Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Utilizzo dei tag per controllare l'accesso alle risorse AWS CodeBuild

Modalità Focus
Utilizzo dei tag per controllare l'accesso alle risorse AWS CodeBuild - AWS CodeBuild

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le condizioni nelle dichiarazioni IAM politiche fanno parte della sintassi che è possibile utilizzare per specificare le autorizzazioni per le azioni basate sul CodeBuild progetto. È possibile creare una politica che consenta o neghi azioni sui progetti in base ai tag associati a tali progetti e quindi applicare tali politiche ai IAM gruppi configurati per la gestione degli utenti. Per informazioni sull'applicazione di tag a un progetto utilizzando la console o AWS CLI, consultaCrea un progetto di compilazione in AWS CodeBuild. Per informazioni sull'applicazione dei tag utilizzando il CodeBuild SDK, consulta CreateProject e Tag nel CodeBuildAPIriferimento. Per informazioni sull'uso dei tag per controllare l'accesso alle AWS risorse, vedere Controllo dell'accesso alle AWS risorse mediante i tag delle risorse nella Guida per l'IAMutente.

Importante

Quando si utilizza la funzionalità di capacità riservata, i dati memorizzati nella cache delle istanze della flotta, inclusi i file di origine, i layer Docker e le directory memorizzate nella cache specificate nelle specifiche di costruzione, possono essere accessibili ad altri progetti all'interno dello stesso account. Questa funzionalità è preimpostata e consente ai progetti all'interno dello stesso account di condividere le istanze del parco istanze.

Esempio 1: limita le azioni CodeBuild del progetto in base ai tag delle risorse

L'esempio seguente nega tutte le operazioni BatchGetProjects sui progetti contenenti tag con la chiave Environment e il valore della chiave Production. L'amministratore di un utente deve allegare questa IAM politica in aggiunta alla politica degli utenti gestiti per gli utenti non autorizzati. La chiave della condizione aws:ResourceTag viene utilizzata per controllare l'accesso alle risorse in base ai tag.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "codebuild:BatchGetProjects" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:ResourceTag/Environment": "Production" } } } ] }
Esempio 2: limita le azioni CodeBuild del progetto in base ai tag di richiesta

La policy seguente nega agli utenti l'autorizzazione all'operazione CreateProject se la richiesta contiene un tag con la chiave Environment e il valore della chiave Production. Inoltre, la policy impedisce a questi utenti non autorizzati di modificare i progetti utilizzando la chiave di condizione aws:TagKeys per non consentire UpdateProject se la richiesta contiene un tag con la chiave Environment. Un amministratore deve allegare questa IAM politica in aggiunta alla politica degli utenti gestiti agli utenti che non sono autorizzati a eseguire queste azioni. La chiave aws:RequestTag condition viene utilizzata per controllare quali tag possono essere passati in una IAM richiesta

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "codebuild:CreateProject" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:RequestTag/Environment": "Production" } } }, { "Effect": "Deny", "Action": [ "codebuild:UpdateProject" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": ["Environment"] } } } ] }
Esempio 3: negare o consentire azioni sui gruppi di report in base ai tag delle risorse

È possibile creare una politica che consenta o neghi azioni sulle CodeBuild risorse (progetti e gruppi di report) in base ai AWS tag associati a tali risorse e quindi applicare tali politiche ai IAM gruppi configurati per la gestione degli utenti. Ad esempio, puoi creare una politica che neghi tutte le CodeBuild azioni su qualsiasi gruppo di report con la chiave del AWS tag Status e il valore chiave di Secret e quindi applicare tale politica al IAM gruppo che hai creato per gli sviluppatori generici (Developers). È quindi necessario assicurarsi che gli sviluppatori che lavorano su quei gruppi di report etichettati non siano membri di quel gruppo generale Developers gruppo, ma appartengono invece a un IAM gruppo diverso a cui non è applicata la politica restrittiva (SecretDevelopers).

L'esempio seguente nega tutte le CodeBuild azioni sui gruppi di report contrassegnati con la chiave Status e il valore chiave di: Secret

{ "Version": "2012-10-17", "Statement" : [ { "Effect" : "Deny", "Action" : [ "codebuild:BatchGetReportGroups," "codebuild:CreateReportGroup", "codebuild:DeleteReportGroup", "codebuild:ListReportGroups", "codebuild:ListReportsForReportGroup", "codebuild:UpdateReportGroup" ] "Resource" : "*", "Condition" : { "StringEquals" : "aws:ResourceTag/Status": "Secret" } } ] }
Esempio 4: limita CodeBuild le azioni in AWSCodeBuildDeveloperAccess base ai tag delle risorse

Puoi creare politiche che consentano CodeBuild azioni su tutti i gruppi di report e i progetti che non sono etichettati con tag specifici. Ad esempio, la policy seguente consente l'equivalente delle autorizzazioni AWSCodeBuildDeveloperAccess per tutti i gruppi di report e progetti tranne quelli contrassegnati con i tag specificati:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "codebuild:StartBuild", "codebuild:StopBuild", "codebuild:BatchGet*", "codebuild:GetResourcePolicy", "codebuild:DescribeTestCases", "codebuild:List*", "codecommit:GetBranch", "codecommit:GetCommit", "codecommit:GetRepository", "codecommit:ListBranches", "cloudwatch:GetMetricStatistics", "events:DescribeRule", "events:ListTargetsByRule", "events:ListRuleNamesByTarget", "logs:GetLogEvents", "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:ResourceTag/Status": "Secret", "aws:ResourceTag/Team": "Saanvi" } } } ] }
PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.