Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrez les résultats de construction à l'aide d'une clé gérée par le client
Si vous suivez les étapes décrites Mise en route à l'aide de la console pour y accéder AWS CodeBuild pour la première fois, vous n'avez probablement pas besoin des informations contenues dans cette rubrique. Cependant, au fur et à mesure que vous continuez à utiliser CodeBuild, vous souhaiterez peut-être effectuer des opérations telles que chiffrer les artefacts de construction.
AWS CodeBuild Pour chiffrer ses artefacts de sortie de build, il doit avoir accès à une KMS clé. Par défaut, CodeBuild utilise le Clé gérée par AWS pour Amazon S3 dans votre AWS compte.
Si vous ne souhaitez pas utiliser le Clé gérée par AWS, vous devez créer et configurer vous-même une clé gérée par le client. Cette section explique comment procéder avec la IAM console.
Pour plus d'informations sur les clés gérées par le client, consultez la section AWS Key Management Service Concepts et création de clés dans le guide du AWS KMS développeur.
Pour configurer une clé gérée par le client à utiliser par CodeBuild, suivez les instructions de la section « Comment modifier une politique clé » de la section Modification d'une politique clé du guide du AWS KMS développeur. Ajoutez ensuite les instructions suivantes (entre ### BEGIN ADDING STATEMENTS HERE
### and ### END ADDING STATEMENTS HERE ###) à la politique clé. Des ellipses (...) sont utilisées par souci de concision et pour vous aider à déterminer l'endroit où ajouter les instructions. Ne supprimez aucune instruction, et n'entrez pas ces ellipses dans la stratégie de clé.
{ "Version": "2012-10-17", "Id": "...", "Statement": [### BEGIN ADDING STATEMENTS HERE ###{ "Sid": "Allow access through Amazon S3 for all principals in the account that are authorized to use Amazon S3", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "s3.region-ID.amazonaws.com", "kms:CallerAccount": "account-ID" } } }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-ID:role/CodeBuild-service-role" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" },### END ADDING STATEMENTS HERE ###{ "Sid": "Enable IAM User Permissions", ... }, { "Sid": "Allow access for Key Administrators", ... }, { "Sid": "Allow use of the key", ... }, { "Sid": "Allow attachment of persistent resources", ... } ] }
-
region-IDreprésente l'ID de la AWS région où se trouvent les compartiments Amazon S3 associés CodeBuild (par exemple,us-east-1). -
account-IDreprésente l'ID du AWS compte propriétaire de la clé gérée par le client. -
CodeBuild-service-rolereprésente le nom du rôle de CodeBuild service que vous avez créé ou identifié précédemment dans cette rubrique.
Note
Pour créer ou configurer une clé gérée par le client via la IAM console, vous devez d'abord vous connecter au en AWS Management Console utilisant l'une des méthodes suivantes :
-
Votre compte AWS root. Ceci n'est pas recommandé. Pour plus d'informations, voir The Account Root User dans le guide de l'utilisateur.
-
Utilisateur administrateur de votre AWS compte. Pour plus d'informations, consultez la section Création de votre premier utilisateur et groupe Compte AWS root dans le guide de l'utilisateur.
-
Un utilisateur de votre AWS compte autorisé à créer ou à modifier la clé gérée par le client. Pour plus d'informations, consultez la section Autorisations requises pour utiliser la AWS KMS console dans le guide du AWS KMS développeur.
