Memungkinkan pengguna untuk berinteraksi dengan CodeBuild - AWS CodeBuild

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memungkinkan pengguna untuk berinteraksi dengan CodeBuild

Jika Anda mengikuti langkah-langkah Memulai menggunakan konsol untuk mengakses AWS CodeBuild untuk pertama kalinya, kemungkinan besar Anda tidak memerlukan informasi dalam topik ini. Namun, saat Anda terus menggunakan CodeBuild, Anda mungkin ingin melakukan hal-hal seperti memberi pengguna dan grup lain di organisasi Anda kemampuan untuk berinteraksi CodeBuild.

Untuk memungkinkan IAM pengguna atau grup berinteraksi AWS CodeBuild, Anda harus memberi mereka izin akses CodeBuild. Bagian ini menjelaskan cara melakukan ini dengan IAM konsol atau AWS CLI.

Jika Anda akan mengakses CodeBuild dengan akun AWS root Anda (tidak disarankan) atau pengguna administrator di AWS akun Anda, maka Anda tidak perlu mengikuti instruksi ini.

Untuk informasi tentang akun AWS root dan pengguna administrator, lihat Pengguna Akun AWS root dan Membuat pengguna dan Grup Akun AWS root Pertama Anda di Panduan pengguna.

Untuk menambahkan izin CodeBuild akses ke IAM grup atau pengguna (konsol)

  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

    Anda seharusnya sudah masuk AWS Management Console dengan menggunakan salah satu dari berikut ini:

    • Akun AWS root Anda. Ini tidak disarankan. Untuk informasi selengkapnya, lihat Pengguna Akun AWS root di Panduan pengguna.

    • Pengguna administrator di AWS akun Anda. Untuk informasi selengkapnya, lihat Membuat pengguna Akun AWS root dan Grup Pertama Anda di Panduan pengguna.

    • Pengguna di AWS akun Anda dengan izin untuk melakukan serangkaian tindakan minimum berikut:

      iam:AttachGroupPolicy
iam:AttachUserPolicy
iam:CreatePolicy
iam:ListAttachedGroupPolicies
iam:ListAttachedUserPolicies
iam:ListGroups
iam:ListPolicies
iam:ListUsers

      Untuk informasi selengkapnya, lihat Ikhtisar IAM Kebijakan di Panduan pengguna.

  2. Di panel navigasi, pilih Kebijakan.

  3. Untuk menambahkan kumpulan izin AWS CodeBuild akses khusus ke IAM grup atau IAM pengguna, lanjutkan ke langkah 4 dalam prosedur ini.

    Untuk menambahkan set default izin CodeBuild akses ke IAM grup atau IAM pengguna, pilih Jenis Kebijakan, AWS Dikelola, lalu lakukan hal berikut:

    • Untuk menambahkan izin akses penuh ke CodeBuild, pilih kotak bernama AWSCodeBuildAdminAccess, pilih Tindakan Kebijakan, lalu pilih Lampirkan. Pilih kotak di samping IAM grup target atau pengguna, lalu pilih Lampirkan Kebijakan. Ulangi ini untuk kebijakan bernama AmazonS3 ReadOnlyAccess dan. IAMFullAccess

    • Untuk menambahkan izin akses ke semua hal CodeBuild kecuali membangun administrasi proyek, pilih kotak bernama AWSCodeBuildDeveloperAccess, pilih Tindakan Kebijakan, lalu pilih Lampirkan. Pilih kotak di samping IAM grup target atau pengguna, lalu pilih Lampirkan Kebijakan. Ulangi ini untuk kebijakan bernama ReadOnlyAccessAmazonS3.

    • Untuk menambahkan izin akses hanya-baca ke CodeBuild, pilih kotak bernama. AWSCodeBuildReadOnlyAccess Pilih kotak di samping IAM grup target atau pengguna, lalu pilih Lampirkan Kebijakan. Ulangi ini untuk kebijakan bernama ReadOnlyAccessAmazonS3.

    Anda sekarang telah menambahkan satu set default izin CodeBuild akses ke IAM grup atau pengguna. Lewati langkah-langkah lainnya dalam prosedur ini.

  4. Pilih Buat Kebijakan.

  5. Pada halaman Buat Kebijakan, di samping Buat Kebijakan Anda Sendiri, pilih Pilih.

  6. Pada halaman Kebijakan Tinjauan, untuk Nama Kebijakan, masukkan nama untuk kebijakan (misalnya,CodeBuildAccessPolicy). Jika Anda menggunakan nama yang berbeda, pastikan untuk menggunakannya selama prosedur ini.

  7. Untuk Dokumen Kebijakan, masukkan yang berikut ini, lalu pilih Buat Kebijakan.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeBuildAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "codebuild:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeBuildRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/role-name"
    },
    {
      "Sid": "CloudWatchLogsAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3AccessPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:GetObject",
        "s3:List*",
        "s3:PutObject"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3BucketIdentity",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}
    catatan

    Kebijakan ini memungkinkan akses ke semua CodeBuild tindakan dan ke sejumlah besar AWS sumber daya yang berpotensi besar. Untuk membatasi izin untuk CodeBuild tindakan tertentu, ubah nilai codebuild:* dalam pernyataan CodeBuild kebijakan. Untuk informasi selengkapnya, lihat Pengelolaan identitas dan akses. Untuk membatasi akses ke AWS sumber daya tertentu, ubah nilai Resource objek. Untuk informasi selengkapnya, lihat Pengelolaan identitas dan akses.

  8. Di panel navigasi, pilih Grup atau Pengguna.

  9. Dalam daftar grup atau pengguna, pilih nama IAM grup atau IAM pengguna yang ingin Anda tambahkan izin CodeBuild akses.

  10. Untuk grup, pada halaman pengaturan grup, pada tab Izin, perluas Kebijakan Terkelola, lalu pilih Lampirkan Kebijakan.

    Untuk pengguna, pada halaman pengaturan pengguna, pada tab Izin, pilih Tambahkan izin.

  11. Untuk grup, pada halaman Lampirkan Kebijakan, pilih CodeBuildAccessPolicy, lalu pilih Lampirkan Kebijakan.

    Untuk pengguna, pada halaman Tambah izin, pilih Lampirkan kebijakan yang ada secara langsung. Pilih CodeBuildAccessPolicy, pilih Berikutnya: Tinjau, lalu pilih Tambahkan izin.

Untuk menambahkan izin CodeBuild akses ke IAM grup atau pengguna ()AWS CLI

  1. Pastikan Anda telah mengonfigurasi AWS CLI dengan kunci AWS akses dan kunci akses AWS rahasia yang sesuai dengan salah satu IAM entitas, seperti yang dijelaskan dalam prosedur sebelumnya. Untuk informasi selengkapnya, lihat Menyiapkan AWS Command Line Interface dengan Panduan AWS Command Line Interface Pengguna.

  2. Untuk menambahkan kumpulan izin AWS CodeBuild akses khusus ke IAM grup atau IAM pengguna, lewati ke langkah 3 dalam prosedur ini.

    Untuk menambahkan set default izin CodeBuild akses ke IAM grup atau IAM pengguna, lakukan hal berikut:

    Jalankan salah satu perintah berikut, tergantung pada apakah Anda ingin menambahkan izin ke IAM grup atau pengguna:

    aws iam attach-group-policy --group-name group-name --policy-arn policy-arn

aws iam attach-user-policy --user-name user-name --policy-arn policy-arn

    Anda harus menjalankan perintah tiga kali, mengganti group-name atau user-name dengan nama IAM grup atau nama pengguna, dan mengganti policy-arn sekali untuk setiap kebijakan berikut Nama Sumber Daya Amazon (ARNs):

    • Untuk menambahkan izin akses penuh ke CodeBuild, gunakan kebijakan ARNs berikut:

      • arn:aws:iam::aws:policy/AWSCodeBuildAdminAccess

      • arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

      • arn:aws:iam::aws:policy/IAMFullAccess

    • Untuk menambahkan izin akses ke semua hal CodeBuild kecuali membangun administrasi proyek, gunakan kebijakan ARNs berikut:

      • arn:aws:iam::aws:policy/AWSCodeBuildDeveloperAccess

      • arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

    • Untuk menambahkan izin akses hanya-baca ke CodeBuild, gunakan kebijakan berikut: ARNs

      • arn:aws:iam::aws:policy/AWSCodeBuildReadOnlyAccess

      • arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

    Anda sekarang telah menambahkan satu set default izin CodeBuild akses ke IAM grup atau pengguna. Lewati langkah-langkah lainnya dalam prosedur ini.

  3. Dalam direktori kosong di workstation lokal atau contoh di mana AWS CLI diinstal, buat file bernama put-group-policy.json atauput-user-policy.json. Jika Anda menggunakan nama file yang berbeda, pastikan untuk menggunakannya selama prosedur ini.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeBuildAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "codebuild:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeBuildRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/role-name"
    },
    {
      "Sid": "CloudWatchLogsAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3AccessPolicy",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:GetObject",
        "s3:List*",
        "s3:PutObject"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3BucketIdentity",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}
    catatan

    Kebijakan ini memungkinkan akses ke semua CodeBuild tindakan dan ke sejumlah besar AWS sumber daya yang berpotensi besar. Untuk membatasi izin untuk CodeBuild tindakan tertentu, ubah nilai codebuild:* dalam pernyataan CodeBuild kebijakan. Untuk informasi selengkapnya, lihat Pengelolaan identitas dan akses. Untuk membatasi akses ke AWS sumber daya tertentu, ubah nilai Resource objek terkait. Untuk informasi selengkapnya, lihat Pengelolaan identitas dan akses atau dokumentasi keamanan AWS layanan tertentu.

  4. Beralih ke direktori tempat Anda menyimpan file, lalu jalankan salah satu perintah berikut. Anda dapat menggunakan nilai yang berbeda untuk CodeBuildGroupAccessPolicy danCodeBuildUserAccessPolicy. Jika Anda menggunakan nilai yang berbeda, pastikan untuk menggunakannya di sini.

    Untuk IAM grup:

    aws iam put-group-policy --group-name group-name --policy-name CodeBuildGroupAccessPolicy --policy-document file://put-group-policy.json

    Untuk pengguna:

    aws iam put-user-policy --user-name user-name --policy-name CodeBuildUserAccessPolicy --policy-document file://put-user-policy.json

    Pada perintah sebelumnya, ganti group-name atau user-name dengan nama IAM kelompok sasaran atau pengguna.