Ajouter des autorisations d' CodeBuild accès à un groupe ou à un utilisateur IAM Création d'un rôle CodeBuild de service Création d'une clé gérée par le client Installation et configuration de l'AWS CLI

Configuration avancée

Si vous suivez les étapes décrites dans Mise en route à l'aide de la console pour accéder à AWS CodeBuild pour la première fois, vous n'avez probablement pas besoin des informations de cette rubrique. Toutefois, au fur et à mesure que vous continuez à utiliser CodeBuild, vous souhaiterez peut-être, par exemple, autoriser les groupes IAM et les utilisateurs de votre organisation à accéder à IAM CodeBuild, modifier les rôles de service existants dans IAM ouAWS KMS keys to access CodeBuild, ou les configurerAWS CLI sur l'ensemble des postes de travail de votre organisation pour y accéder CodeBuild. Cette rubrique explique comment effectuer les étapes de configuration associées.

Nous supposons que vous disposez déjà d'un compte AWS. Toutefois, si vous n'en possédez pas déjà un, rendez-vous sur http://aws.amazon.com, choisissez Se connecter à la console et suivez les instructions en ligne.

Rubriques

Ajouter des autorisations d' CodeBuild accès à un groupe ou à un utilisateur IAM
Création d'un rôle CodeBuild de service
Création et configuration d'une clé gérée par le client pour CodeBuild
Installation et configuration de l'AWS CLI

Ajouter des autorisations d' CodeBuild accès à un groupe ou à un utilisateur IAM

Pour accéderAWS CodeBuild à un groupe ou à un utilisateur IAM, vous devez ajouter des autorisations d'accès. Cette section explique comment procéder avec la console IAM ou leAWS CLI.

Si vous souhaitez accéder CodeBuild à votre compteAWS root (non recommandé) ou à l'aide d'un utilisateur administrateur de votreAWS compte, vous n'avez pas besoin de suivre ces instructions.

Pour plus d'informations sur les comptesAWS root et les utilisateurs administrateurs, voir L'utilisateurCompte AWS root et Création de votre premier utilisateurCompte AWS root et de votre premier groupe dans le guide de l'utilisateur.

Pour ajouter des autorisations d' CodeBuild accès à un groupe ou à un utilisateur IAM (console)

Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

Vous devez vous être déjà connecté à l'AWS Management Console à l'aide de l'une des actions suivantes :
- Votre compte racine AWS. Ceci n'est pas recommandé. Pour plus d'informations, voir L'utilisateurCompte AWS root dans le Guide de l'utilisateur.
- Un utilisateur administrateur de votreAWS compte. Pour plus d'informations, consultez la section Création de votre premier utilisateur et groupeCompte AWS root dans le Guide de l'utilisateur.
- Un utilisateur de votreAWS compte autorisé à effectuer les actions minimales suivantes :
```
iam:AttachGroupPolicy
iam:AttachUserPolicy
iam:CreatePolicy
iam:ListAttachedGroupPolicies
iam:ListAttachedUserPolicies
iam:ListGroups
iam:ListPolicies
iam:ListUsers
```
  Pour plus d'informations, consultez la section Présentation des politiques IAM dans le guide de l'utilisateur.
Dans le panneau de navigation, choisissez Policies (Politiques).
Pour ajouter un ensemble personnalisé d'autorisations d'AWS CodeBuildaccès à un groupe IAM ou à un utilisateur IAM, passez de l'étape 4 de cette procédure.

Pour ajouter un ensemble d'autorisations d' CodeBuild accès par défaut à un groupe IAM ou à un utilisateur IAM, choisissez Type de politique, AWSGéré, puis procédez comme suit :
- Pour ajouter des autorisations d'accès complètes à CodeBuild, cochez la case nommée AWSCodeBuildAdminAccess, choisissez Policy Actions, puis choisissez Joindre. Cochez la case à côté du groupe ou de l'utilisateur IAM cible, puis choisissez Attach Policy. Répétez cette procédure pour les politiques nommées AmazonS3ReadOnlyAccess et IAMFullAccess.
- Pour ajouter des autorisations d'accès à CodeBuild tout, sauf à l'administration du projet de construction, cochez la case nommée AWSCodeBuildDeveloperAccess, choisissez Policy Actions, puis choisissez Attacher. Cochez la case à côté du groupe ou de l'utilisateur IAM cible, puis choisissez Attach Policy. Répétez cette opération pour la politique nommée AmazonS3ReadOnlyAccess.
- Pour ajouter des autorisations d'accès en lecture seule à CodeBuild, sélectionnez les cases nommées AWSCodeBuildReadOnlyAccess. Cochez la case à côté du groupe ou de l'utilisateur IAM cible, puis choisissez Attach Policy. Répétez cette opération pour la politique nommée AmazonS3ReadOnlyAccess.
Vous avez maintenant ajouté un ensemble d'autorisations d' CodeBuild accès par défaut à un groupe ou à un utilisateur IAM. Ignorez les autres étapes de cette procédure.
Choisissez Create Policy (Créer une politique).
Sur la page Créer une stratégie, choisissez Sélectionner en regard de Créer votre propre stratégie.
Sur la page Review Policy (Examiner la stratégie), pour Policy Name (Nom de la stratégie), saisissez un nouveau nom de stratégie (par exemple, CodeBuildAccessPolicy). Si vous choisissez un autre nom, veillez à l'utiliser tout au long de cette procédure.

Dans Policy Document (Document de stratégie), saisissez ce qui suit, puis sélectionnez Create Policy (Créer une stratégie).


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeBuildAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "codebuild:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeBuildRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/role-name"
    },
    {
      "Sid": "CloudWatchLogsAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3AccessPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:GetObject",
        "s3:List*",
        "s3:PutObject"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3BucketIdentity",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}

Note

Cette politique permet d'accéder à toutes les CodeBuild actions et à un nombre potentiellement important deAWS ressources. Pour restreindre les autorisations à des CodeBuild actions spécifiques, modifiez la valeur decodebuild:* dans la déclaration de CodeBuild politique. Pour plus d'informations, veuillez consulter Gestion des identités et des accès. Pour limiter l'accès à certaines ressources AWS, modifiez la valeur de l'objet Resource. Pour plus d'informations, veuillez consulter Gestion des identités et des accès.

LaCodeBuildRolePolicy déclaration est requise pour autoriser la création ou la modification d'un projet de construction.

Dans le volet de navigation, choisissez Groupes ou Utilisateurs.
Dans la liste des groupes ou des utilisateurs, choisissez le nom du groupe IAM ou de l'utilisateur IAM auquel vous souhaitez ajouter des autorisations CodeBuild d'accès.
Pour un groupe, sur la page des paramètres du groupe, dans l'onglet Permissions (Autorisations), développez Managed Policies (Stratégies gérées), puis choisissez Attach Policy (Attacher une stratégie).

Pour un utilisateur, sur la page des paramètres de l'utilisateur, dans l'onglet Autorisations, choisissez Ajouter des autorisations.
Pour un groupe, sur la page Joindre une politique, sélectionnez CodeBuildAccessPolicy, puis choisissez Joindre une politique.

Pour un utilisateur, sur la page Ajouter des autorisations, choisissez Joindre directement des politiques existantes. Sélectionnez CodeBuildAccessPolicy, choisissez Suivant : Révision, puis choisissez Ajouter des autorisations.

Pour ajouter des autorisations CodeBuild d'accès à un groupe ou à un utilisateur IAM (AWS CLI)

Assurez-vous d'avoir configuré leAWS CLI avec la cléAWS d'accès et la clé d'accèsAWS secrète qui correspondent à l'une des entités IAM, comme décrit dans la procédure précédente. Pour plus d'informations, consultez Préparation de l'installation de l'AWS Command Line Interface dans le Guide de l'utilisateur AWS Command Line Interface.
Pour ajouter un ensemble personnalisé d'autorisations d'AWS CodeBuildaccès à un groupe IAM ou à un utilisateur IAM, passez à l'étape 3 de cette procédure.

Pour ajouter un ensemble d'autorisations d' CodeBuild accès par défaut à un groupe IAM ou à un utilisateur IAM, procédez comme suit :

Exécutez l'une des commandes suivantes, selon que vous souhaitez ajouter des autorisations à un groupe ou à un utilisateur IAM :
```
aws iam attach-group-policy --group-name group-name --policy-arn policy-arn

aws iam attach-user-policy --user-name user-name --policy-arn policy-arn
```
Vous devez exécuter la commande trois fois, en remplaçant le nom du groupe ou le nom d'utilisateur par le nom du groupe IAM ou le nom d'utilisateur, et en remplaçant policy-arn une fois pour chacune des politiques Amazon Resource Names (ARN) suivantes :
- Pour ajouter des autorisations d'accès complètes à CodeBuild, utilisez les ARN de politique suivants :
  - arn:aws:iam::aws:policy/AWSCodeBuildAdminAccess
  - arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
  - arn:aws:iam::aws:policy/IAMFullAccess
- Pour ajouter des autorisations d'accès à tous CodeBuild les domaines, à l'exception de l'administration du projet de construction, utilisez les règles ARN suivantes :
  - arn:aws:iam::aws:policy/AWSCodeBuildDeveloperAccess
  - arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
- Pour ajouter des autorisations d'accès en lecture seule à CodeBuild, utilisez les ARN de politique suivants :
  - arn:aws:iam::aws:policy/AWSCodeBuildReadOnlyAccess
  - arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
Vous avez maintenant ajouté un ensemble d'autorisations d' CodeBuild accès par défaut à un groupe ou à un utilisateur IAM. Ignorez les autres étapes de cette procédure.

Dans un répertoire vide sur le poste de travail ou l'instance local où l'AWS CLI est installée, créez un fichier nommé put-group-policy.json ou put-user-policy.json. Si vous choisissez un autre nom de fichier, veillez à l'utiliser tout au long de cette procédure.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeBuildAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "codebuild:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeBuildRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/role-name"
    },
    {
      "Sid": "CloudWatchLogsAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3AccessPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:GetObject",
        "s3:List*",
        "s3:PutObject"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3BucketIdentity",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}

Note

Cette politique permet d'accéder à toutes les CodeBuild actions et à un nombre potentiellement important deAWS ressources. Pour restreindre les autorisations à des CodeBuild actions spécifiques, modifiez la valeur decodebuild:* dans la déclaration de CodeBuild politique. Pour plus d'informations, veuillez consulter Gestion des identités et des accès. Pour limiter l'accès à certaines ressource AWS, modifiez la valeur de l'objet Resource associé. Pour plus d'informations, consultez Gestion des identités et des accès ou la documentation de sécurité du service AWS spécifique.

LaCodeBuildRolePolicy déclaration est requise pour autoriser la création ou la modification d'un projet de construction.

Placez-vous dans le répertoire dans lequel vous avez enregistré le fichier, puis exécutez l'une des commandes suivantes. Vous pouvez utiliser des valeurs différentes pour CodeBuildGroupAccessPolicy et CodeBuildUserAccessPolicy. Si vous utilisez des valeurs différentes, substituez-les ici.

Pour un groupe IAM :
```
aws iam put-group-policy --group-name group-name --policy-name CodeBuildGroupAccessPolicy --policy-document file://put-group-policy.json
```
Pour un utilisateur :
```
aws iam put-user-policy --user-name user-name --policy-name CodeBuildUserAccessPolicy --policy-document file://put-user-policy.json
```
Dans les commandes précédentes, remplacez le nom du groupe ou le nom d'utilisateur par le nom du groupe ou de l'utilisateur IAM cible.

Création d'un rôle CodeBuild de service

Vous avez besoin d'un rôle deAWS CodeBuild service pour CodeBuild pouvoir interagir avec lesAWS services dépendants en votre nom. Vous pouvez créer un rôle CodeBuild de service à l'aide desAWS CodePipeline consoles CodeBuild ou. Pour plus d'informations, consultez :

Si vous ne prévoyez pas d'utiliser ces consoles, cette section explique comment créer un rôle de CodeBuild service avec la console IAM ou leAWS CLI.

Important

CodeBuild utilise le rôle de service pour toutes les opérations effectuées en votre nom. Si le rôle comprend des autorisations que l'utilisateur ne devrait pas avoir, vous avez peut-être remonté accidentellement ses autorisations. Vérifiez que le rôle accorde le privilège le plus faible.

Le rôle de service décrit sur cette page contient une stratégie qui accorde les autorisations minimales requises pour utiliser CodeBuild. Il se peut que vous ayez besoin d'ajouter des autorisations supplémentaires, selon votre cas d'utilisation.

Pour créer un rôle CodeBuild de service (console)

Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

Vous devez vous être déjà connecté à la console à l'aide de l'une des actions suivantes :
- Votre compte racine AWS. Ceci n'est pas recommandé. Pour plus d'informations, voir L'utilisateurCompte AWS root dans le Guide de l'utilisateur.
- Un utilisateur administrateur de votreAWS compte. Pour plus d'informations, consultez la section Création de votre premier utilisateur et groupeCompte AWS root dans le Guide de l'utilisateur.
- Un utilisateur de votreAWS compte autorisé à effectuer les actions minimales suivantes :
```
iam:AddRoleToInstanceProfile
iam:AttachRolePolicy
iam:CreateInstanceProfile
iam:CreatePolicy
iam:CreateRole
iam:GetRole
iam:ListAttachedRolePolicies
iam:ListPolicies
iam:ListRoles
iam:PassRole
iam:PutRolePolicy
iam:UpdateAssumeRolePolicy
```
  Pour plus d'informations, consultez la section Présentation des politiques IAM dans le guide de l'utilisateur.
Dans le panneau de navigation, choisissez Policies (Politiques).
Choisissez Create Policy (Créer une politique).
Sur la page Créer une stratégie, choisissez JSON.

Pour la stratégie JSON, saisissez ce qui suit, puis choisissez Review Policy (Examiner une stratégie) :


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudWatchLogsPolicy",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeCommitPolicy",
      "Effect": "Allow",
      "Action": [
        "codecommit:GitPull"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3GetObjectPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3PutObjectPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": "*"
    },
    {
      "Sid": "ECRPullPolicy",
      "Effect": "Allow",
      "Action": [
        "ecr:BatchCheckLayerAvailability",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchGetImage"
      ],
      "Resource": "*"
    },
    {
      "Sid": "ECRAuthPolicy",
      "Effect": "Allow",
      "Action": [
        "ecr:GetAuthorizationToken"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3BucketIdentity",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}

Note

Cette stratégie contient des instructions qui autorisent l'accès à un nombre de ressources AWS potentiellement important. Pour limiter l'accès d'AWS CodeBuild à certaines ressources AWS, modifiez la valeur du tableau Resource. Pour plus d'informations, consultez la documentation de sécurité pour le service AWS.

Sur la page Review Policy (Examiner une stratégie), pour Policy Name (Nom de stratégie), saisissez un nom pour la stratégie (par exemple, CodeBuildServiceRolePolicy), puis choisissez Create policy (Créer une stratégie).

Note
Si vous choisissez un autre nom, veillez à l'utiliser tout au long de cette procédure.
Dans le panneau de navigation, choisissez Roles (Rôles).
Sélectionnez Create role (Créer un rôle).
Sur la page Créer un rôle, avec AWSService déjà sélectionné, choisissez CodeBuild, puis choisissez Next:Permissions.
Sur la page Joindre des politiques d'autorisation CodeBuildServiceRolePolicy, sélectionnez, puis choisissez Suivant : Révision.
Sur la page Create role and review (Créer un rôle et vérifier), pour Role name (Nom du rôle), saisissez le nom du rôle (par exemple, CodeBuildServiceRole), puis choisissez Create role (Créer un rôle).

Pour créer un rôle CodeBuild de service (AWS CLI)

Assurez-vous d'avoir configuré leAWS CLI avec la cléAWS d'accès et la clé d'accèsAWS secrète qui correspondent à l'une des entités IAM, comme décrit dans la procédure précédente. Pour plus d'informations, consultez Préparation de l'installation de l'AWS Command Line Interface dans le Guide de l'utilisateur AWS Command Line Interface.

Dans un répertoire vide sur le poste de travail ou l'instance local où l'AWS CLI est installée, créez deux fichiers nomméscreate-role.json et put-role-policy.json. Si vous choisissez des noms de fichier différents, substituez-les tout au long de cette procédure.

create-role.json:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "codebuild.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Note

Nous vous recommandons d'utiliser les clés de condition aws:SourceAccount et aws:SourceArn pour vous protéger contre le problème du député confus. Par exemple, vous pouvez modifier la politique d'approbation précédente avec les blocs de condition suivants. aws:SourceAccountIl s'agit du propriétaire du CodeBuild projet et deaws:SourceArn l'ARN CodeBuild du projet.

Si vous souhaitez limiter votre rôle de service à unAWS compte, celacreate-role.json pourrait ressembler à ceci :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "codebuild.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "account-ID"
                    ]
                }
            }
        }
    ]
}

Si vous souhaitez limiter votre rôle de service à un CodeBuild projet spécifique, celacreate-role.json pourrait ressembler à ceci :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "codebuild.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:codebuild:region-ID:account-ID:project/project-name"
                }
            }
        }
    ]
}

Note

Si vous ne connaissez pas ou n'avez pas encore choisi le nom de votre CodeBuild projet et que vous souhaitez appliquer une politique d'approbation à un modèle ARN particulier, vous pouvez remplacer cette partie de l'ARN par un caractère générique (*). Après avoir créé votre projet, vous pouvez mettre à jour la politique de confiance.

put-role-policy.json:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudWatchLogsPolicy",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeCommitPolicy",
      "Effect": "Allow",
      "Action": [
        "codecommit:GitPull"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3GetObjectPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3PutObjectPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3BucketIdentity",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}

Note

Placez-vous dans le répertoire dans lequel vous avez enregistré les fichiers précédents, puis exécutez les deux commandes suivantes, une par une, dans cet ordre. Vous pouvez utiliser des valeurs différentes pour CodeBuildServiceRole et CodeBuildServiceRolePolicy, mais veillez à les substituer ici.
```
aws iam create-role --role-name CodeBuildServiceRole --assume-role-policy-document file://create-role.json
```
```
aws iam put-role-policy --role-name CodeBuildServiceRole --policy-name CodeBuildServiceRolePolicy --policy-document file://put-role-policy.json
```

Création et configuration d'une clé gérée par le client pour CodeBuild

AWS CodeBuildPour crypter ses artefacts de sortie de génération, il doit accéder à une clé KMS. Par défaut, CodeBuild utilise leClé gérée par AWS pour Amazon S3 dans votreAWS compte.

Si vous ne souhaitez pas utiliser leClé gérée par AWS, vous devez créer et configurer vous-même une clé gérée par le client. Cette section décrit comment procéder avec la console IAM.

Pour plus d'informations sur les clés gérées par le client, consultez la section AWS Key Management ServiceConcepts et création de clés du manuel duAWS KMS développeur.

Pour configurer une clé gérée par le client à des fins d'utilisation par CodeBuild, suivez les instructions de la section « Comment modifier une politique clé » de la section Modification d'une politique clé dans le Guide duAWS KMS développeur. Ajoutez ensuite les instructions suivantes (entre ### BEGIN ADDING STATEMENTS HERE ### et ### END ADDING STATEMENTS HERE ###) à la stratégie de clé. Des ellipses (...) sont utilisées par souci de concision et pour vous aider à déterminer l'endroit où ajouter les instructions. Ne supprimez aucune instruction, et n'entrez pas ces ellipses dans la stratégie de clé.


{
  "Version": "2012-10-17",
  "Id": "...",
  "Statement": [
    ### BEGIN ADDING STATEMENTS HERE ###
    {
      "Sid": "Allow access through Amazon S3 for all principals in the account that are authorized to use Amazon S3",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "s3.region-ID.amazonaws.com",
          "kms:CallerAccount": "account-ID"
        }
      }
    },
    {
      "Effect": "Allow", 
      "Principal": {
        "AWS": "arn:aws:iam::account-ID:role/CodeBuild-service-role"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    ### END ADDING STATEMENTS HERE ###
    {
      "Sid": "Enable IAM User Permissions",
      ...
    },
    {
      "Sid": "Allow access for Key Administrators",
      ...
    },
    {
      "Sid": "Allow use of the key",
      ...
    },
    {
      "Sid": "Allow attachment of persistent resources",
      ...
    }
  ]
}

Region-ID représente l'ID de laAWS région dans laquelle se CodeBuild trouvent les compartiments Amazon S3 associés (par exemple,us-east-1).
L'ID duAWS compte propriétaire de la clé gérée par le client.
CodeBuild-service-role représente le nom du rôle de CodeBuild service que vous avez créé ou identifié plus haut dans cette rubrique.

Note

Pour créer ou configurer une clé gérée par le client via la console IAM, vous devez d'abord vous connecter à l'aideAWS Management Console de l'une des méthodes suivantes :

Votre compte racine AWS. Ceci n'est pas recommandé. Pour plus d'informations, consultez la section The Account Root User dans le guide de l'utilisateur.
Un utilisateur administrateur de votreAWS compte. Pour plus d'informations, consultez la section Création de votre premier utilisateur et groupeCompte AWS root dans le Guide de l'utilisateur.
Utilisateur de votreAWS compte autorisé à créer ou à modifier la clé gérée par le client. Pour plus d'informations, consultez Autorisations requises pour utiliser la console AWS KMS dans le Manuel du développeur AWS KMS.

Installation et configuration de l'AWS CLI

Pour y accéderAWS CodeBuild, vous pouvez utiliser la consoleAWS CLI avec ou à la place de la CodeBuild console, de la CodePipeline console ouAWS des SDK. Pour installer et configurer leAWS CLI, consultez la section Getting Setup with theAWS Command Line Interface dans le Guide deAWS Command Line Interface l'utilisateur.

Exécutez la commande suivante pour vérifier si vous avez installé lesAWS CLI supports CodeBuild :
```
aws codebuild list-builds
```
En cas de réussite, des informations similaires à ce qui suit s'affichent dans la sortie :
```
{
  "ids": []
}
```
Les crochets vides indiquent que vous n'avez pas encore exécuté de générations.
Si une erreur est générée, vous devez désinstaller votre version actuelle de l'AWS CLI, puis installer la dernière version. Pour plus d'informations, consultez Désinstallation de l'AWS CLI et Installation de l'AWS Command Line Interface dans le Guide de l'utilisateur AWS Command Line Interface.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Rubriques avancées

Référence des commandes en ligne