Ikhtisar mengelola izin akses ke sumber daya Anda AWS CodeBuild - AWS CodeBuild
Sumber daya dan operasiMemahami kepemilikan sumber dayaMengelola akses ke sumber dayaMenentukan elemen kebijakan: Tindakan, efek, dan penanggung jawab

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ikhtisar mengelola izin akses ke sumber daya Anda AWS CodeBuild

Setiap AWS sumber daya dimiliki oleh AWS akun, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin ke IAM identitas (yaitu, pengguna, grup, dan peran).

catatan

Administrator akun (atau pengguna administrator) adalah pengguna dengan hak akses administrator. Untuk informasi selengkapnya, lihat Praktik IAM Terbaik di Panduan IAM Pengguna.

Ketika Anda memberikan izin, Anda memutuskan siapa yang mendapatkan izin, sumber daya yang dapat mereka akses, dan tindakan yang dapat dilakukan pada sumber daya tersebut.

AWS CodeBuild sumber daya dan operasi

Di AWS CodeBuild, sumber daya utama adalah proyek pembangunan. Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang berlaku untuk kebijakan tersebut. Build juga merupakan sumber daya dan telah ARNs dikaitkan dengan mereka. Untuk informasi selengkapnya, lihat Amazon Resource Names (ARN) dan Ruang Nama AWS Layanan di bagian. Referensi Umum Amazon Web Services

Jenis sumber daya ARNformat
Membangun proyek

arn:aws:codebuild:region-ID:account-ID:project/project-name
Membangun

arn:aws:codebuild:region-ID:account-ID:build/build-ID
Kelompok laporan arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name
Laporan arn:aws:codebuild:region-ID:account-ID:report/report-ID
Armada

arn:aws:codebuild:region-ID:account-ID:fleet/fleet-ID

Semua CodeBuild sumber daya

arn:aws:codebuild:*

Semua CodeBuild sumber daya yang dimiliki oleh akun yang ditentukan di AWS Wilayah yang ditentukan

arn:aws:codebuild:region-ID:account-ID:*
penting

Saat menggunakan fitur kapasitas cadangan, data yang di-cache pada instance armada, termasuk file sumber, lapisan Docker, dan direktori cache yang ditentukan dalam buildspec, dapat diakses oleh proyek lain dalam akun yang sama. Ini dirancang dan memungkinkan proyek dalam akun yang sama untuk berbagi instance armada.

catatan

Sebagian besar AWS layanan memperlakukan titik dua (:) atau garis miring (/) sebagai karakter yang sama diARNs. Namun, CodeBuild menggunakan kecocokan yang tepat dalam pola dan aturan sumber daya. Pastikan untuk menggunakan karakter yang benar saat Anda membuat pola acara sehingga cocok dengan ARN sintaks di sumber daya.

Misalnya, Anda dapat menunjukkan proyek build tertentu (myBuildProject) dalam pernyataan Anda menggunakan ARN sebagai berikut:

"Resource": "arn:aws:codebuild:us-east-2:123456789012:project/myBuildProject"

Untuk menentukan semua sumber daya, atau jika API tindakan tidak mendukungARNs, gunakan karakter wildcard (*) dalam Resource elemen sebagai berikut:

"Resource": "*"

Beberapa CodeBuild API tindakan menerima banyak sumber daya (misalnya,BatchGetProjects). Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma, sebagai berikut:

"Resource": [
  "arn:aws:codebuild:us-east-2:123456789012:project/myBuildProject",
  "arn:aws:codebuild:us-east-2:123456789012:project/myOtherBuildProject"
]

CodeBuild menyediakan satu set operasi untuk bekerja dengan CodeBuild sumber daya. Untuk daftar, lihat AWS CodeBuild referensi izin.

Memahami kepemilikan sumber daya

AWS Akun memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang membuat sumber daya. Secara khusus, pemilik sumber daya adalah AWS akun entitas utama (yaitu, akun root, pengguna, atau IAM peran) yang mengautentikasi permintaan pembuatan sumber daya. Contoh berikut menggambarkan cara kerjanya:

  • Jika Anda menggunakan kredensi akun root AWS akun Anda untuk membuat aturan, AWS akun Anda adalah pemilik sumber daya. CodeBuild

  • Jika Anda membuat pengguna di AWS akun Anda dan memberikan izin untuk membuat CodeBuild sumber daya kepada pengguna tersebut, pengguna dapat membuat CodeBuild sumber daya. Namun, AWS akun Anda, tempat pengguna berada, memiliki CodeBuild sumber daya.

  • Jika Anda membuat IAM peran di AWS akun dengan izin untuk membuat CodeBuild sumber daya, siapa pun yang dapat mengambil peran tersebut dapat membuat CodeBuild sumber daya. AWS Akun Anda, tempat peran itu berada, memiliki CodeBuild sumber daya.

Mengelola akses ke sumber daya

Kebijakan izin menjelaskan siapa yang memiliki akses ke sumber daya mana.

catatan

Bagian ini membahas penggunaan IAM in AWS CodeBuild. Itu tidak memberikan informasi rinci tentang IAM layanan. Untuk IAM dokumentasi selengkapnya, lihat Apa ituIAM? dalam IAMUser Guide. Untuk informasi tentang sintaks IAM kebijakan dan deskripsi, lihat Referensi AWS IAM Kebijakan di IAMPanduan Pengguna.

Kebijakan yang melekat pada IAM identitas disebut sebagai kebijakan berbasis identitas (kebijakan)IAM. Kebijakan yang melekat pada sumber daya disebut sebagai kebijakan berbasis sumber daya. CodeBuild mendukung kebijakan berbasis identitas, dan kebijakan berbasis sumber daya untuk pembacaan tertentu hanya APIs untuk tujuan berbagi sumber daya lintas akun.

Akses aman ke bucket S3

Kami sangat menyarankan agar Anda menyertakan izin berikut dalam IAM peran Anda untuk memverifikasi bucket S3 yang terkait dengan CodeBuild proyek Anda dimiliki oleh Anda atau seseorang yang Anda percayai. Izin ini tidak disertakan dalam kebijakan dan peran AWS terkelola. Anda harus menambahkannya sendiri.

  • s3:GetBucketAcl

  • s3:GetBucketLocation

Jika pemilik bucket S3 yang digunakan oleh proyek Anda berubah, Anda harus memverifikasi bahwa Anda masih memiliki bucket dan memperbarui izin dalam IAM peran Anda jika tidak. Untuk informasi selengkapnya, silakan lihat Memungkinkan pengguna untuk berinteraksi dengan CodeBuild dan Memungkinkan CodeBuild untuk berinteraksi dengan AWS layanan lain.

Menentukan elemen kebijakan: Tindakan, efek, dan penanggung jawab

Untuk setiap AWS CodeBuild sumber daya, layanan mendefinisikan serangkaian API operasi. Untuk memberikan izin untuk API operasi ini, CodeBuild tentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Beberapa API operasi dapat memerlukan izin untuk lebih dari satu tindakan untuk melakukan API operasi. Untuk informasi selengkapnya, silakan lihat AWS CodeBuild sumber daya dan operasi dan AWS CodeBuild referensi izin.

Berikut ini adalah elemen-elemen kebijakan dasar:

  • Sumber Daya — Anda menggunakan Nama Sumber Daya Amazon (ARN) untuk mengidentifikasi sumber daya yang berlaku untuk kebijakan tersebut.

  • Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, izin codebuild:CreateProject memungkinkan pengguna melakukan operasi CreateProject.

  • Pengaruh – Anda menetapkan pengaruh, baik mengizinkan atau menolak, ketika pengguna meminta tindakan tertentu. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya. Anda dapat melakukan ini untuk memastikan pengguna tidak dapat mengakses sumber daya, meskipun kebijakan lain memberikan akses.

  • Principal — Dalam kebijakan berbasis identitas (IAMkebijakan), pengguna kebijakan yang dilampirkan adalah prinsipal implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin Anda terima izinnya.

Untuk mempelajari lebih lanjut tentang sintaks dan deskripsi IAM kebijakan, lihat Referensi AWS IAM Kebijakan di IAMPanduan Pengguna.

Untuk tabel yang menunjukkan semua CodeBuild API tindakan dan sumber daya yang mereka terapkan, lihatAWS CodeBuild referensi izin.