodeBuild para todo excepto para la administración del proyecto de compilación, seleccione la casilla AWSCodeBuildDeveloperAccess, seleccione Acciones de la política y, a continuación, Asociar. Active la casilla situada junto al grupo o el usuario de IAM de destino y, a continuación, seleccione Asociar política. Repita esta operación para la política AmazonS3ReadOnlyAccess.

    • Para añadir permisos de solo lectura a CodeBuild, active las casillas AWSCodeBuildReadOnlyAccess. Active la casilla situada junto al grupo o el usuario de IAM de destino y, a continuación, seleccione Asociar política. Repita esta operación para la política AmazonS3ReadOnlyAccess.

    Ahora ha añadido un conjunto predeterminado de permisos de acceso de CodeBuild a un grupo o a un usuario de IAM. Omita el resto de los pasos de este procedimiento.

  4. Seleccione Crear política.

  5. En la página Create Policy, junto a Create Your Own Policy, elija Select.

  6. En la página Review Policy (Revisar política), en Policy Name (Nombre de política), escriba un nombre para la política (por ejemplo, CodeBuildAccessPolicy). Si elige otro nombre, no olvide utilizarlo durante todo este procedimiento.

  7. En Policy Document (Documento de la política), escriba lo siguiente y elija Create Policy (Crear política).

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeBuildAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "codebuild:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeBuildRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/role-name"
    },
    {
      "Sid": "CloudWatchLogsAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3AccessPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:GetObject",
        "s3:List*",
        "s3:PutObject"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3BucketIdentity",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}
    nota

    Esta política permite el acceso a todas las acciones de CodeBuild y a un número potencialmente grande de recursos de AWS. Para restringir los permisos a acciones de CodeBuild específicas, cambie el valor de codebuild:* en la instrucción de política de CodeBuild. Para obtener más información, consulte Administración de identidades y accesos. Para restringir el acceso a recursos de AWS específicos, cambie el valor del objeto Resource. Para obtener más información, consulte Administración de identidades y accesos.

  8. En el panel de navegación, elija Groups o Users.

  9. En la lista de grupos o usuarios, elija el nombre del grupo o el usuario de IAM al que desea añadir permisos de acceso de CodeBuild.

  10. Si se trata de un grupo, en la página de configuración del grupo, en la pestaña Permissions (Permisos), expanda Managed Policies (Políticas administradas) y elija Attach Policy (Asociar política).

    Para un usuario, en la página de configuración del usuario, en la pestaña Permissions, seleccione Add permissions.

  11. En un grupo, en la página Asociar política, seleccione CodeBuildAccessPolicy y haga clic en Asociar política.

    Para un usuario, en la página Añadir permisos, elija Asociar políticas existentes directamente. Seleccione AccessCodeBuildAccessPolicy, Siguiente: revisión y Añadir permisos.

Para añadir permisos de acceso de CodeBuild a un grupo o a un usuario de IAM (AWS CLI)

  1. Asegúrese de que ha configurado la AWS CLI con la clave de acceso de AWS y la clave de acceso secreta de AWS correspondientes a alguna de las entidades de IAM, tal y como se ha descrito en el procedimiento anterior. Para obtener más información, consulte Configuración inicial de la AWS Command Line Interface en la Guía del usuario de AWS Command Line Interface.

  2. Para agregar un conjunto personalizado de permisos de acceso de AWS CodeBuild a un grupo o un usuario de IAM, vaya al paso 3 de este procedimiento.

    Para añadir un conjunto predeterminado de permisos de acceso de CodeBuild a un grupo o usuario de IAM, haga lo siguiente:

    Ejecute uno de los comandos siguientes, en función de si desea añadir permisos a un usuario o un grupo de IAM:

    aws iam attach-group-policy --group-name group-name --policy-arn policy-arn

aws iam attach-user-policy --user-name user-name --policy-arn policy-arn

    Debe ejecutar el comando tres veces, reemplazando group-name o user-name por el nombre del grupo o de usuario de IAM, y reemplazando policy-arn una vez por cada uno de los siguientes nombres de recursos de Amazon (ARN) de políticas:

    • Para añadir permisos de acceso completos a CodeBuild, use los ARN de política siguientes:

      • arn:aws:iam::aws:policy/AWSCodeBuildAdminAccess

      • arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

      • arn:aws:iam::aws:policy/IAMFullAccess

    • Para añadir permisos de acceso a CodeBuild para todo excepto para administrar proyectos de compilación, use los ARN de política siguientes:

      • arn:aws:iam::aws:policy/AWSCodeBuildDeveloperAccess

      • arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

    • Para añadir permisos de acceso de solo lectura a CodeBuild, use los ARN de política siguientes:

      • arn:aws:iam::aws:policy/AWSCodeBuildReadOnlyAccess

      • arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

    Ahora ha añadido un conjunto predeterminado de permisos de acceso de CodeBuild a un grupo o a un usuario de IAM. Omita el resto de los pasos de este procedimiento.

  3. En un directorio vacío de la estación de trabajo o la instancia local en la que esté instalada la AWS CLI, cree un archivo denominado put-group-policy.json o put-user-policy.json. Si elige otro nombre de archivo, no olvide utilizarlo durante todo este procedimiento.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeBuildAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "codebuild:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeBuildRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/role-name"
    },
    {
      "Sid": "CloudWatchLogsAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3AccessPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:GetObject",
        "s3:List*",
        "s3:PutObject"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3BucketIdentity",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}
    nota

    Esta política permite el acceso a todas las acciones de CodeBuild y a un número potencialmente grande de recursos de AWS. Para restringir los permisos a acciones de CodeBuild específicas, cambie el valor de codebuild:* en la instrucción de política de CodeBuild. Para obtener más información, consulte Administración de identidades y accesos. Para restringir el acceso a recursos de AWS específicos, cambie el valor del objeto Resource relacionado. Para obtener más información, consulte Administración de identidades y accesos o la documentación de seguridad del servicio de AWS específico.

  4. Cambie al directorio donde ha guardado el archivo y, a continuación, ejecute uno de los siguientes comandos. Puede utilizar diferentes valores para CodeBuildGroupAccessPolicy y CodeBuildUserAccessPolicy. Si emplea valores diferentes, asegúrese de usarlos aquí.

    Para un grupo de IAM:

    aws iam put-group-policy --group-name group-name --policy-name CodeBuildGroupAccessPolicy --policy-document file://put-group-policy.json

    Para un usuario de :

    aws iam put-user-policy --user-name user-name --policy-name CodeBuildUserAccessPolicy --policy-document file://put-user-policy.json

    En los comandos anteriores, sustituya group-name o user-name por el nombre de grupo o de usuario de IAM de destino.