Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS CodeBuild
AWS CodeBuild (préfixe de service :codebuild
) fournit les ressources, actions et clés de contexte de condition spécifiques au service suivantes à utiliser dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par AWS CodeBuild
Vous pouvez indiquer les actions suivantes dans l'élément Action
d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource
de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resource
élément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition
d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
---|---|---|---|---|---|
BatchDeleteBuilds | Accorde l'autorisation de supprimer une ou plusieurs générations | Écrire | |||
BatchGetBuildBatches | Accorde l'autorisation d'obtenir des informations relatives à un ou plusieurs lots de génération | Lecture | |||
BatchGetBuilds | Accorde l'autorisation d'obtenir des informations relatives à une ou plusieurs générations | Lecture | |||
BatchGetFleets | Accorde l'autorisation de renvoyer un tableau des objets Fleet spécifiés par le paramètre d'entrée | Lecture | |||
BatchGetProjects | Accorde l'autorisation d'obtenir des informations relatives à une ou plusieurs projets de génération | Lecture | |||
BatchGetReportGroups | Accorde l'autorisation de renvoyer un tableau d' ReportGroup objets spécifiés par le reportGroupArns paramètre d'entrée | Lecture | |||
BatchGetReports | Accorde l'autorisation de renvoyer un tableau des objets Report spécifiés par le paramètre reportArns en entrée | Lecture | |||
BatchPutCodeCoverages [autorisation uniquement] | Accorde l'autorisation d'ajouter ou de mettre à jour les informations relatives à un rapport | Écrire | |||
BatchPutTestCases [autorisation uniquement] | Accorde l'autorisation d'ajouter ou de mettre à jour les informations relatives à un rapport | Écrire | |||
CreateFleet | Autorise la création d'un parc informatique | Écrire | |||
CreateProject | Accorde l'autorisation de créer un projet de génération | Écrire | |||
CreateReport [autorisation uniquement] | Accorde l'autorisation de créer un rapport. Un rapport est créé lorsque les tests spécifiés dans le fichier buildspec pour un groupe de rapports s'exécutant pendant la génération d'un projet | Écrire | |||
CreateReportGroup | Accorde l'autorisation de créer un groupe de rapports | Écrire | |||
CreateWebhook | Accorde l'autorisation de créer un webhook. Pour un projet de AWS CodeBuild build existant dont le code source est stocké dans un dépôt Bitbucket GitHub ou dans un dépôt Bitbucket, permet de commencer AWS CodeBuild à reconstruire le code source chaque fois qu'une modification de code est envoyée au référentiel | Écrire | |||
DeleteBuildBatch | Accorde l'autorisation de supprimer un lot de génération | Écrire | |||
DeleteFleet | Autorise la suppression d'un parc informatique | Écrire | |||
DeleteOAuthToken [autorisation uniquement] | Accorde l'autorisation de supprimer un jeton OAuth à partir d'un fournisseur OAuth tiers connecté. Uniquement utilisé dans la AWS CodeBuild console | Écrire | |||
DeleteProject | Accorde l'autorisation de supprimer un projet de génération | Écrire | |||
DeleteReport | Accorde l'autorisation de supprimer un rapport | Écrire | |||
DeleteReportGroup | Accorde l'autorisation de supprimer un groupe de rapports | Écrire | |||
DeleteResourcePolicy | Accorde l'autorisation de supprimer une politique de ressource pour le projet ou le groupe de rapports associé | Gestion des autorisations | |||
DeleteSourceCredentials | Accorde l'autorisation de supprimer un ensemble d' GitHubinformations GitHub d'identification source, Enterprise ou Bitbucket | Écrire | |||
DeleteWebhook | Accorde l'autorisation de supprimer un webhook. Pour un projet de AWS CodeBuild build existant dont le code source est stocké dans un dépôt Bitbucket GitHub ou un dépôt Bitbucket, il arrête AWS CodeBuild de reconstruire le code source chaque fois qu'une modification de code est envoyée au référentiel | Écrire | |||
DescribeCodeCoverages | Accorde l'autorisation de renvoyer un tableau d' CodeCoverage objets | Lecture | |||
DescribeTestCases | Accorde l'autorisation de renvoyer un tableau d' TestCase objets | Lecture | |||
GetReportGroupTrend | Accorde l'autorisation d'analyser et d'accumuler les valeurs du rapport de test pour les rapports de test dans le groupe de rapports spécifié | Lecture | |||
GetResourcePolicy | Accorde l'autorisation de renvoyer une politique de ressource pour le projet ou le groupe de rapports spécifié | Lecture | |||
ImportSourceCredentials | Accorde l'autorisation d'importer les informations d'identification du référentiel source pour un AWS CodeBuild projet dont le code source est stocké dans un GitHub référentiel GitHub Enterprise ou Bitbucket | Écrire | |||
InvalidateProjectCache | Accorde l'autorisation de réinitialiser le cache pour un projet | Écrire | |||
ListBuildBatches | Accorde l'autorisation d'obtenir une liste des ID de lot de génération, chaque ID représentant un lot de génération unique | Liste | |||
ListBuildBatchesForProject | Accorde l'autorisation d'obtenir la liste des ID de lot de génération pour le projet de génération spécifié, chaque ID représentant un lot de génération unique | Liste | |||
ListBuilds | Accorde l'autorisation d'obtenir la liste des ID de génération, chaque ID représentant une génération unique | Liste | |||
ListBuildsForProject | Accorde l'autorisation d'obtenir la liste des ID de génération pour le projet de génération spécifié, chaque ID représentant une génération unique | Liste | |||
ListConnectedOAuthAccounts [autorisation uniquement] | Accorde l'autorisation de répertorier les fournisseurs OAuth tiers connectés. Uniquement utilisé dans la AWS CodeBuild console | Liste | |||
ListCuratedEnvironmentImages | Accorde l'autorisation d'obtenir des informations sur les images Docker gérées par AWS CodeBuild | Liste | |||
ListFleets | Permet d'obtenir une liste des ARN du parc de calcul, chaque ARN du parc de calcul représentant un seul parc | Liste | |||
ListProjects | Accorde l'autorisation d'obtenir une liste de noms de projet de génération, chaque nom représentant un projet de génération unique | Liste | |||
ListReportGroups | Accorde l'autorisation de renvoyer une liste d'ARN de groupes de rapports. Chaque ARN de groupe de rapports représente un groupe de rapports | Liste | |||
ListReports | Accorde l'autorisation de renvoyer une liste d'ARN de rapports. Chaque ARN de rapport représente un rapport | Liste | |||
ListReportsForReportGroup | Accorde l'autorisation de renvoyer une liste d'ARN de rapport appartenant au groupe de rapports spécifié. Chaque ARN de rapport représente un rapport | Liste | |||
ListRepositories [autorisation uniquement] | Accorde l'autorisation de répertorier les référentiels de code source à partir d'un fournisseur OAuth tiers connecté. Uniquement utilisé dans la AWS CodeBuild console | Liste | |||
ListSharedProjects | Accorde l'autorisation de renvoyer une liste d'ARN de projet qui ont été partagés avec le demandeur. Chaque ARN de projet représente un projet | Liste | |||
ListSharedReportGroups | Accorde l'autorisation de renvoyer une liste d'ARN de groupe de rapports qui ont été partagés avec le demandeur. Chaque ARN de groupe de rapports représente un groupe de rapports | Liste | |||
ListSourceCredentials | Autorise le renvoi d'une liste d' SourceCredentialsInfo objets | Liste | |||
PersistOAuthToken [autorisation uniquement] | Accorde l'autorisation d'enregistrer un jeton OAuth à partir d'un fournisseur OAuth tiers connecté. Uniquement utilisé dans la AWS CodeBuild console | Écrire | |||
PutResourcePolicy | Accorde l'autorisation de créer une politique de ressource pour le projet ou le groupe de rapports associé | Gestion des autorisations | |||
RetryBuild | Accorde l'autorisation de réessayer une génération | Écrire | |||
RetryBuildBatch | Accorde l'autorisation de réessayer un lot de génération | Écrire | |||
StartBuild | Accorde l'autorisation de démarrer l'exécution d'une génération | Écrire | |||
StartBuildBatch | Accorde l'autorisation de démarrer l'exécution d'un lot de génération | Écrire | |||
StopBuild | Accorde l'autorisation d'essayer d'arrêter l'exécution d'une génération | Écrire | |||
StopBuildBatch | Accorde l'autorisation d'essayer d'arrêter l'exécution d'un lot de génération | Écrire | |||
UpdateFleet | Autorise la modification des paramètres d'un parc informatique existant | Écrire | |||
UpdateProject | Accorde l'autorisation de modifier les paramètres d'un projet de génération existant | Écrire | |||
UpdateProjectVisibility | Accorde l'autorisation de modifier la visibilité publique d'un projet et de ses générations | Écrire | |||
UpdateReport [autorisation uniquement] | Accorde l'autorisation de mettre à jour les informations relatives à un rapport | Écrire | |||
UpdateReportGroup | Accorde l'autorisation de modifier les paramètres d'un groupe de rapports existant | Écrire | |||
UpdateWebhook | Accorde l'autorisation de mettre à jour le webhook associé à un projet de AWS CodeBuild build | Écrire |
Types de ressources définis par AWS CodeBuild
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource
élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
Types de ressources | ARN | Clés de condition |
---|---|---|
build |
arn:${Partition}:codebuild:${Region}:${Account}:build/${BuildId}
|
|
build-batch |
arn:${Partition}:codebuild:${Region}:${Account}:build-batch/${BuildBatchId}
|
|
project |
arn:${Partition}:codebuild:${Region}:${Account}:project/${ProjectName}
|
|
report-group |
arn:${Partition}:codebuild:${Region}:${Account}:report-group/${ReportGroupName}
|
|
report |
arn:${Partition}:codebuild:${Region}:${Account}:report/${ReportGroupName}:${ReportId}
|
|
fleet |
arn:${Partition}:codebuild:${Region}:${Account}:fleet/${FleetName}:${FleetId}
|
Clés de condition pour AWS CodeBuild
AWS CodeBuild définit les clés de condition suivantes qui peuvent être utilisées dans l'Condition
élément d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
Clés de condition | Description | Type |
---|---|---|
aws:RequestTag/${TagKey} | Filtre l'accès en fonction des actions basées sur la présence de paires clé-valeur de balise dans la requête | Chaîne |
aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des actions basées sur les paires clé-valeur d'identification attachées à la ressource | Chaîne |
aws:TagKeys | Filtre l'accès en fonction des actions basées sur la présence de clés d'identification dans la requête | ArrayOfString |