Permettre aux utilisateurs d'interagir avec CodeBuild - AWS CodeBuild

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Permettre aux utilisateurs d'interagir avec CodeBuild

Si vous suivez les étapes décrites Mise en route à l'aide de la console pour y accéder AWS CodeBuild pour la première fois, vous n'avez probablement pas besoin des informations contenues dans cette rubrique. Toutefois, au fur et à mesure de votre utilisation CodeBuild, vous souhaiterez peut-être, par exemple, donner aux autres utilisateurs et groupes de votre organisation la possibilité d'interagir avec eux CodeBuild.

Pour permettre à un IAM utilisateur ou à un groupe d'interagir avec AWS CodeBuild, vous devez lui accorder des autorisations d'accès à CodeBuild. Cette section explique comment procéder avec la IAM console ou le AWS CLI.

Si vous souhaitez y accéder CodeBuild avec votre compte AWS root (ce n'est pas recommandé) ou avec un utilisateur administrateur de votre AWS compte, vous n'avez pas besoin de suivre ces instructions.

Pour plus d'informations sur les comptes AWS root et les utilisateurs administrateurs, voir L'utilisateur Compte AWS root et Création de votre premier utilisateur et groupe Compte AWS root dans le guide de l'utilisateur.

Pour ajouter des autorisations CodeBuild d'accès à un IAM groupe ou à un utilisateur (console)

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

    Vous devez déjà vous être connecté au en AWS Management Console utilisant l'une des méthodes suivantes :

    • Votre compte AWS root. Ceci n'est pas recommandé. Pour plus d'informations, consultez la section L'utilisateur Compte AWS root dans le guide de l'utilisateur.

    • Utilisateur administrateur de votre AWS compte. Pour plus d'informations, consultez la section Création de votre premier utilisateur et groupe Compte AWS root dans le guide de l'utilisateur.

    • Un utilisateur de votre AWS compte autorisé à effectuer les actions minimales suivantes :

      iam:AttachGroupPolicy
iam:AttachUserPolicy
iam:CreatePolicy
iam:ListAttachedGroupPolicies
iam:ListAttachedUserPolicies
iam:ListGroups
iam:ListPolicies
iam:ListUsers

      Pour plus d'informations, consultez la section Présentation des IAM politiques dans le guide de l'utilisateur.

  2. Dans le panneau de navigation, choisissez Politiques.

  3. Pour ajouter un ensemble personnalisé d'autorisations d' AWS CodeBuild accès à un IAM groupe ou à un IAM utilisateur, passez à l'étape 4 de cette procédure.

    Pour ajouter un ensemble d'autorisations d' CodeBuild accès par défaut à un IAM groupe ou à un IAM utilisateur, choisissez Type de politique, AWS Géré, puis procédez comme suit :

    • Pour ajouter des autorisations d'accès complètes à CodeBuild, cochez la case nommée AWSCodeBuildAdminAccess, choisissez Actions de politique, puis choisissez Joindre. Cochez la case à côté du IAM groupe cible ou de l'utilisateur, puis choisissez Attach Policy. Répétez cette opération pour les politiques nommées AmazonS3 et ReadOnlyAccess. IAMFullAccess

    • Pour ajouter des autorisations d'accès CodeBuild pour tout sauf pour l'administration du projet de création, cochez la case nommée AWSCodeBuildDeveloperAccess, choisissez Actions politiques, puis choisissez Joindre. Cochez la case à côté du IAM groupe cible ou de l'utilisateur, puis choisissez Attach Policy. Répétez cette opération pour la politique nommée AmazonS3 ReadOnlyAccess.

    • Pour ajouter des autorisations d'accès en lecture seule à CodeBuild, cochez les cases nommées. AWSCodeBuildReadOnlyAccess Cochez la case à côté du IAM groupe cible ou de l'utilisateur, puis choisissez Attach Policy. Répétez cette opération pour la politique nommée AmazonS3 ReadOnlyAccess.

    Vous avez maintenant ajouté un ensemble d'autorisations d' CodeBuild accès par défaut à un IAM groupe ou à un utilisateur. Ignorez les autres étapes de cette procédure.

  4. Choisissez Create Policy (Créer une politique).

  5. Sur la page Créer une stratégie, choisissez Sélectionner en regard de Créer votre propre stratégie.

  6. Sur la page Review Policy (Examiner la stratégie), pour Policy Name (Nom de la stratégie), saisissez un nouveau nom de stratégie (par exemple, CodeBuildAccessPolicy). Si vous choisissez un autre nom, veillez à l'utiliser tout au long de cette procédure.

  7. Dans Policy Document (Document de stratégie), saisissez ce qui suit, puis sélectionnez Create Policy (Créer une stratégie).

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeBuildAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "codebuild:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeBuildRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/role-name"
    },
    {
      "Sid": "CloudWatchLogsAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3AccessPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:GetObject",
        "s3:List*",
        "s3:PutObject"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3BucketIdentity",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}
    Note

    Cette politique permet d'accéder à toutes les CodeBuild actions et à un nombre potentiellement important de AWS ressources. Pour restreindre les autorisations à des CodeBuild actions spécifiques, modifiez la valeur de codebuild:* dans la déclaration CodeBuild de politique. Pour de plus amples informations, veuillez consulter Gestion des identités et des accès. Pour restreindre l'accès à des AWS ressources spécifiques, modifiez la valeur de l'Resourceobjet. Pour de plus amples informations, veuillez consulter Gestion des identités et des accès.

  8. Dans le volet de navigation, choisissez Groupes ou Utilisateurs.

  9. Dans la liste des groupes ou des utilisateurs, choisissez le nom du IAM groupe ou de IAM l'utilisateur auquel vous souhaitez ajouter des autorisations CodeBuild d'accès.

  10. Pour un groupe, sur la page des paramètres du groupe, dans l'onglet Permissions (Autorisations), développez Managed Policies (Stratégies gérées), puis choisissez Attach Policy (Attacher une stratégie).

    Pour un utilisateur, sur la page des paramètres de l'utilisateur, dans l'onglet Autorisations, choisissez Ajouter des autorisations.

  11. Pour un groupe, sur la page Joindre une politique, sélectionnez CodeBuildAccessPolicy, puis choisissez Attacher une politique.

    Pour un utilisateur, sur la page Ajouter des autorisations, choisissez Joindre directement les politiques existantes. Sélectionnez CodeBuildAccessPolicy, choisissez Suivant : Révision, puis choisissez Ajouter des autorisations.

Pour ajouter des autorisations CodeBuild d'accès à un IAM groupe ou à un utilisateur (AWS CLI)

  1. Assurez-vous d'avoir configuré la AWS CLI clé AWS d'accès et la clé d'accès AWS secrète correspondant à l'une des IAM entités, comme décrit dans la procédure précédente. Pour plus d'informations, consultez Préparation de l'installation de l' AWS Command Line Interface dans le Guide de l'utilisateur AWS Command Line Interface .

  2. Pour ajouter un ensemble personnalisé d'autorisations d' AWS CodeBuild accès à un IAM groupe ou à un IAM utilisateur, passez à l'étape 3 de cette procédure.

    Pour ajouter un ensemble d'autorisations d' CodeBuild accès par défaut à un IAM groupe ou à un IAM utilisateur, procédez comme suit :

    Exécutez l'une des commandes suivantes, selon que vous souhaitez ajouter des autorisations à un IAM groupe ou à un utilisateur :

    aws iam attach-group-policy --group-name group-name --policy-arn policy-arn

aws iam attach-user-policy --user-name user-name --policy-arn policy-arn

    Vous devez exécuter la commande trois fois, en remplaçant group-name or user-name avec le nom du IAM groupe ou le nom d'utilisateur, et en remplaçant policy-arn une fois pour chacune des politiques Amazon Resource Names (ARNs) suivantes :

    • Pour ajouter des autorisations d'accès complètes à CodeBuild, appliquez la politique suivante ARNs :

      • arn:aws:iam::aws:policy/AWSCodeBuildAdminAccess

      • arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

      • arn:aws:iam::aws:policy/IAMFullAccess

    • Pour ajouter des autorisations d'accès CodeBuild pour tout sauf pour l'administration du projet de build, appliquez la politique suivante ARNs :

      • arn:aws:iam::aws:policy/AWSCodeBuildDeveloperAccess

      • arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

    • Pour ajouter des autorisations d'accès en lecture seule à CodeBuild, appliquez la politique suivante : ARNs

      • arn:aws:iam::aws:policy/AWSCodeBuildReadOnlyAccess

      • arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

    Vous avez maintenant ajouté un ensemble d'autorisations d' CodeBuild accès par défaut à un IAM groupe ou à un utilisateur. Ignorez les autres étapes de cette procédure.

  3. Dans un répertoire vide du poste de travail local ou de l'instance où le AWS CLI est installé, créez un fichier nommé put-group-policy.json ouput-user-policy.json. Si vous choisissez un autre nom de fichier, veillez à l'utiliser tout au long de cette procédure.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeBuildAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "codebuild:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeBuildRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/role-name"
    },
    {
      "Sid": "CloudWatchLogsAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3AccessPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:GetObject",
        "s3:List*",
        "s3:PutObject"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3BucketIdentity",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}
    Note

    Cette politique permet d'accéder à toutes les CodeBuild actions et à un nombre potentiellement important de AWS ressources. Pour restreindre les autorisations à des CodeBuild actions spécifiques, modifiez la valeur de codebuild:* dans la déclaration CodeBuild de politique. Pour de plus amples informations, veuillez consulter Gestion des identités et des accès. Pour restreindre l'accès à des AWS ressources spécifiques, modifiez la valeur de l'Resourceobjet associé. Pour plus d'informations, consultez Gestion des identités et des accès ou la documentation de sécurité du service AWS spécifique.

  4. Placez-vous dans le répertoire dans lequel vous avez enregistré le fichier, puis exécutez l'une des commandes suivantes. Vous pouvez utiliser des valeurs différentes pour CodeBuildGroupAccessPolicy et CodeBuildUserAccessPolicy. Si vous utilisez des valeurs différentes, substituez-les ici.

    Pour un groupe IAM :

    aws iam put-group-policy --group-name group-name --policy-name CodeBuildGroupAccessPolicy --policy-document file://put-group-policy.json

    Pour un utilisateur  :

    aws iam put-user-policy --user-name user-name --policy-name CodeBuildUserAccessPolicy --policy-document file://put-user-policy.json

    Dans les commandes précédentes, remplacez group-name or user-name avec le nom du IAM groupe cible ou de l'utilisateur.