Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des identités et des accès dans AWS CodeBuild
L'accès à AWS CodeBuild nécessite des informations d'identification. Ces informations d'identification doivent être autorisées à accéder aux AWS ressources, telles que le stockage et la récupération d'artefacts de build dans des compartiments S3 et la consultation d'Amazon CloudWatch Logs pour les builds. Les sections suivantes décrivent comment vous pouvez utiliser [Gestion des identités et des accès AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)(IAM) et comment CodeBuild sécuriser l'accès à vos ressources :
# Vue d'ensemble de la gestion des autorisations d'accès à vos AWS CodeBuild ressources
Chaque AWS ressource appartient à un AWS compte, et les autorisations de création ou d'accès à une ressource sont régies par des politiques d'autorisation. Un compte administrateur peut attacher des politiques d'autorisations à des identités IAM (c'est-à-dire des utilisateurs, des groupes et des rôles).
**Note**
Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d’administrateur. Pour plus d'informations, consultez [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l'utilisateur IAM*.
Lorsque vous accordez des autorisations, vous décidez qui obtient les autorisations, les ressources auxquelles elles peuvent accéder et les actions pouvant être effectuées sur ces ressources.
**Topics**
+ [AWS CodeBuild ressources et opérations](#arn-formats)
+ [Présentation de la propriété des ressources](#understanding-resource-ownership)
+ [Gestion de l’accès aux ressources](#managing-access-resources)
+ [Spécification des éléments d'une politique : actions, effets et mandataires](#actions-effects-principals)
## AWS CodeBuild ressources et opérations
Dans AWS CodeBuild, la ressource principale est un projet de construction. Dans une stratégie, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la stratégie s'applique. Les builds sont également des ressources auxquelles ils sont ARNs associés. Pour plus d'informations, consultez [Amazon Resource Names (ARN) et AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) dans le *Référence générale d'Amazon Web Services*.
| Type de ressource | Format ARN |
| --- | --- |
| Génération de projet | `arn:aws:codebuild:region-ID:account-ID:project/project-name` |
| Génération | `arn:aws:codebuild:region-ID:account-ID:build/build-ID` |
| Groupe de rapports | arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name |
| Rapport | arn:aws:codebuild:region-ID:account-ID:report/report-ID |
| Flotte | `arn:aws:codebuild:region-ID:account-ID:fleet/fleet-ID` |
| Toutes les CodeBuild ressources | `arn:aws:codebuild:*` |
| Toutes les CodeBuild ressources détenues par le compte spécifié dans la AWS région spécifiée | `arn:aws:codebuild:region-ID:account-ID:*` |
**Important**
Lorsque vous utilisez la fonctionnalité de capacité réservée, les données mises en cache sur les instances de flotte, y compris les fichiers source, les couches Docker et les répertoires mis en cache spécifiés dans les spécifications de construction, peuvent être accessibles aux autres projets du même compte. Cela est intentionnel et permet aux projets au sein d'un même compte de partager des instances de flotte.
**Note**
La plupart AWS des services considèrent les deux points (:)) ou les barres obliques (/) comme le même caractère dans ARNs. Cependant, CodeBuild utilise une correspondance exacte dans les modèles de ressources et les règles. Veillez à utiliser les caractères corrects lors de la création de modèles d'événements, afin qu'ils correspondent à la syntaxe ARN de la ressource.
Par exemple, vous pouvez indiquer un projet de construction spécifique (*myBuildProject*) dans votre instruction en utilisant son ARN comme suit :
```
"Resource": "arn:aws:codebuild:us-east-2:123456789012:project/myBuildProject"
```
Pour spécifier toutes les ressources, ou si une action d'API n'est pas compatible ARNs, utilisez le caractère générique (\$1) dans l'`Resource`élément comme suit :
```
"Resource": "*"
```
Certaines actions CodeBuild d'API acceptent plusieurs ressources (par exemple,`BatchGetProjects`). Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules, comme suit :
```
"Resource": [
"arn:aws:codebuild:us-east-2:123456789012:project/myBuildProject",
"arn:aws:codebuild:us-east-2:123456789012:project/myOtherBuildProject"
]
```
CodeBuild fournit un ensemble d'opérations permettant de travailler avec les CodeBuild ressources. Pour en obtenir la liste, consultez [AWS CodeBuild référence aux autorisations](auth-and-access-control-permissions-reference.md).
## Présentation de la propriété des ressources
Le AWS compte possède les ressources créées dans le compte, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire de la ressource est le AWS compte de l'[entité principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (c'est-à-dire le compte root, un utilisateur ou un rôle IAM) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne :
+ Si vous utilisez les informations d'identification du compte root de votre AWS compte pour créer une règle, votre AWS compte est le propriétaire de la CodeBuild ressource.
+ Si vous créez un utilisateur dans votre AWS compte et que vous accordez l'autorisation de créer CodeBuild des ressources à cet utilisateur, celui-ci peut créer CodeBuild des ressources. Cependant, votre AWS compte, auquel appartient l'utilisateur, est propriétaire des CodeBuild ressources.
+ Si vous créez un rôle IAM dans votre AWS compte avec les autorisations nécessaires pour créer CodeBuild des ressources, toute personne pouvant assumer ce rôle peut créer des CodeBuild ressources. Votre AWS compte, auquel appartient le rôle, est propriétaire des CodeBuild ressources.
## Gestion de l’accès aux ressources
Une politique d'autorisations décrit qui a accès à quelles ressources.
**Note**
Cette section décrit l'utilisation d'IAM dans AWS CodeBuild. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour une documentation complète sur IAM, consultez [Qu'est-ce que IAM ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dans le *Guide de l'utilisateur IAM*. Pour plus d'informations sur la syntaxe et les descriptions des stratégies IAM, consultez [Référence de stratégie AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le *Guide de l'utilisateur IAM*.
Les politiques attachées à une identité IAM sont appelées des politiques basées sur l'identité (politiques IAM). Les politiques associées à une ressource sont appelées politiques basées sur les ressources. CodeBuild prend en charge les politiques basées sur l'identité et les politiques basées sur les ressources pour certaines applications en lecture seule à des fins de APIs partage de ressources entre comptes.
### Accès sécurisé aux compartiments S3
Nous vous recommandons vivement d'inclure les autorisations suivantes dans votre rôle IAM afin de vérifier que le compartiment S3 associé à votre CodeBuild projet est votre propriété ou celle d'une personne de confiance. Ces autorisations ne sont pas incluses dans les politiques et les rôles AWS gérés. Vous devez les ajouter vous-même.
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
Si le propriétaire d'un compartiment S3 utilisé par votre projet change, vous devez vérifier que vous êtes toujours propriétaire du compartiment et mettre à jour les autorisations dans votre rôle IAM dans le cas contraire. Pour plus d’informations, consultez [Permettre aux utilisateurs d'interagir avec CodeBuild](setting-up-service-permissions-group.md) et [CodeBuild Autoriser l'interaction avec d'autres AWS services](setting-up-service-role.md).
## Spécification des éléments d'une politique : actions, effets et mandataires
Pour chaque AWS CodeBuild ressource, le service définit un ensemble d'opérations d'API. Pour accorder des autorisations pour ces opérations d'API CodeBuild , définissez un ensemble d'actions que vous pouvez spécifier dans une politique. Certaines opérations d'API peuvent exiger des autorisations pour plusieurs actions afin de réaliser l'opération d'API. Pour plus d’informations, consultez [AWS CodeBuild ressources et opérations](#arn-formats) et [AWS CodeBuild référence aux autorisations](auth-and-access-control-permissions-reference.md).
Voici les éléments de base d'une politique :
+ **Ressource :** vous utilisez un nom Amazon Resource Name (ARN) pour identifier la ressource à laquelle s'applique la politique.
+ **Action** : vous utilisez des mots clés d'action pour identifier les opérations sur les ressources que vous souhaitez autoriser ou refuser. Par exemple, l'autorisation `codebuild:CreateProject` autorise l'utilisateur à effectuer l'opération `CreateProject`.
+ **Effet** : vous spécifiez l'effet, qu'il s'agisse d'autoriser ou de refuser, lorsque l'utilisateur demande l'action. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez également explicitement refuser l’accès à une ressource. Vous pouvez le faire afin de vous assurer qu'un utilisateur n'y a pas accès, même si une stratégie différente accorde cet accès.
+ **Principal** — Dans les politiques basées sur l'identité (politiques IAM), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l'utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations.
Pour en savoir plus sur la syntaxe des stratégies IAM et pour obtenir des descriptions, consultez [Référence de stratégie IAM AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le *Guide de l'utilisateur IAM*.
Pour un tableau présentant toutes les actions d' CodeBuild API et les ressources auxquelles elles s'appliquent, consultez le[AWS CodeBuild référence aux autorisations](auth-and-access-control-permissions-reference.md).
# Utilisation de politiques basées sur l'identité pour AWS CodeBuild
Cette rubrique fournit des exemples de stratégies basées sur l'identité qui montrent comment un administrateur de compte peut lier des stratégies d'autorisations à des identités IAM (autrement dit, des utilisateurs, des groupes et des rôles) et accorder ainsi des autorisations pour effectuer des opérations sur les ressources AWS CodeBuild .
**Important**
Nous vous recommandons de consulter d'abord les rubriques d'introduction qui expliquent les concepts de base et les options disponibles pour gérer l'accès à vos CodeBuild ressources. Pour de plus amples informations, veuillez consulter [Vue d'ensemble de la gestion des autorisations d'accès à vos AWS CodeBuild ressources](auth-and-access-control-iam-access-control-identity-based.md).
**Topics**
+ [Autorisations requises pour utiliser la AWS CodeBuild console](#console-permissions)
+ [Autorisations requises pour se connecter AWS CodeBuild à Amazon Elastic Container Registry](#ecr-policies)
+ [Autorisations requises pour que la AWS CodeBuild console puisse se connecter aux fournisseurs de sources](#console-policies)
+ [AWS politiques gérées (prédéfinies) pour AWS CodeBuild](#managed-policies)
+ [CodeBuild politiques et notifications gérées](#notifications-permissions)
+ [CodeBuild mises à jour des politiques AWS gérées](#security-iam-awsmanpol-updates)
+ [Exemples de politiques gérées par le client](#customer-managed-policies)
Voici un exemple de stratégie d'autorisations qui autorise un utilisateur à obtenir des informations sur des projets de génération uniquement dans la région `us-east-2` pour le compte `123456789012` pour tout projet de génération dont le nom commence par `my` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchGetProjects",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/my*"
}
]
}
```
------
## Autorisations requises pour utiliser la AWS CodeBuild console
Un utilisateur qui utilise la AWS CodeBuild console doit disposer d'un ensemble minimal d'autorisations lui permettant de décrire les autres AWS ressources du AWS compte. Vous devez détenir les autorisations des services suivants :
+ AWS CodeBuild
+ Amazon CloudWatch
+ CodeCommit (si vous stockez votre code source dans un AWS CodeCommit dépôt)
+ Amazon Elastic Container Registry (Amazon ECR) (si vous utilisez un environnement de construction qui repose sur une image Docker dans un référentiel Amazon ECR)
**Note**
Depuis le 26 juillet 2022, la politique IAM par défaut a été mise à jour. Pour de plus amples informations, veuillez consulter [Autorisations requises pour se connecter AWS CodeBuild à Amazon Elastic Container Registry](#ecr-policies).
+ Amazon Elastic Container Service (Amazon ECS) (si vous utilisez un environnement de construction qui repose sur une image Docker dans un référentiel Amazon ECR)
+ Gestion des identités et des accès AWS (JE SUIS)
+ AWS Key Management Service (AWS KMS)
+ Amazon Simple Storage Service (Amazon S3)
Si vous créez une politique IAM plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu.
## Autorisations requises pour se connecter AWS CodeBuild à Amazon Elastic Container Registry
Depuis le 26 juillet 2022, AWS CodeBuild a mis à jour sa politique IAM par défaut pour les autorisations Amazon ECR. Les autorisations suivantes ont été supprimées de la politique par défaut :
```
"ecr:PutImage",
"ecr:InitiateLayerUpload",
"ecr:UploadLayerPart",
"ecr:CompleteLayerUpload"
```
Pour les CodeBuild projets créés avant le 26 juillet 2022, nous vous recommandons de mettre à jour votre politique avec la politique Amazon ECR suivante :
```
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
]
```
Pour plus d'informations sur la mise à jour de votre politique, consultez[Permettre aux utilisateurs d'interagir avec CodeBuild](setting-up-service-permissions-group.md).
## Autorisations requises pour que la AWS CodeBuild console puisse se connecter aux fournisseurs de sources
La AWS CodeBuild console utilise les actions d'API suivantes pour se connecter aux fournisseurs de sources (par exemple, les GitHub référentiels).
+ `codebuild:ListConnectedOAuthAccounts`
+ `codebuild:ListRepositories`
+ `codebuild:PersistOAuthToken`
+ `codebuild:ImportSourceCredentials`
Vous pouvez associer des fournisseurs de sources (tels que GitHub des référentiels) à vos projets de génération à l'aide de la AWS CodeBuild console. Pour ce faire, vous devez d'abord ajouter les actions d'API précédentes aux politiques d'accès IAM associées à l'utilisateur que vous utilisez pour accéder à la AWS CodeBuild console.
Les actions d'API `ListConnectedOAuthAccounts`, `ListRepositories` et `PersistOAuthToken` ne sont pas conçues pour être appelées par votre code. Par conséquent, ces actions d'API ne sont pas incluses dans le AWS CLI et AWS SDKs.
## AWS politiques gérées (prédéfinies) pour AWS CodeBuild
AWS répond à de nombreux cas d'utilisation courants en fournissant des politiques IAM autonomes créées et administrées par. AWS Ces politiques AWS gérées accordent les autorisations nécessaires pour les cas d'utilisation courants afin que vous n'ayez pas à rechercher les autorisations nécessaires. Les politiques gérées fournissent CodeBuild également des autorisations pour effectuer des opérations dans d'autres services, tels que IAM AWS CodeCommit, Amazon EC2, Amazon ECR, Amazon SNS et CloudWatch Amazon Events, conformément aux responsabilités des utilisateurs auxquels la politique en question a été accordée. Par exemple, il s'agit d'une `AWSCodeBuildAdminAccess` politique utilisateur de niveau administratif qui permet aux utilisateurs dotés de cette politique de créer et de gérer des règles relatives aux CloudWatch événements pour les versions de projets et des rubriques Amazon SNS pour les notifications relatives aux événements liés au projet (sujets dont les noms sont préfixés par`arn:aws:codebuild:`), ainsi que d'administrer des projets et des groupes de rapports dans. CodeBuild Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
Les politiques AWS gérées suivantes, que vous pouvez associer aux utilisateurs de votre compte, sont spécifiques à AWS CodeBuild.
**AWSCodeBuildAdminAccess**
Fournit un accès complet CodeBuild , y compris les autorisations pour administrer les projets de CodeBuild construction.
**AWSCodeBuildDeveloperAccess**
Permet d'accéder à l'administration du projet de build, CodeBuild mais ne l'autorise pas.
**AWSCodeBuildReadOnlyAccess**
Fournit un accès en lecture seule à. CodeBuild
Pour accéder aux artefacts de sortie de build CodeBuild créés, vous devez également joindre la politique AWS gérée nommée`AmazonS3ReadOnlyAccess`.
Pour créer et gérer des rôles de CodeBuild service, vous devez également associer la politique AWS gérée nommée`IAMFullAccess`.
Vous pouvez également créer vos propres politiques IAM personnalisées afin d'accorder des autorisations pour les actions et les ressources CodeBuild. Vous pouvez attacher ces stratégies personnalisées aux utilisateurs ou groupes qui nécessitent ces autorisations.
**Topics**
+ [AWSCodeBuildAdminAccess](#admin-access-policy)
+ [AWSCodeBuildDeveloperAccess](#developer-access-policy)
+ [AWSCodeBuildReadOnlyAccess](#read-only-access-policy)
### AWSCodeBuildAdminAccess
La `AWSCodeBuildAdminAccess` politique fournit un accès complet aux projets de CodeBuild construction CodeBuild, y compris les autorisations nécessaires à leur administration. Appliquez cette politique uniquement aux utilisateurs de niveau administratif afin de leur accorder un contrôle total sur les CodeBuild projets, les groupes de rapports et les ressources associées de votre AWS compte, y compris la possibilité de supprimer des projets et des groupes de rapports.
Pour la stratégie entièrement gérée, voir la référence [ AWSCodeBuildAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeBuildAdminAccess.html)des politiques gérées par IAM.
### AWSCodeBuildDeveloperAccess
La `AWSCodeBuildDeveloperAccess` politique permet d'accéder à toutes les fonctionnalités et aux ressources liées aux projets CodeBuild et aux groupes de rapports. Cette politique n'autorise pas les utilisateurs à supprimer CodeBuild des projets, des groupes de rapports ou des ressources connexes dans d'autres AWS services, tels que CloudWatch les événements. Nous vous recommandons d'appliquer cette stratégie à la plupart des utilisateurs.
Pour la stratégie entièrement gérée, voir la référence [ AWSCodeBuildDeveloperAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeBuildDeveloperAccess.html)des politiques gérées par IAM.
### AWSCodeBuildReadOnlyAccess
La `AWSCodeBuildReadOnlyAccess` politique accorde un accès en lecture seule aux CodeBuild ressources associées dans d'autres AWS services. Appliquez cette stratégie aux utilisateurs qui peuvent afficher et exécuter des builds, afficher des projets et afficher des groupes de rapports, mais qui ne peuvent pas y apporter de modifications.
Pour la stratégie entièrement gérée, voir la référence [ AWSCodeBuildReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeBuildReadOnlyAccess.xml)des politiques gérées par IAM.
## CodeBuild politiques et notifications gérées
CodeBuild prend en charge les notifications, qui peuvent informer les utilisateurs des modifications importantes apportées aux projets de construction. Les politiques gérées CodeBuild incluent des déclarations de politique relatives à la fonctionnalité de notification. Pour plus d'informations, consultez [En quoi consistent les notifications ?](https://docs.aws.amazon.com/codestar-notifications/latest/userguide/welcome.html)
### Autorisations liées aux notifications dans les stratégies gérées en lecture seule
La stratégie gérée `AWSCodeBuildReadOnlyAccess` inclut les déclarations suivantes pour autoriser l'accès en lecture seule aux notifications. Les utilisateurs auxquels s’applique cette stratégie gérée peuvent voir des notifications pour les ressources, mais ne peuvent ni les créer, ni les gérer ni s'y abonner.
```
{
"Sid": "CodeStarNotificationsPowerUserAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:DescribeNotificationRule"
],
"Resource": "*",
"Condition" : {
"ArnLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codebuild:*:*:project/*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListEventTypes",
"codestar-notifications:ListTargets"
],
"Resource": "*"
}
```
### Autorisations liées aux notifications dans d'autres stratégies gérées
La stratégie gérée `AWSCodeBuildDeveloperAccess` inclut les déclarations suivantes pour autoriser les utilisateurs à créer et modifier des notifications, et s'y abonner. Les utilisateurs ne peuvent pas supprimer les règles de notification ni gérer les balises pour les ressources.
```
{
"Sid": "CodeStarNotificationsReadWriteAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe"
],
"Resource": "*",
"Condition" : {
"ArnLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codebuild:*:*:project/*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource",
"codestar-notifications:ListEventTypes"
],
"Resource": "*"
},
{
"Sid": "SNSTopicListAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "CodeStarNotificationsChatbotAccess",
"Effect": "Allow",
"Action": [
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:ListMicrosoftTeamsChannelConfigurations"
],
"Resource": "*"
}
```
Pour plus d'informations sur l'IAM et les notifications, voir [Identity and Access ManagementAWS CodeStarNotifications](https://docs.aws.amazon.com/codestar-notifications/latest/userguide/security-iam.html).
## CodeBuild mises à jour des politiques AWS gérées
Consultez les détails des mises à jour des politiques AWS gérées CodeBuild depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au fil RSS sur[AWS CodeBuild Historique du document du guide de l'utilisateur](history.md).
| Modifier | Description | Date |
| --- | --- | --- |
| `AWSCodeBuildAdminAccess`et `AWSCodeBuildDeveloperAccess` — Mise à jour des politiques existantes | CodeBuild a ajouté l'`ssmmessages:OpenDataChannel`autorisation à ces politiques pour prendre en charge le débogage interactif des versions de Session Manager. Les `AWSCodeBuildDeveloperAccess` politiques `AWSCodeBuildAdminAccess` et incluent désormais l'`ssmmessages:OpenDataChannel`action permettant aux ressources de session du gestionnaire de session (`arn:aws:ssm:*:*:session/*`) de prendre en charge l'application du protocole SigV4 sur cette WebSocket API. | 1er décembre 2025 |
| `AWSCodeBuildAdminAccess`,`AWSCodeBuildDeveloperAccess`, et `AWSCodeBuildReadOnlyAccess` — Mise à jour des politiques existantes | CodeBuild a mis à jour une ressource relative à ces politiques. Les `AWSCodeBuildReadOnlyAccess` politiques `AWSCodeBuildAdminAccess``AWSCodeBuildDeveloperAccess`,, et ont été modifiées pour mettre à jour une ressource existante. La ressource d'origine `arn:aws:codebuild:*` a été mise à jour vers`arn:aws:codebuild:*:*:project/*`. | 15 novembre 2024 |
| `AWSCodeBuildAdminAccess`,`AWSCodeBuildDeveloperAccess`, et `AWSCodeBuildReadOnlyAccess` — Mise à jour des politiques existantes | CodeBuild a ajouté une ressource à ces politiques pour soutenir le changement de AWS CodeConnections marque. Les `AWSCodeBuildReadOnlyAccess` politiques `AWSCodeBuildAdminAccess``AWSCodeBuildDeveloperAccess`,, et ont été modifiées pour ajouter une ressource,`arn:aws:codeconnections:*:*:*`. | 18 avril 2024 |
| `AWSCodeBuildAdminAccess`et `AWSCodeBuildDeveloperAccess` — Mise à jour des politiques existantes | CodeBuild a ajouté une autorisation à ces politiques pour prendre en charge un type de notification supplémentaire utilisant Amazon Q Developer dans les applications de chat. Les `AWSCodeBuildDeveloperAccess` politiques `AWSCodeBuildAdminAccess` et ont été modifiées pour ajouter une autorisation,`chatbot:ListMicrosoftTeamsChannelConfigurations`. | 16 mai 2023 |
| CodeBuild a commencé à suivre les modifications | CodeBuild a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 16 mai 2021 |
## Exemples de politiques gérées par le client
Dans cette section, vous trouverez des exemples de stratégies utilisateur qui accordent des autorisations pour des actions AWS CodeBuild . Ces politiques fonctionnent lorsque vous utilisez l' CodeBuild API AWS SDKs, ou AWS CLI. Lorsque vous utilisez la console, vous devez accorder des autorisations supplémentaires spécifiques à la console. Pour plus d'informations, consultez [Autorisations requises pour utiliser la AWS CodeBuild console](#console-permissions).
Vous pouvez utiliser les exemples de politiques IAM suivants pour limiter l' CodeBuild accès de vos utilisateurs et de vos rôles.
**Topics**
+ [Autorisation d'un utilisateur à obtenir des informations sur les projets de génération](#customer-managed-policies-example-batch-get-projects)
+ [Autoriser un utilisateur à obtenir des informations sur les flottes](#customer-managed-policies-get-information-about-fleets)
+ [Autorisation d'un utilisateur à obtenir des informations sur les groupes de rapports](#customer-managed-policies-get-information-about-report-group)
+ [Autorisation d'un utilisateur à obtenir des informations sur les rapports](#customer-managed-policies-get-information-about-reports)
+ [Autorisation d'un utilisateur à créer des projets de génération](#customer-managed-policies-example-create-project)
+ [Autoriser un utilisateur à créer une flotte](#customer-managed-policies-example-create-fleet)
+ [Autorisation d'un utilisateur à créer un groupe de rapports](#customer-managed-policies-example-create-report-group)
+ [Autoriser un utilisateur à supprimer une flotte](#customer-managed-policies-example-delete-fleet)
+ [Autorisation d'un utilisateur à supprimer un groupe de rapports](#customer-managed-policies-example-delete-report-group)
+ [Autorisation d'un utilisateur à supprimer un rapport](#customer-managed-policies-example-delete-report)
+ [Autorisation d'un utilisateur à supprimer des projets de génération](#customer-managed-policies-example-delete-project)
+ [Autorisation d'un utilisateur à obtenir une liste de noms de projet de génération](#customer-managed-policies-example-list-projects)
+ [Autorisation d'un utilisateur à modifier des informations sur les projets de génération](#customer-managed-policies-example-update-project)
+ [Autoriser un utilisateur à modifier une flotte](#customer-managed-policies-example-change-fleet)
+ [Autorisation d'un utilisateur à modifier un groupe de rapports](#customer-managed-policies-example-change-report-group)
+ [Autorisation d'un utilisateur à obtenir des informations sur les générations](#customer-managed-policies-example-batch-get-builds)
+ [Autoriser un utilisateur à obtenir une liste des versions IDs pour un projet de construction](#customer-managed-policies-example-list-builds-for-project)
+ [Autoriser un utilisateur à obtenir une liste de versions IDs](#customer-managed-policies-example-list-builds)
+ [Autoriser un utilisateur à obtenir une liste de flottes](#customer-managed-policies-example-get-list-of-fleets)
+ [Autorisation d'un utilisateur à obtenir une liste de groupes de rapports](#customer-managed-policies-example-get-list-of-report-groups)
+ [Autorisation d'un utilisateur à obtenir une liste de rapports](#customer-managed-policies-example-get-list-of-reports)
+ [Autorisation d'un utilisateur à obtenir une liste de rapports pour un groupe de rapports](#customer-managed-policies-example-get-list-of-reports-for-report-group)
+ [Autorisation d'un utilisateur à obtenir une liste de cas de test pour un rapport](#customer-managed-policies-example-get-list-of-test-cases-for-report)
+ [Autorisation d'un utilisateur à démarrer l'exécution de générations](#customer-managed-policies-example-start-build)
+ [Autorisation d'un utilisateur à tenter d'arrêter des générations](#customer-managed-policies-example-stop-build)
+ [Autorisation d'un utilisateur à tenter de supprimer des générations](#customer-managed-policies-example-delete-builds)
+ [Permettre à un utilisateur d'obtenir des informations sur les images Docker gérées par CodeBuild](#customer-managed-policies-example-list-curated-environment-images)
+ [Autoriser un utilisateur à ajouter une politique d'autorisation pour un rôle de service de flotte](#customer-managed-policies-example-permission-policy-fleet-service-role)
+ [Autoriser CodeBuild l'accès aux AWS services requis pour créer une interface réseau VPC](#customer-managed-policies-example-create-vpc-network-interface)
+ [Utilisez une déclaration de refus pour éviter AWS CodeBuild de vous déconnecter des fournisseurs de sources](#customer-managed-policies-example-deny-disconnect)
### Autorisation d'un utilisateur à obtenir des informations sur les projets de génération
L'exemple de déclaration de stratégie suivant autorise un utilisateur à obtenir des informations sur des projets de génération dans la région `us-east-2` pour le compte `123456789012` pour tout projet de génération dont le nom commence par `my` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchGetProjects",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/my*"
}
]
}
```
------
### Autoriser un utilisateur à obtenir des informations sur les flottes
L'exemple de déclaration de politique suivant permet à un utilisateur d'obtenir des informations sur les flottes de la `us-east-2` région pour créer un compte `123456789012` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchGetFleets",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:fleet/*"
}
]
}
```
------
### Autorisation d'un utilisateur à obtenir des informations sur les groupes de rapports
L'exemple de déclaration de stratégie suivant permet à un utilisateur d'obtenir des informations sur les groupes de rapports dans la région `us-east-2` du compte `123456789012` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchGetReportGroups",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Autorisation d'un utilisateur à obtenir des informations sur les rapports
L'exemple de déclaration de stratégie suivant permet à un utilisateur d'obtenir des informations sur les rapports dans la région `us-east-2` pour le compte `123456789012` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchGetReports",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Autorisation d'un utilisateur à créer des projets de génération
L'exemple de déclaration de politique suivant permet à un utilisateur de créer des projets de construction avec n'importe quel nom, mais uniquement dans la `us-east-2` région pour le compte `123456789012` et en utilisant uniquement le rôle de CodeBuild service spécifié :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:CreateProject",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/CodeBuildServiceRole"
}
]
}
```
------
L'exemple de déclaration de politique suivant permet à un utilisateur de créer des projets de construction avec n'importe quel nom, mais uniquement dans la `us-east-2` région pour le compte `123456789012` et en utilisant uniquement le rôle de CodeBuild service spécifié. Cela garantit également que l'utilisateur ne peut utiliser le rôle de service spécifié qu'avec d'autres services AWS CodeBuild et non avec d'autres AWS services.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:CreateProject",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/CodeBuildServiceRole",
"Condition": {
"StringEquals": {"iam:PassedToService": "codebuild.amazonaws.com"}
}
}
]
}
```
------
### Autoriser un utilisateur à créer une flotte
L'exemple de déclaration de politique suivant permet à un utilisateur de créer une flotte dans la `us-east-2` région pour créer un compte `123456789012` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:CreateFleet",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:fleet/*"
}
]
}
```
------
### Autorisation d'un utilisateur à créer un groupe de rapports
L'exemple suivant d'instruction de stratégie permet à un utilisateur de créer un groupe de rapports dans la région `us-east-2` pour le compte `123456789012` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:CreateReportGroup",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Autoriser un utilisateur à supprimer une flotte
L'exemple de déclaration de politique suivant permet à un utilisateur de supprimer une flotte dans la `us-east-2` région pour créer un compte `123456789012` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:DeleteFleet",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:fleet/*"
}
]
}
```
------
### Autorisation d'un utilisateur à supprimer un groupe de rapports
L'exemple suivant d'instruction de stratégie permet à un utilisateur de supprimer un groupe de rapports dans la région `us-east-2` pour le compte `123456789012` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:DeleteReportGroup",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Autorisation d'un utilisateur à supprimer un rapport
L'exemple suivant d'instruction de stratégie permet à un utilisateur de supprimer un rapport dans la région `us-east-2` pour le compte `123456789012` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:DeleteReport",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Autorisation d'un utilisateur à supprimer des projets de génération
L'exemple de déclaration de stratégie suivant autorise un utilisateur à supprimer des projets de génération dans la région `us-east-2` pour le compte `123456789012` pour tout projet de génération dont le nom commence par `my` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:DeleteProject",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/my*"
}
]
}
```
------
### Autorisation d'un utilisateur à obtenir une liste de noms de projet de génération
L'exemple de déclaration de stratégie suivant autorise un utilisateur à obtenir une liste de noms de projet de génération pour le même compte :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListProjects",
"Resource": "*"
}
]
}
```
------
### Autorisation d'un utilisateur à modifier des informations sur les projets de génération
L'exemple de déclaration de stratégie suivant autorise un utilisateur à modifier les informations sur des projets de génération avec n'importe quel nom, mais uniquement dans la région `us-east-2` pour le compte `123456789012`, et à utiliser uniquement le rôle de service AWS CodeBuild spécifié :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:UpdateProject",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/CodeBuildServiceRole"
}
]
}
```
------
### Autoriser un utilisateur à modifier une flotte
L'exemple de déclaration de politique suivant permet à un utilisateur de modifier une flotte dans la `us-east-2` région pour créer un compte `123456789012` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:UpdateFleet",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:fleet/*"
}
]
}
```
------
### Autorisation d'un utilisateur à modifier un groupe de rapports
L'exemple suivant d'instruction de stratégie permet à un utilisateur de modifier un groupe de rapports dans la région `us-east-2` pour le compte `123456789012` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:UpdateReportGroup",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Autorisation d'un utilisateur à obtenir des informations sur les générations
L'exemple de déclaration de stratégie suivant autorise un utilisateur à obtenir des informations sur les générations dans la région `us-east-2` pour le compte `123456789012` pour les projets de génération nommés `my-build-project` et `my-other-build-project` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchGetBuilds",
"Resource": [
"arn:aws:codebuild:us-east-2:111122223333:project/my-build-project",
"arn:aws:codebuild:us-east-2:111122223333:project/my-other-build-project"
]
}
]
}
```
------
### Autoriser un utilisateur à obtenir une liste des versions IDs pour un projet de construction
L'exemple de déclaration de politique suivant permet à un utilisateur d'obtenir une liste des constructions IDs dans la `us-east-2` région `123456789012` pour tenir compte des projets de construction nommés `my-build-project` et `my-other-build-project` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListBuildsForProject",
"Resource": [
"arn:aws:codebuild:us-east-2:111122223333:project/my-build-project",
"arn:aws:codebuild:us-east-2:111122223333:project/my-other-build-project"
]
}
]
}
```
------
### Autoriser un utilisateur à obtenir une liste de versions IDs
L'exemple de déclaration de politique suivant permet à un utilisateur d'obtenir une liste de toutes les IDs versions pour le même compte :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListBuilds",
"Resource": "*"
}
]
}
```
------
### Autoriser un utilisateur à obtenir une liste de flottes
L'exemple de déclaration de politique suivant permet à un utilisateur d'obtenir une liste des flottes de la `us-east-2` région pour créer un compte `123456789012` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListFleets",
"Resource": "*"
}
]
}
```
------
### Autorisation d'un utilisateur à obtenir une liste de groupes de rapports
L'exemple de déclaration de stratégie suivant permet à un utilisateur d'obtenir une liste de groupes de rapports dans la région `us-east-2` pour le compte `123456789012` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListReportGroups",
"Resource": "*"
}
]
}
```
------
### Autorisation d'un utilisateur à obtenir une liste de rapports
L'exemple de déclaration de stratégie suivant permet à un utilisateur d'obtenir une liste de rapports dans la région `us-east-2` pour le compte `123456789012` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListReports",
"Resource": "*"
}
]
}
```
------
### Autorisation d'un utilisateur à obtenir une liste de rapports pour un groupe de rapports
L'exemple de déclaration de stratégie suivant permet à un utilisateur d'obtenir une liste de rapports pour un groupe de rapports dans la région `us-east-2` pour le compte `123456789012` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListReportsForReportGroup",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Autorisation d'un utilisateur à obtenir une liste de cas de test pour un rapport
L'exemple de déclaration de stratégie suivant permet à un utilisateur d'obtenir une liste de cas de test pour un rapport dans la région `us-east-2` pour le compte `123456789012` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:DescribeTestCases",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Autorisation d'un utilisateur à démarrer l'exécution de générations
L'exemple de déclaration de stratégie suivant autorise un utilisateur à exécuter des générations dans la région `us-east-2` pour le compte `123456789012` pour les projets de génération dont le nom commence par `my` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:StartBuild",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/my*"
}
]
}
```
------
### Autorisation d'un utilisateur à tenter d'arrêter des générations
L'exemple de déclaration de stratégie suivant autorise un utilisateur à tenter d'arrêter des générations uniquement dans la région `us-east-2` pour le compte `123456789012` pour tout projet de génération dont le nom commence par `my` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:StopBuild",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/my*"
}
]
}
```
------
### Autorisation d'un utilisateur à tenter de supprimer des générations
L'exemple de déclaration de stratégie suivant autorise un utilisateur à tenter de supprimer des générations uniquement dans la région `us-east-2` pour le compte `123456789012` pour tout projet de génération dont le nom commence par `my` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchDeleteBuilds",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/my*"
}
]
}
```
------
### Permettre à un utilisateur d'obtenir des informations sur les images Docker gérées par CodeBuild
L'exemple de déclaration de stratégie suivant autorise un utilisateur à obtenir des informations sur toutes les images Docker gérées par CodeBuild :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListCuratedEnvironmentImages",
"Resource": "*"
}
]
}
```
------
### Autoriser un utilisateur à ajouter une politique d'autorisation pour un rôle de service de flotte
L'exemple de déclaration de politique de ressources suivant permet à un utilisateur d'ajouter une politique d'autorisation VPC pour un rôle de service de flotte :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CodeBuildFleetVpcCreateNI",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:us-west-2:111122223333:subnet/subnet-id-1",
"arn:aws:ec2:us-west-2:111122223333:security-group/security-group-id-1",
"arn:aws:ec2:us-west-2:111122223333:network-interface/*"
]
},
{
"Sid": "CodeBuildFleetVpcPermission",
"Effect": "Allow",
"Action": [
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DeleteNetworkInterface"
],
"Resource": "*"
},
{
"Sid": "CodeBuildFleetVpcNIPermission",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:us-west-2:111122223333:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:Subnet": [
"arn:aws:ec2:us-west-2:111122223333:subnet/subnet-id-1"
]
}
}
}
]
}
```
------
L'exemple de déclaration de politique de ressources suivant permet à un utilisateur d'ajouter une politique d'autorisation Amazon Managed Image (AMI) personnalisée pour un rôle de service de flotte :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeImages",
"Resource": "*"
}
]
}
```
------
L'exemple de déclaration de politique de confiance suivant permet à un utilisateur d'ajouter une politique d'autorisation pour un rôle de service de flotte :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CodeBuildFleetVPCTrustPolicy",
"Effect": "Allow",
"Principal": {
"Service": "codebuild.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
]
}
```
------
### Autoriser CodeBuild l'accès aux AWS services requis pour créer une interface réseau VPC
L'exemple de déclaration de politique suivant accorde AWS CodeBuild l'autorisation de créer une interface réseau dans un VPC avec deux sous-réseaux :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:us-west-2:111122223333:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:AuthorizedService": "codebuild.amazonaws.com"
},
"ArnEquals": {
"ec2:Subnet": [
"arn:aws:ec2:us-west-2:111122223333:subnet/subnet-id-1",
"arn:aws:ec2:us-west-2:111122223333:subnet/subnet-id-2"
]
}
}
}
]
}
```
------
### Utilisez une déclaration de refus pour éviter AWS CodeBuild de vous déconnecter des fournisseurs de sources
L'exemple de déclaration de stratégie suivant utilise une déclaration de refus pour empêcher AWS CodeBuild de se déconnecter des fournisseurs de source. Il utilise `codebuild:DeleteOAuthToken`, qui est l'inverse de `codebuild:PersistOAuthToken` et de `codebuild:ImportSourceCredentials`, pour se connecter aux fournisseurs de source. Pour de plus amples informations, veuillez consulter [Autorisations requises pour que la AWS CodeBuild console puisse se connecter aux fournisseurs de sources](#console-policies).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "codebuild:DeleteOAuthToken",
"Resource": "*"
}
]
}
```
------
# AWS CodeBuild référence aux autorisations
Vous pouvez utiliser des AWS clés de condition larges dans vos AWS CodeBuild polices pour exprimer des conditions. Pour obtenir une liste, consultez la section [Clés disponibles](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) dans le *guide de l'utilisateur IAM*.
Vous spécifiez les actions dans le champ `Action` de la politique. Pour spécifier une action, utilisez le préfixe `codebuild:` suivi du nom de l'opération d'API (par exemple, `codebuild:CreateProject` ou `codebuild:StartBuild`). Pour spécifier plusieurs actions dans une même instruction, séparez-les par une virgule (par exemple, `"Action": [ "codebuild:CreateProject", "codebuild:StartBuild" ]`).
**Utilisation de caractères génériques**
Vous spécifiez un ARN, avec ou sans caractère générique (\$1) comme valeur de ressource dans le champ `Resource` de la stratégie. Vous pouvez utiliser un caractère générique pour spécifier plusieurs actions ou ressources. Par exemple, `codebuild:*` spécifie toutes les CodeBuild actions et `codebuild:Batch*` indique toutes les CodeBuild actions commençant par le mot`Batch`. L'exemple suivant accorde l'accès à tous les projets de génération dont le nom commence par `my` :
```
arn:aws:codebuild:us-east-2:123456789012:project/my*
```CodeBuild Opérations d'API et autorisations requises pour les actions
BatchDeleteBuilds
**Action :** `codebuild:BatchDeleteBuilds`
Requise pour supprimer des générations
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
BatchGetBuilds
**Action :** `codebuild:BatchGetBuilds`
Requise pour obtenir des informations sur des générations.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
BatchGetProjects
**Action :** `codebuild:BatchGetProjects`
Requise pour obtenir des informations sur des projets de génération.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
BatchGetReportGroups
**Action :** `codebuild:BatchGetReportGroups`
Obligatoire pour obtenir des informations sur les groupes de rapports.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
BatchGetReports
**Action :** `codebuild:BatchGetReports`
Obligatoire pour obtenir des informations sur des générations.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
BatchPutTestCases¹
**Action :** `codebuild:BatchPutTestCases`
Obligatoire pour créer ou mettre à jour un rapport de test.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
CreateProject
**Actions :** `codebuild:CreateProject`, `iam:PassRole`
Requise pour créer des projets de génération.
**Ressources:**
+ `arn:aws:codebuild:region-ID:account-ID:project/project-name `
+ `arn:aws:iam::account-ID:role/role-name `
CreateReport¹
**Action :** `codebuild:CreateReport`
Obligatoire pour créer un rapport de test.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
CreateReportGroup
**Action :** `codebuild:CreateReportGroup`
Obligatoire pour créer un groupe de rapports.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
CreateWebhook
**Action :** `codebuild:CreateWebhook`
Requise pour créer un webhook.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
DeleteProject
**Action :** `codebuild:DeleteProject`
Nécessaire pour supprimer un CodeBuild projet.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
DeleteReport
**Action :** `codebuild:DeleteReport`
Obligatoire pour supprimer une règle.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
DeleteReportGroup
**Action :** `codebuild:DeleteReportGroup`
Obligatoire pour supprimer un groupe de rapports.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
DeleteSourceCredentials
**Action :** `codebuild:DeleteSourceCredentials`
Nécessaire pour supprimer un ensemble d'`SourceCredentialsInfo`objets contenant des informations sur les informations d'identification d'un GitHub référentiel GitHub Enterprise Server ou Bitbucket.
**Ressource :** `*`
DeleteWebhook
**Action :** `codebuild:DeleteWebhook`
Requise pour créer un webhook.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
DescribeTestCases
**Action :** `codebuild:DescribeTestCases`
Obligatoire pour renvoyer une liste paginée de cas de test.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
ImportSourceCredentials
**Action :** `codebuild:ImportSourceCredentials`
Nécessaire pour importer un ensemble d'`SourceCredentialsInfo`objets contenant des informations sur les informations d'identification d'un GitHub référentiel GitHub Enterprise Server ou Bitbucket.
**Ressource :** `*`
InvalidateProjectCache
**Action :** `codebuild:InvalidateProjectCache`
Requise pour réinitialiser le cache pour un projet.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
ListBuildBatches
**Action :** `codebuild:ListBuildBatches`
Nécessaire pour obtenir une liste des lots de construction IDs.
**Ressource :** `*`
ListBuildBatchesForProject
**Action :** `codebuild:ListBuildBatchesForProject`
Nécessaire pour obtenir une liste des lots de construction IDs pour un projet spécifique.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:project/project-name`
ListBuilds
**Action :** `codebuild:ListBuilds`
Nécessaire pour obtenir une liste des versions IDs.
**Ressource :** `*`
ListBuildsForProject
**Action :** `codebuild:ListBuildsForProject`
Nécessaire pour obtenir la liste des versions IDs d'un projet de construction.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
ListCuratedEnvironmentImages
**Action :** `codebuild:ListCuratedEnvironmentImages`
Requise pour obtenir des informations sur toutes les images Docker gérées par AWS CodeBuild.
**Ressource :** `*` (requise, mais ne fait pas référence à une ressource AWS adressable)
ListProjects
**Action :** `codebuild:ListProjects`
Requise pour obtenir une liste de noms de projet de génération.
**Ressource :** `*`
ListReportGroups
**Action :** `codebuild:ListReportGroups`
Obligatoire pour obtenir une liste des groupes de rapports.
**Ressource :** `*`
ListReports
**Action :** `codebuild:ListReports`
Obligatoire pour obtenir une liste de rapports.
**Ressource :** `*`
ListReportsForReportGroup
**Action :** `codebuild:ListReportsForReportGroup`
Obligatoire pour obtenir une liste de rapports pour un groupe de rapports.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
RetryBuild
**Action :** `codebuild:RetryBuild`
Nécessaire pour réessayer les builds.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
StartBuild
**Action :** `codebuild:StartBuild`
Requise pour démarrer l'exécution de générations.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
StopBuild
**Action :** `codebuild:StopBuild`
Requise pour tenter d'arrêter des générations en cours d'exécution.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
UpdateProject
**Actions :** `codebuild:UpdateProject`, `iam:PassRole`
Requise pour modifier des informations sur les générations.
**Ressources:**
+ `arn:aws:codebuild:region-ID:account-ID:project/project-name `
+ `arn:aws:iam::account-ID:role/role-name `
UpdateProjectVisibility
**Actions :** `codebuild:UpdateProjectVisibility`, `iam:PassRole`
Nécessaire pour modifier la visibilité publique des versions d'un projet.
**Ressources:**
+ `arn:aws:codebuild:region-ID:account-ID:project/project-name `
+ `arn:aws:iam::account-ID:role/role-name `
UpdateReport¹
**Action :** `codebuild:UpdateReport`
Obligatoire pour créer ou mettre à jour un rapport de test.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
UpdateReportGroup
**Action :** `codebuild:UpdateReportGroup`
Obligatoire pour mettre à jour un groupe de rapports.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
UpdateWebhook
**Action :** `codebuild:UpdateWebhook`
Requise pour mettre à jour un webhook.
**Ressource :** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
¹ Utilisé uniquement à des fins d'autorisation. Il n'existe aucune API pour cette action.
# Utilisation de balises pour contrôler l'accès aux AWS CodeBuild ressources
Les conditions figurant dans les déclarations de politique IAM font partie de la syntaxe que vous pouvez utiliser pour spécifier les autorisations relatives aux actions basées sur des CodeBuild projets. Vous pouvez créer une politique qui autorise ou refuse des actions sur des projets en fonction des balises associées à ces projets, puis appliquer ces politiques aux groupes IAM que vous configurez pour gérer les utilisateurs. Pour plus d'informations sur l'application de balises à un projet à l'aide de la console ou AWS CLI consultez[Créez un projet de construction dans AWS CodeBuild](create-project.md). Pour plus d'informations sur l'application de balises à l'aide du CodeBuild SDK, consultez [CreateProject ](https://docs.aws.amazon.com/codebuild/latest/APIReference/API_CreateProject.html#API_CreateProject_RequestSyntax)la section « [Tags](https://docs.aws.amazon.com/codebuild/latest/APIReference/API_Tag.html) » dans le manuel de *référence des CodeBuild API*. Pour plus d'informations sur l'utilisation de balises pour contrôler l'accès aux AWS ressources, consultez la section [Contrôle de l'accès aux AWS ressources à l'aide de balises de ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) dans le *guide de l'utilisateur IAM*.
**Important**
Lorsque vous utilisez la fonctionnalité de capacité réservée, les données mises en cache sur les instances de flotte, y compris les fichiers source, les couches Docker et les répertoires mis en cache spécifiés dans les spécifications de construction, peuvent être accessibles aux autres projets du même compte. Cela est intentionnel et permet aux projets au sein d'un même compte de partager des instances de flotte.
**Example Exemple 1 : Limiter les actions CodeBuild du projet en fonction des balises de ressources**
L'exemple suivant refuse toutes les actions `BatchGetProjects` sur les projets marqués avec la clé `Environment` utilisant la valeur `Production`. L'administrateur d'un utilisateur doit associer cette politique IAM en plus de la politique utilisateur gérée aux utilisateurs non autorisés. La clé de condition `aws:ResourceTag` est utilisée pour contrôler l'accès aux ressources en fonction de leurs balises.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"codebuild:BatchGetProjects"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:ResourceTag/Environment": "Production"
}
}
}
]
}
```
**Example Exemple 2 : Limiter les actions CodeBuild du projet en fonction des balises de demande**
La stratégie suivante refuse aux utilisateurs l'autorisation pour l'action `CreateProject` si la demande contient une balise avec la clé `Environment` et la valeur de clé `Production`. En outre, la stratégie empêche ces utilisateurs non autorisés de modifier des projets en utilisant la clé de condition `aws:TagKeys` pour ne pas autoriser `UpdateProject` si la requête contient une balise avec la clé `Environment`. Un administrateur doit associer cette politique IAM en plus de la politique utilisateur gérée aux utilisateurs qui ne sont pas autorisés à effectuer ces actions. La clé de `aws:RequestTag` condition est utilisée pour contrôler les balises qui peuvent être transmises dans une demande IAM
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"codebuild:CreateProject"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:RequestTag/Environment": "Production"
}
}
},
{
"Effect": "Deny",
"Action": [
"codebuild:UpdateProject"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": ["Environment"]
}
}
}
]
}
```
**Example Exemple 3 : Refuser ou autoriser des actions sur des groupes de rapports en fonction des balises de ressources**
Vous pouvez créer une politique qui autorise ou refuse les actions sur les CodeBuild ressources (projets et groupes de rapports) en fonction des AWS balises associées à ces ressources, puis appliquer ces politiques aux groupes IAM que vous configurez pour gérer les utilisateurs. Par exemple, vous pouvez créer une politique qui refuse toutes les CodeBuild actions sur tout groupe de rapports dont la clé de AWS balise `Status` et la valeur clé sont`Secret`, puis appliquer cette politique au groupe IAM que vous avez créé pour les développeurs généraux (*Developers*). Vous devez ensuite vous assurer que les développeurs travaillant sur ces groupes de rapports balisés ne sont pas membres de ce *Developers* groupe général, mais appartiennent plutôt à un autre groupe IAM auquel la politique restrictive n'est pas appliquée (`SecretDevelopers`).
L'exemple suivant refuse toutes les CodeBuild actions sur les groupes de rapports marqués par la clé `Status` et la valeur clé de `Secret` :
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"codebuild:BatchGetReportGroups",
"codebuild:CreateReportGroup",
"codebuild:DeleteReportGroup",
"codebuild:ListReportGroups",
"codebuild:ListReportsForReportGroup",
"codebuild:UpdateReportGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestedRegion": "us-east-1"
}
}
}
]
}
```
**Example Exemple 4 : Limiter CodeBuild les actions en AWSCode BuildDeveloperAccess fonction des balises de ressources**
Vous pouvez créer des politiques qui autorisent CodeBuild des actions sur tous les groupes de rapports et projets qui ne sont pas marqués par des balises spécifiques. Par exemple, la stratégie suivante accorde l'équivalent des autorisations [AWSCodeBuildDeveloperAccess](auth-and-access-control-iam-identity-based-access-control.md#developer-access-policy) pour tous les groupes de rapports, sauf ceux balisés avec les balises spécifiées :
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codebuild:StartBuild",
"codebuild:StopBuild",
"codebuild:BatchGet*",
"codebuild:GetResourcePolicy",
"codebuild:DescribeTestCases",
"codebuild:List*",
"codecommit:GetBranch",
"codecommit:GetCommit",
"codecommit:GetRepository",
"codecommit:ListBranches",
"cloudwatch:GetMetricStatistics",
"events:DescribeRule",
"events:ListTargetsByRule",
"events:ListRuleNamesByTarget",
"logs:GetLogEvents",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:ResourceTag/Status": "Secret",
"aws:ResourceTag/Team": "Saanvi"
}
}
}
]
}
```
# Affichage des ressources dans la console
La AWS CodeBuild console doit être `ListRepositories` autorisée à afficher la liste des référentiels de votre AWS compte dans la AWS région où vous êtes connecté. La console comprend également une fonction **Go to resource (Accéder aux ressources)** qui permet d'effectuer rapidement une recherche de ressources sensible à la casse. Cette recherche est effectuée dans votre AWS compte dans la AWS région où vous êtes connecté. Les ressources suivantes sont affichées pour les services suivants :
+ AWS CodeBuild : Projets de génération
+ AWS CodeCommit : Référentiels
+ AWS CodeDeploy : Applications
+ AWS CodePipeline : Pipelines
Pour effectuer cette recherche pour les ressources dans tous les services, vous devez disposer des autorisations suivantes :
+ CodeBuild: `ListProjects`
+ CodeCommit: `ListRepositories`
+ CodeDeploy: `ListApplications`
+ CodePipeline: `ListPipelines`
Les résultats ne sont pas renvoyés pour les ressources d'un service si vous ne disposez pas d'autorisations pour ce service. Même si vous êtes autorisé à afficher des ressources, certaines ressources ne sont pas renvoyées si une valeur `Deny` explicite est définie pour l'affichage de ces ressources.