Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di politiche basate sull'identità per AWS CodeBuild
Questo argomento fornisce esempi di policy basate su identità che illustrano come un amministratore account può associare policy di autorizzazione a identità IAM (ovvero utenti, gruppi e ruoli) e quindi concedere autorizzazioni per eseguire operazioni su risorse di AWS CodeBuild .
**Importante**
Ti consigliamo di esaminare innanzitutto gli argomenti introduttivi che spiegano i concetti e le opzioni di base disponibili per gestire l'accesso alle tue risorse. CodeBuild Per ulteriori informazioni, consulta [Panoramica della gestione delle autorizzazioni di accesso alle risorse AWS CodeBuild](auth-and-access-control-iam-access-control-identity-based.md).
**Topics**
+ [Autorizzazioni necessarie per utilizzare la console AWS CodeBuild](#console-permissions)
+ [Autorizzazioni necessarie per connettersi AWS CodeBuild ad Amazon Elastic Container Registry](#ecr-policies)
+ [Autorizzazioni necessarie per consentire alla AWS CodeBuild console di connettersi ai provider di origine](#console-policies)
+ [AWS politiche gestite (predefinite) per AWS CodeBuild](#managed-policies)
+ [CodeBuild politiche e notifiche gestite](#notifications-permissions)
+ [CodeBuild aggiornamenti alle politiche AWS gestite](#security-iam-awsmanpol-updates)
+ [Esempi di policy gestite dal cliente](#customer-managed-policies)
Segue un esempio di una policy di autorizzazioni che permette all'utente di ottenere informazioni sui progetti di compilazione solo nella regione `us-east-2` per l'account `123456789012` per qualsiasi progetto di compilazione che inizia con il nome `my`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchGetProjects",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/my*"
}
]
}
```
------
## Autorizzazioni necessarie per utilizzare la console AWS CodeBuild
Un utente che utilizza la AWS CodeBuild console deve disporre di un set minimo di autorizzazioni che gli consenta di descrivere altre AWS risorse per l' AWS account. Deve possedere le autorizzazioni dai seguenti servizi:
+ AWS CodeBuild
+ Amazon CloudWatch
+ CodeCommit (se stai archiviando il codice sorgente in un AWS CodeCommit repository)
+ Amazon Elastic Container Registry (Amazon ECR) (se utilizzi un ambiente di compilazione basato su un'immagine Docker in un repository Amazon ECR)
**Nota**
A partire dal 26 luglio 2022, la policy IAM predefinita è stata aggiornata. Per ulteriori informazioni, consulta [Autorizzazioni necessarie per connettersi AWS CodeBuild ad Amazon Elastic Container Registry](#ecr-policies).
+ Amazon Elastic Container Service (Amazon ECS) (se utilizzi un ambiente di compilazione basato su un'immagine Docker in un repository Amazon ECR)
+ AWS Identity and Access Management (IAM)
+ AWS Key Management Service (AWS KMS)
+ Amazon Simple Storage Service (Amazon S3)
Se crei una policy IAM più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto.
## Autorizzazioni necessarie per connettersi AWS CodeBuild ad Amazon Elastic Container Registry
Al 26 luglio 2022, AWS CodeBuild ha aggiornato la sua politica IAM predefinita per l'autorizzazione Amazon ECR. Le seguenti autorizzazioni sono state rimosse dalla politica predefinita:
```
"ecr:PutImage",
"ecr:InitiateLayerUpload",
"ecr:UploadLayerPart",
"ecr:CompleteLayerUpload"
```
Per CodeBuild i progetti creati prima del 26 luglio 2022, ti consigliamo di aggiornare la tua politica con la seguente politica di Amazon ECR:
```
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
]
```
Per ulteriori informazioni sull'aggiornamento della polizza, consulta[Consenti agli utenti di interagire con CodeBuild](setting-up-service-permissions-group.md).
## Autorizzazioni necessarie per consentire alla AWS CodeBuild console di connettersi ai provider di origine
La AWS CodeBuild console utilizza le seguenti azioni API per connettersi ai provider di origine (ad esempio, gli GitHub archivi).
+ `codebuild:ListConnectedOAuthAccounts`
+ `codebuild:ListRepositories`
+ `codebuild:PersistOAuthToken`
+ `codebuild:ImportSourceCredentials`
Puoi associare i fornitori di sorgenti (come i GitHub repository) ai tuoi progetti di build utilizzando la AWS CodeBuild console. Per fare ciò, devi prima aggiungere le azioni API precedenti alle policy di accesso IAM associate all'utente che utilizzi per accedere alla AWS CodeBuild console.
Le operazioni API `ListConnectedOAuthAccounts`, `ListRepositories` e `PersistOAuthToken` non devono essere chiamate dal codice. Pertanto, queste azioni API non sono incluse in AWS CLI and AWS SDKs.
## AWS politiche gestite (predefinite) per AWS CodeBuild
AWS affronta molti casi d'uso comuni fornendo policy IAM autonome create e amministrate da. AWS Queste policy AWS gestite concedono le autorizzazioni necessarie per i casi d'uso comuni, in modo da evitare di dover esaminare quali autorizzazioni sono necessarie. Le policy gestite forniscono CodeBuild anche le autorizzazioni per eseguire operazioni in altri servizi, come IAM, Amazon EC2 AWS CodeCommit, Amazon ECR, Amazon SNS e CloudWatch Amazon Events, come richiesto per le responsabilità degli utenti a cui è stata concessa la politica in questione. Ad esempio, la `AWSCodeBuildAdminAccess` policy è una policy utente di livello amministrativo che consente agli utenti con questa policy di creare e gestire le regole CloudWatch Events per le build di progetti e gli argomenti di Amazon SNS per le notifiche sugli eventi relativi al progetto (argomenti i cui nomi hanno il prefisso`arn:aws:codebuild:`), nonché di amministrare progetti e gruppi di report in. CodeBuild Per ulteriori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
Le seguenti politiche AWS gestite, che puoi allegare agli utenti del tuo account, sono specifiche per. AWS CodeBuild
**AWSCodeBuildAdminAccess**
Fornisce l'accesso completo all' CodeBuild inclusione delle autorizzazioni per amministrare i progetti di CodeBuild compilazione.
**AWSCodeBuildDeveloperAccess**
Fornisce l'accesso CodeBuild ma non consente l'amministrazione dei progetti di compilazione.
**AWSCodeBuildReadOnlyAccess**
Fornisce accesso in sola lettura a. CodeBuild
Per accedere agli artefatti di output della build CodeBuild creati, è inoltre necessario allegare la policy gestita denominata AWS . `AmazonS3ReadOnlyAccess`
Per creare e gestire i ruoli CodeBuild di servizio, è inoltre necessario allegare la policy AWS gestita denominata. `IAMFullAccess`
È inoltre possibile creare policy IAM personalizzate per concedere le autorizzazioni per operazioni e risorse CodeBuild. Puoi collegare queste policy personalizzate agli utenti o ai gruppi che richiedono le autorizzazioni.
**Topics**
+ [AWSCodeBuildAdminAccess](#admin-access-policy)
+ [AWSCodeBuildDeveloperAccess](#developer-access-policy)
+ [AWSCodeBuildReadOnlyAccess](#read-only-access-policy)
### AWSCodeBuildAdminAccess
La `AWSCodeBuildAdminAccess` policy fornisce l'accesso completo CodeBuild, incluse le autorizzazioni per amministrare i progetti di CodeBuild compilazione. Applica questa politica solo agli utenti di livello amministrativo per concedere loro il pieno controllo su CodeBuild progetti, gruppi di report e risorse correlate presenti nel tuo AWS account, inclusa la possibilità di eliminare progetti e gruppi di report.
Per la policy gestita completa, consulta [ AWSCodeBuildAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeBuildAdminAccess.html)il riferimento alla policy gestita di IAM.
### AWSCodeBuildDeveloperAccess
La `AWSCodeBuildDeveloperAccess` policy consente l'accesso a tutte le funzionalità delle risorse relative a progetti CodeBuild e gruppi di report. Questa politica non consente agli utenti di eliminare CodeBuild progetti o gruppi di report o risorse correlate in altri AWS servizi, come CloudWatch Eventi. È consigliabile applicare questa policy alla maggior parte degli utenti.
Per la policy gestita completa, consulta [ AWSCodeBuildDeveloperAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeBuildDeveloperAccess.html)il riferimento alla policy gestita di IAM.
### AWSCodeBuildReadOnlyAccess
La `AWSCodeBuildReadOnlyAccess` policy garantisce l'accesso in sola lettura CodeBuild e alle relative risorse in altri servizi. AWS Applicare questo criterio agli utenti che possono visualizzare ed eseguire build, visualizzare progetti e visualizzare gruppi di report, ma non possono apportare modifiche.
Per la policy gestita completa, consulta [ AWSCodeBuildReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeBuildReadOnlyAccess.xml)il riferimento alla policy gestita di IAM.
## CodeBuild politiche e notifiche gestite
CodeBuild supporta le notifiche, che possono notificare agli utenti modifiche importanti relative alla creazione di progetti. Le politiche gestite CodeBuild includono dichiarazioni politiche per la funzionalità di notifica. Per ulteriori informazioni, vedere [Cosa sono le notifiche?](https://docs.aws.amazon.com/codestar-notifications/latest/userguide/welcome.html).
### Autorizzazioni correlate alle notifiche nelle policy gestite di sola lettura
Le policy gestite `AWSCodeBuildReadOnlyAccess` includono le seguenti dichiarazioni per consentire l'accesso in sola lettura alle notifiche. Gli utenti con questa policy gestita applicata possono visualizzare le notifiche per le risorse, ma non possono crearle, gestirle o sottoscriverle.
```
{
"Sid": "CodeStarNotificationsPowerUserAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:DescribeNotificationRule"
],
"Resource": "*",
"Condition" : {
"ArnLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codebuild:*:*:project/*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListEventTypes",
"codestar-notifications:ListTargets"
],
"Resource": "*"
}
```
### Autorizzazioni correlate alle notifiche in altre policy gestite
La policy gestita `AWSCodeBuildDeveloperAccess` include le seguenti istruzioni per consentire agli utenti di creare, modificare e sottoscrivere le notifiche. Gli utenti non possono eliminare le regole di notifica o gestire i tag per le risorse.
```
{
"Sid": "CodeStarNotificationsReadWriteAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe"
],
"Resource": "*",
"Condition" : {
"ArnLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codebuild:*:*:project/*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource",
"codestar-notifications:ListEventTypes"
],
"Resource": "*"
},
{
"Sid": "SNSTopicListAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "CodeStarNotificationsChatbotAccess",
"Effect": "Allow",
"Action": [
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:ListMicrosoftTeamsChannelConfigurations"
],
"Resource": "*"
}
```
Per ulteriori informazioni su IAM e le notifiche, consulta [Identity and Access ManagementAWS CodeStarNotifications](https://docs.aws.amazon.com/codestar-notifications/latest/userguide/security-iam.html).
## CodeBuild aggiornamenti alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite CodeBuild da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS su. [AWS CodeBuild Cronologia dei documenti della Guida dell'utente](history.md)
| Modifica | Descrizione | Data |
| --- | --- | --- |
| `AWSCodeBuildAdminAccess`e `AWSCodeBuildDeveloperAccess` — Aggiornamento alle politiche esistenti | CodeBuild ha aggiunto l'`ssmmessages:OpenDataChannel`autorizzazione a queste politiche per supportare il debug interattivo delle build di Session Manager. Le `AWSCodeBuildDeveloperAccess` politiche `AWSCodeBuildAdminAccess` and ora includono l'`ssmmessages:OpenDataChannel`azione per le risorse di sessione di Session Manager (`arn:aws:ssm:*:*:session/*`) per supportare l'applicazione di SigV4 su questa API. WebSocket | 1 dicembre 2025 |
| `AWSCodeBuildAdminAccess``AWSCodeBuildDeveloperAccess`, e `AWSCodeBuildReadOnlyAccess` — Aggiornamento alle politiche esistenti | CodeBuild ha aggiornato una risorsa su queste politiche. Le `AWSCodeBuildReadOnlyAccess` politiche `AWSCodeBuildAdminAccess``AWSCodeBuildDeveloperAccess`, e sono state modificate per aggiornare una risorsa esistente. La risorsa originale `arn:aws:codebuild:*` è stata aggiornata a`arn:aws:codebuild:*:*:project/*`. | 15 novembre 2024 |
| `AWSCodeBuildAdminAccess`,`AWSCodeBuildDeveloperAccess`, e `AWSCodeBuildReadOnlyAccess` — Aggiornamento alle politiche esistenti | CodeBuild ha aggiunto una risorsa a queste politiche per supportare il AWS CodeConnections rebranding. Le `AWSCodeBuildReadOnlyAccess` politiche `AWSCodeBuildAdminAccess``AWSCodeBuildDeveloperAccess`, e sono state modificate per aggiungere una risorsa,. `arn:aws:codeconnections:*:*:*` | 18 aprile 2024 |
| `AWSCodeBuildAdminAccess`e `AWSCodeBuildDeveloperAccess` — Aggiornamento alle politiche esistenti | CodeBuild ha aggiunto un'autorizzazione a queste politiche per supportare un tipo di notifica aggiuntivo utilizzando Amazon Q Developer nelle applicazioni di chat. Le `AWSCodeBuildDeveloperAccess` politiche `AWSCodeBuildAdminAccess` e sono state modificate per aggiungere un'autorizzazione,`chatbot:ListMicrosoftTeamsChannelConfigurations`. | 16 maggio 2023 |
| CodeBuild ha iniziato a tenere traccia delle modifiche | CodeBuild ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 16 maggio 2021 |
## Esempi di policy gestite dal cliente
Questa sezione include policy utente di esempio che concedono autorizzazioni per operazioni AWS CodeBuild . Queste politiche funzionano quando si utilizza l' CodeBuild API AWS SDKs, o. AWS CLI Quando si utilizza la console, devi concedere autorizzazioni specifiche aggiuntive alla console. Per informazioni, consulta [Autorizzazioni necessarie per utilizzare la console AWS CodeBuild](#console-permissions).
Puoi utilizzare i seguenti esempi di policy IAM per limitare CodeBuild l'accesso a utenti e ruoli.
**Topics**
+ [Concessione a un utente di ottenere informazioni sui progetti di compilazione](#customer-managed-policies-example-batch-get-projects)
+ [Consenti a un utente di ottenere informazioni sulle flotte](#customer-managed-policies-get-information-about-fleets)
+ [Concessione a un utente di ottenere informazioni sui gruppi di report](#customer-managed-policies-get-information-about-report-group)
+ [Concessione a un utente di ottenere informazioni sui report](#customer-managed-policies-get-information-about-reports)
+ [Concessione a un utente di creare progetti di compilazione](#customer-managed-policies-example-create-project)
+ [Consenti a un utente di creare una flotta](#customer-managed-policies-example-create-fleet)
+ [Concessione a un utente di creare un gruppo di report](#customer-managed-policies-example-create-report-group)
+ [Consenti a un utente di eliminare una flotta](#customer-managed-policies-example-delete-fleet)
+ [Concessione a un utente di eliminare un gruppo di report](#customer-managed-policies-example-delete-report-group)
+ [Concessione a un utente di eliminare un report](#customer-managed-policies-example-delete-report)
+ [Concessione a un utente di eliminare progetti di compilazione](#customer-managed-policies-example-delete-project)
+ [Concessione a un utente di ottenere un elenco di nomi di progetti di compilazione](#customer-managed-policies-example-list-projects)
+ [Concessione a un utente di modificare informazioni sui progetti di compilazione](#customer-managed-policies-example-update-project)
+ [Consenti a un utente di modificare una flotta](#customer-managed-policies-example-change-fleet)
+ [Concessione a un utente di modificare un gruppo di report](#customer-managed-policies-example-change-report-group)
+ [Concessione a un utente di ottenere informazioni sulle compilazioni](#customer-managed-policies-example-batch-get-builds)
+ [Consenti a un utente di ottenere un elenco di build IDs per un progetto di compilazione](#customer-managed-policies-example-list-builds-for-project)
+ [Consenti a un utente di ottenere un elenco di build IDs](#customer-managed-policies-example-list-builds)
+ [Consenti a un utente di ottenere un elenco di flotte](#customer-managed-policies-example-get-list-of-fleets)
+ [Concessione a un utente di ottenere un elenco dei gruppi di report](#customer-managed-policies-example-get-list-of-report-groups)
+ [Concessione a un utente di ottenere un elenco dei report](#customer-managed-policies-example-get-list-of-reports)
+ [Concessione a un utente di ottenere un elenco dei report riferiti a un gruppo di report](#customer-managed-policies-example-get-list-of-reports-for-report-group)
+ [Concessione a un utente di ottenere un elenco dei casi di test riferiti a un report](#customer-managed-policies-example-get-list-of-test-cases-for-report)
+ [Concessione a un utente di avviare l'esecuzione di compilazioni](#customer-managed-policies-example-start-build)
+ [Concessione a un utente di tentare di interrompere le compilazioni](#customer-managed-policies-example-stop-build)
+ [Concessione a un utente di tentare di eliminare le compilazioni](#customer-managed-policies-example-delete-builds)
+ [Consenti a un utente di ottenere informazioni sulle immagini Docker gestite da CodeBuild](#customer-managed-policies-example-list-curated-environment-images)
+ [Consenti a un utente di aggiungere una politica di autorizzazione per un ruolo di fleet service](#customer-managed-policies-example-permission-policy-fleet-service-role)
+ [Consenti CodeBuild l'accesso ai AWS servizi necessari per creare un'interfaccia di rete VPC](#customer-managed-policies-example-create-vpc-network-interface)
+ [Utilizzate un'istruzione di negazione per impedire la disconnessione dai provider di origine AWS CodeBuild](#customer-managed-policies-example-deny-disconnect)
### Concessione a un utente di ottenere informazioni sui progetti di compilazione
La seguente istruzione di policy di esempio permette all'utente di ottenere informazioni sui progetti di compilazione, nella regione `us-east-2` per l'account `123456789012`, che iniziano con il nome `my`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchGetProjects",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/my*"
}
]
}
```
------
### Consenti a un utente di ottenere informazioni sulle flotte
Il seguente esempio di dichiarazione politica consente a un utente di ottenere informazioni sulle flotte nella `us-east-2` regione per conto: `123456789012`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchGetFleets",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:fleet/*"
}
]
}
```
------
### Concessione a un utente di ottenere informazioni sui gruppi di report
La seguente istruzione di policy esemplificativa permette all'utente di ottenere informazioni sui gruppi di report nella regione `us-east-2` per l'account `123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchGetReportGroups",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Concessione a un utente di ottenere informazioni sui report
La seguente istruzione di policy esemplificativa permette all'utente di ottenere informazioni sui report nella regione `us-east-2` per l'account `123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchGetReports",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Concessione a un utente di creare progetti di compilazione
La seguente dichiarazione politica di esempio consente a un utente di creare progetti di compilazione con qualsiasi nome, ma solo nella `us-east-2` regione per account `123456789012` e utilizzando solo il ruolo di CodeBuild servizio specificato:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:CreateProject",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/CodeBuildServiceRole"
}
]
}
```
------
La seguente dichiarazione politica di esempio consente a un utente di creare progetti di compilazione con qualsiasi nome, ma solo nella `us-east-2` regione per account `123456789012` e solo utilizzando il ruolo di CodeBuild servizio specificato. Implica inoltre che l'utente possa utilizzare il ruolo di servizio specificato solo con AWS CodeBuild e non altri AWS servizi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:CreateProject",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/CodeBuildServiceRole",
"Condition": {
"StringEquals": {"iam:PassedToService": "codebuild.amazonaws.com"}
}
}
]
}
```
------
### Consenti a un utente di creare una flotta
Il seguente esempio di dichiarazione politica consente a un utente di creare una flotta nella `us-east-2` regione per l'account`123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:CreateFleet",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:fleet/*"
}
]
}
```
------
### Concessione a un utente di creare un gruppo di report
La seguente istruzione di policy di esempio permette all'utente di creare un gruppo di report nella regione `us-east-2` per l'account `123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:CreateReportGroup",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Consenti a un utente di eliminare una flotta
Il seguente esempio di dichiarazione politica consente a un utente di eliminare una flotta nella `us-east-2` regione per account`123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:DeleteFleet",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:fleet/*"
}
]
}
```
------
### Concessione a un utente di eliminare un gruppo di report
La seguente istruzione di policy esemplificativa permette all'utente di eliminare un gruppo di report nella regione `us-east-2` per l'account `123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:DeleteReportGroup",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Concessione a un utente di eliminare un report
La seguente istruzione di policy esemplificativa permette all'utente di eliminare un report nella regione `us-east-2` per l'account `123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:DeleteReport",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Concessione a un utente di eliminare progetti di compilazione
La seguente istruzione di policy esemplificativa permette all'utente di eliminare i progetti di compilazione nella regione `us-east-2` per l'account `123456789012` che iniziano con il nome `my`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:DeleteProject",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/my*"
}
]
}
```
------
### Concessione a un utente di ottenere un elenco di nomi di progetti di compilazione
La seguente istruzione di policy di esempio permette all'utente di ottenere un elenco dei nomi di progetti di compilazione per lo stesso account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListProjects",
"Resource": "*"
}
]
}
```
------
### Concessione a un utente di modificare informazioni sui progetti di compilazione
La seguente istruzione di policy esemplificativa permette all'utente di modificare informazioni sui progetti di compilazione con qualsiasi nome solo nella regione `us-east-2` per l'account `123456789012` e di utilizzare unicamente il ruolo del servizio AWS CodeBuild specificato:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:UpdateProject",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/CodeBuildServiceRole"
}
]
}
```
------
### Consenti a un utente di modificare una flotta
Il seguente esempio di dichiarazione politica consente a un utente di modificare una flotta nella `us-east-2` regione per account`123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:UpdateFleet",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:fleet/*"
}
]
}
```
------
### Concessione a un utente di modificare un gruppo di report
La seguente istruzione di policy esemplificativa permette all'utente di modificare un gruppo di report nella regione `us-east-2` per l'account `123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:UpdateReportGroup",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Concessione a un utente di ottenere informazioni sulle compilazioni
La seguente istruzione di policy esemplificativa permette all'utente di ottenere informazioni sulla compilazione nella regione `us-east-2` per l'account `123456789012`, per i progetti di compilazione denominati `my-build-project` e `my-other-build-project`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchGetBuilds",
"Resource": [
"arn:aws:codebuild:us-east-2:111122223333:project/my-build-project",
"arn:aws:codebuild:us-east-2:111122223333:project/my-other-build-project"
]
}
]
}
```
------
### Consenti a un utente di ottenere un elenco di build IDs per un progetto di compilazione
La seguente dichiarazione politica di esempio consente a un utente di ottenere un elenco di build IDs nella `us-east-2` regione per gli account `123456789012` dei progetti di compilazione denominati `my-build-project` e`my-other-build-project`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListBuildsForProject",
"Resource": [
"arn:aws:codebuild:us-east-2:111122223333:project/my-build-project",
"arn:aws:codebuild:us-east-2:111122223333:project/my-other-build-project"
]
}
]
}
```
------
### Consenti a un utente di ottenere un elenco di build IDs
Il seguente esempio di dichiarazione politica consente a un utente di ottenere un elenco di tutte le build IDs per lo stesso account:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListBuilds",
"Resource": "*"
}
]
}
```
------
### Consenti a un utente di ottenere un elenco di flotte
La seguente dichiarazione politica di esempio consente a un utente di ottenere un elenco di flotte nella `us-east-2` regione per conto: `123456789012`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListFleets",
"Resource": "*"
}
]
}
```
------
### Concessione a un utente di ottenere un elenco dei gruppi di report
La seguente istruzione di policy esemplificativa permette all'utente di ottenere un elenco dei gruppi di report nella regione `us-east-2` per l'account `123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListReportGroups",
"Resource": "*"
}
]
}
```
------
### Concessione a un utente di ottenere un elenco dei report
La seguente istruzione di policy esemplificativa permette all'utente di ottenere un elenco dei report nella regione `us-east-2` per l'account `123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListReports",
"Resource": "*"
}
]
}
```
------
### Concessione a un utente di ottenere un elenco dei report riferiti a un gruppo di report
La seguente istruzione di policy esemplificativa permette all'utente di ottenere un elenco dei report riferiti a un gruppo di report nella regione `us-east-2` per l'account `123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListReportsForReportGroup",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Concessione a un utente di ottenere un elenco dei casi di test riferiti a un report
La seguente istruzione di policy esemplificativa permette all'utente di ottenere un elenco dei casi di test riferiti a un report nella regione `us-east-2` per l'account `123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:DescribeTestCases",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Concessione a un utente di avviare l'esecuzione di compilazioni
La seguente istruzione di policy esemplificativa permette all'utente di eseguire compilazioni nella regione `us-east-2` per l'account `123456789012`, per qualsiasi progetto di compilazione che inizia con il nome `my`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:StartBuild",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/my*"
}
]
}
```
------
### Concessione a un utente di tentare di interrompere le compilazioni
La seguente istruzione di policy di esempio permette a un utente di tentare di interrompere le compilazioni di esecuzione solo nella regione `us-east-2` per l'account `123456789012` per qualsiasi progetto di compilazione che inizia con il nome `my`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:StopBuild",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/my*"
}
]
}
```
------
### Concessione a un utente di tentare di eliminare le compilazioni
La seguente istruzione di policy di esempio permette all'utente di tentare di eliminare le compilazioni solo nella regione `us-east-2` per l'account `123456789012` per qualsiasi progetto di compilazione che inizia con il nome `my`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchDeleteBuilds",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/my*"
}
]
}
```
------
### Consenti a un utente di ottenere informazioni sulle immagini Docker gestite da CodeBuild
Il seguente un esempio di un'istruzione di policy che permette all'utente di ottenere informazioni su tutte le immagini Docker gestite da CodeBuild.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListCuratedEnvironmentImages",
"Resource": "*"
}
]
}
```
------
### Consenti a un utente di aggiungere una politica di autorizzazione per un ruolo di fleet service
L'esempio seguente di dichiarazione sulla politica delle risorse consente a un utente di aggiungere una politica di autorizzazione VPC per un ruolo di fleet service:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CodeBuildFleetVpcCreateNI",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:us-west-2:111122223333:subnet/subnet-id-1",
"arn:aws:ec2:us-west-2:111122223333:security-group/security-group-id-1",
"arn:aws:ec2:us-west-2:111122223333:network-interface/*"
]
},
{
"Sid": "CodeBuildFleetVpcPermission",
"Effect": "Allow",
"Action": [
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DeleteNetworkInterface"
],
"Resource": "*"
},
{
"Sid": "CodeBuildFleetVpcNIPermission",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:us-west-2:111122223333:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:Subnet": [
"arn:aws:ec2:us-west-2:111122223333:subnet/subnet-id-1"
]
}
}
}
]
}
```
------
Il seguente esempio di dichiarazione sulla politica delle risorse consente a un utente di aggiungere una politica di autorizzazione Amazon Managed Image (AMI) personalizzata per un ruolo di fleet service:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeImages",
"Resource": "*"
}
]
}
```
------
L'esempio seguente di dichiarazione sulla politica di fiducia consente a un utente di aggiungere una politica di autorizzazione per un ruolo di fleet service:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CodeBuildFleetVPCTrustPolicy",
"Effect": "Allow",
"Principal": {
"Service": "codebuild.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
]
}
```
------
### Consenti CodeBuild l'accesso ai AWS servizi necessari per creare un'interfaccia di rete VPC
La seguente dichiarazione politica di esempio concede AWS CodeBuild l'autorizzazione a creare un'interfaccia di rete in un VPC con due sottoreti:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:us-west-2:111122223333:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:AuthorizedService": "codebuild.amazonaws.com"
},
"ArnEquals": {
"ec2:Subnet": [
"arn:aws:ec2:us-west-2:111122223333:subnet/subnet-id-1",
"arn:aws:ec2:us-west-2:111122223333:subnet/subnet-id-2"
]
}
}
}
]
}
```
------
### Utilizzate un'istruzione di negazione per impedire la disconnessione dai provider di origine AWS CodeBuild
Il seguente esempio di istruzione della policy utilizza un'istruzione di rifiuto per impedire a AWS CodeBuild di disconnettersi dai provider di origine. Utilizza `codebuild:DeleteOAuthToken`, che è l'inverso di `codebuild:PersistOAuthToken` e `codebuild:ImportSourceCredentials`, per connettersi ai provider di origine. Per ulteriori informazioni, consulta [Autorizzazioni necessarie per consentire alla AWS CodeBuild console di connettersi ai provider di origine](#console-policies).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "codebuild:DeleteOAuthToken",
"Resource": "*"
}
]
}
```
------