Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi keluaran build menggunakan kunci terkelola pelanggan
Jika Anda mengikuti langkah-langkah Memulai menggunakan konsol untuk mengakses AWS CodeBuild untuk pertama kalinya, kemungkinan besar Anda tidak memerlukan informasi dalam topik ini. Namun, saat Anda terus menggunakan CodeBuild, Anda mungkin ingin melakukan hal-hal seperti mengenkripsi artefak build.
AWS CodeBuild Untuk mengenkripsi artefak keluaran build-nya, ia membutuhkan akses ke kunci. KMS Secara default, CodeBuild gunakan Kunci yang dikelola AWS untuk Amazon S3 di akun Anda AWS .
Jika Anda tidak ingin menggunakan Kunci yang dikelola AWS, Anda harus membuat dan mengkonfigurasi kunci yang dikelola pelanggan sendiri. Bagian ini menjelaskan cara melakukan ini dengan IAM konsol.
Untuk informasi tentang kunci yang dikelola pelanggan, lihat AWS Key Management Service Konsep dan Membuat Kunci di Panduan AWS KMS Pengembang.
Untuk mengonfigurasi kunci yang dikelola pelanggan untuk digunakan oleh CodeBuild, ikuti petunjuk di bagian “Cara Memodifikasi Kebijakan Kunci” di Memodifikasi Kebijakan Kunci di Panduan AWS KMS Pengembang. Kemudian tambahkan pernyataan berikut (antara ### BEGIN ADDING STATEMENTS HERE
### and ### END ADDING STATEMENTS HERE ###) ke kebijakan utama. Ellipses (...) digunakan untuk singkatnya dan untuk membantu Anda menemukan tempat untuk menambahkan pernyataan. Jangan menghapus pernyataan apa pun, dan jangan ketik elips ini ke dalam kebijakan kunci.
{ "Version": "2012-10-17", "Id": "...", "Statement": [### BEGIN ADDING STATEMENTS HERE ###{ "Sid": "Allow access through Amazon S3 for all principals in the account that are authorized to use Amazon S3", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "s3.region-ID.amazonaws.com", "kms:CallerAccount": "account-ID" } } }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-ID:role/CodeBuild-service-role" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" },### END ADDING STATEMENTS HERE ###{ "Sid": "Enable IAM User Permissions", ... }, { "Sid": "Allow access for Key Administrators", ... }, { "Sid": "Allow use of the key", ... }, { "Sid": "Allow attachment of persistent resources", ... } ] }
-
region-IDmewakili ID AWS wilayah tempat bucket Amazon S3 yang terkait dengan CodeBuild berada (misalnya,).us-east-1 -
account-IDmewakili ID dari AWS akun yang memiliki kunci yang dikelola pelanggan. -
CodeBuild-service-rolemewakili nama peran CodeBuild layanan yang Anda buat atau identifikasi sebelumnya dalam topik ini.
catatan
Untuk membuat atau mengonfigurasi kunci yang dikelola pelanggan melalui IAM konsol, Anda harus masuk terlebih dahulu AWS Management Console menggunakan salah satu dari berikut ini:
-
Akun AWS root Anda. Ini tidak disarankan. Untuk informasi selengkapnya, lihat Pengguna Root Akun di Panduan pengguna.
-
Pengguna administrator di AWS akun Anda. Untuk informasi selengkapnya, lihat Membuat pengguna Akun AWS root dan Grup Pertama Anda di Panduan pengguna.
-
Pengguna di AWS akun Anda dengan izin untuk membuat atau memodifikasi kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat Izin yang Diperlukan untuk Menggunakan AWS KMS Konsol di Panduan AWS KMS Pengembang.
