Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Panoramica della gestione delle autorizzazioni di accesso alle risorse AWS CodeBuild
Ogni AWS risorsa è di proprietà di un AWS account e le autorizzazioni per creare o accedere a una risorsa sono regolate da politiche di autorizzazione. Un amministratore di account può associare politiche di autorizzazione alle IAM identità (ovvero utenti, gruppi e ruoli).
Nota
Un amministratore account (o un utente amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni, consulta IAMBest Practices nella Guida per l'IAMutente.
Quando concedi le autorizzazioni, devi specificare gli utenti che le riceveranno, le risorse a cui potranno accedere e le operazioni consentite su tali risorse.
Argomenti
AWS CodeBuild risorse e operazioni
Nel AWS CodeBuild, la risorsa principale è un progetto di compilazione. In una policy, utilizzi un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy. Le build sono anche risorse e sono ARNs associate ad esse. Per ulteriori informazioni, consulta Amazon Resource Names (ARN) e AWS Service Namespaces nel. Riferimenti generali di Amazon Web Services
| Tipo di risorsa | ARNformato |
|---|---|
| Progetto di compilazione |
|
| Creazione |
|
| Gruppo di report | arn:aws:codebuild: |
| Report | arn:aws:codebuild: |
| Parco istanze |
|
|
Tutte le CodeBuild risorse |
|
|
Tutte CodeBuild le risorse di proprietà dell'account specificato nella AWS regione specificata |
|
Importante
Quando si utilizza la funzionalità di capacità riservata, i dati memorizzati nella cache delle istanze del parco istanze, inclusi i file di origine, i layer Docker e le directory memorizzate nella cache specificate nella buildspec, possono essere accessibili ad altri progetti all'interno dello stesso account. Questa funzionalità è preimpostata e consente ai progetti all'interno dello stesso account di condividere le istanze del parco istanze.
Nota
La maggior parte dei AWS servizi considera i due punti (:) o una barra (/) come lo stesso carattere in. ARNs Tuttavia, CodeBuild utilizza una corrispondenza esatta nei modelli e nelle regole delle risorse. Assicurati di utilizzare i caratteri corretti quando crei modelli di eventi in modo che corrispondano alla ARN sintassi della risorsa.
Ad esempio, potete indicare un progetto di compilazione specifico (myBuildProject) nella tua dichiarazione usandola ARN come segue:
"Resource": "arn:aws:codebuild:us-east-2:123456789012:project/myBuildProject"
Per specificare tutte le risorse, o se un'APIazione non la supportaARNs, utilizzate il carattere jolly (*) nell'Resourceelemento come segue:
"Resource": "*"
Alcune CodeBuild API azioni accettano più risorse (ad esempio,BatchGetProjects). Per specificare più risorse in un'unica istruzione, separale ARNs con virgole, come segue:
"Resource": [ "arn:aws:codebuild:us-east-2:123456789012:project/myBuildProject", "arn:aws:codebuild:us-east-2:123456789012:project/myOtherBuildProject" ]
CodeBuild fornisce una serie di operazioni per utilizzare le CodeBuild risorse. Per un elenco, consulta AWS CodeBuild riferimento alle autorizzazioni.
Informazioni sulla proprietà delle risorse
L' AWS account possiede le risorse create nell'account, indipendentemente da chi ha creato le risorse. In particolare, il proprietario della risorsa è l' AWS account dell'entità principale (ovvero l'account root, un utente o un IAM ruolo) che autentica la richiesta di creazione delle risorse. Negli esempi seguenti viene illustrato il funzionamento:
-
Se utilizzi le credenziali dell'account root del tuo AWS account per creare una regola, quest'ultimo AWS è il proprietario della risorsa. CodeBuild
-
Se crei un utente nel tuo AWS account e concedi le autorizzazioni per creare CodeBuild risorse a quell'utente, l'utente può creare CodeBuild risorse. Tuttavia, il tuo AWS account, a cui appartiene l'utente, possiede le CodeBuild risorse.
-
Se crei un IAM ruolo nel tuo AWS account con le autorizzazioni per creare CodeBuild risorse, chiunque possa assumere il ruolo può creare CodeBuild risorse. Il tuo AWS account, a cui appartiene il ruolo, possiede le CodeBuild risorse.
Gestione dell'accesso alle risorse
La policy delle autorizzazioni descrive chi ha accesso a quali risorse.
Nota
Questa sezione illustra l'uso di IAM in AWS CodeBuild. Non fornisce informazioni dettagliate sul IAM servizio. Per la IAM documentazione completa, vedi Cos'èIAM? nella Guida IAM per l'utente. Per informazioni sulla sintassi e le descrizioni delle IAM policy, vedere AWS IAMPolicy Reference nella Guida per l'IAMutente.
Le politiche associate a un'IAMidentità sono denominate politiche basate sull'identità (politiche). IAM Le politiche associate a una risorsa vengono chiamate politiche basate sulle risorse. CodeBuild supporta politiche basate sull'identità e politiche basate sulle risorse, in alcuni casi di sola lettura, ai fini della condivisione delle risorse tra account. APIs
Accesso sicuro ai bucket S3
Ti consigliamo vivamente di includere le seguenti autorizzazioni nel tuo IAM ruolo per verificare che il bucket S3 associato al tuo progetto sia di tua proprietà o di qualcuno di cui ti CodeBuild fidi. Queste autorizzazioni non sono incluse nelle politiche e nei ruoli AWS gestiti. Devi aggiungerle da solo.
-
s3:GetBucketAcl -
s3:GetBucketLocation
Se il proprietario di un bucket S3 utilizzato dal tuo progetto cambia, devi verificare di essere ancora proprietario del bucket e, in caso contrario, aggiornare le autorizzazioni relative al tuo ruolo. IAM Per ulteriori informazioni, consulta Consenti agli utenti di interagire con CodeBuild e Consentono CodeBuild di interagire con altri AWS servizi.
Specifica degli elementi delle policy: operazioni, effetti e principali
Per ogni AWS CodeBuild risorsa, il servizio definisce una serie di API operazioni. Per concedere le autorizzazioni per queste API operazioni, CodeBuild definisce una serie di azioni che è possibile specificare in una politica. Alcune API operazioni possono richiedere autorizzazioni per più di un'azione per eseguire l'APIoperazione. Per ulteriori informazioni, consulta AWS CodeBuild risorse e operazioni e AWS CodeBuild riferimento alle autorizzazioni.
Di seguito sono elencati gli elementi di base di una policy:
-
Risorsa: utilizzi un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy.
-
Azione: utilizzi parole chiave di azione per identificare le operazioni sulle risorse che desideri consentire o negare. Ad esempio, l'autorizzazione
codebuild:CreateProjectfornisce all'utente le autorizzazioni per eseguire l'operazioneCreateProject. -
Effetto: si specifica l'effetto, che può essere consentito o negato, quando l'utente richiede l'azione. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. È anche possibile negare esplicitamente l'accesso a una risorsa. È possibile eseguire questa operazione per assicurarsi che un utente non possa accedere alla risorsa, anche se l'accesso viene concesso da un'altra policy.
-
Principio: nelle politiche basate sull'identità (IAMpolitiche), l'utente a cui è associata la politica è il principale implicito. Per le policy basate sulle risorse, devi specificare utente, account, servizio o altre entità che desideri ricevano le autorizzazioni.
Per ulteriori informazioni sulla sintassi e sulle descrizioni delle IAM policy, consulta AWS IAMPolicy Reference nella Guida per l'utente. IAM
Per una tabella che mostra tutte le CodeBuild API azioni e le risorse a cui si applicano, consulta laAWS CodeBuild riferimento alle autorizzazioni.
