고객 관리형 키를 사용하여 빌드 출력 암호화

의 단계에 따라 AWS CodeBuild 에 처음 콘솔을 사용하여 시작하기 액세스하는 경우이 주제의 정보가 필요하지 않을 가능성이 높습니다. 그러나 CodeBuild를 계속 사용하면 빌드 아티팩트 암호화와 같은 작업을 수행할 수 있습니다.

가 빌드 출력 아티팩트를 암호화 AWS CodeBuild 하려면 KMS 키에 대한 액세스 권한이 필요합니다. 기본적으로 CodeBuild는 AWS 계정에서 Amazon S3 AWS 관리형 키 용를 사용합니다.

를 사용하지 않으려면 고객 관리형 키를 직접 생성하고 구성 AWS 관리형 키해야 합니다. 이 섹션에서는 IAM 콘솔을 사용하여 이를 수행하는 방법을 설명합니다.

고객 관리형 키에 대한 자세한 내용은 AWS KMS 개발자 가이드의 AWS Key Management Service 개념 및 키 생성을 참조하세요.

CodeBuild에서 사용할 고객 관리형 키를 구성하려면 AWS KMS 개발자 안내서의 키 정책 수정의 “키 정책 수정 방법” 섹션에 있는 지침을 따르세요. 그런 다음 키 정책에 다음 명령문(### BEGIN ADDING STATEMENTS HERE ###과 ### END ADDING STATEMENTS HERE ### 사이)을 추가합니다. 간결하게 나타내고 명령문 추가 위치를 알 수 있도록 줄임표(...)가 사용되었습니다. 어떤 명령문도 제거하지 않아야 하며, 이러한 줄임표는 키 정책에 입력하지 않아야 합니다.


{
  "Version": "2012-10-17",
  "Id": "...",
  "Statement": [
    ### BEGIN ADDING STATEMENTS HERE ###
    {
      "Sid": "Allow access through Amazon S3 for all principals in the account that are authorized to use Amazon S3",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "s3.region-ID.amazonaws.com",
          "kms:CallerAccount": "account-ID"
        }
      }
    },
    {
      "Effect": "Allow", 
      "Principal": {
        "AWS": "arn:aws:iam::account-ID:role/CodeBuild-service-role"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    ### END ADDING STATEMENTS HERE ###
    {
      "Sid": "Enable IAM User Permissions",
      ...
    },
    {
      "Sid": "Allow access for Key Administrators",
      ...
    },
    {
      "Sid": "Allow use of the key",
      ...
    },
    {
      "Sid": "Allow attachment of persistent resources",
      ...
    }
  ]
}

region-ID는 CodeBuild와 연결된 Amazon S3 버킷이 위치한 AWS 리전의 ID를 나타냅니다(예: us-east-1).
account-ID는 고객 관리형 키를 소유하는 AWS 계정의 ID를 나타냅니다.
CodeBuild-service-role은 이 주제의 앞부분에서 생성하거나 식별한 CodeBuild 서비스 역할 이름을 나타냅니다.

참고

IAM 콘솔을 통해 고객 관리형 키를 생성하거나 구성하려면 먼저 다음 중 하나를 사용하여 AWS Management Console 에 로그인해야 합니다.

AWS 루트 계정. 이는 권장하지 않습니다. 자세한 내용은 사용 설명서의 계정 루트 사용자를 참조하세요.
AWS 계정의 관리자 사용자입니다. 자세한 내용은 사용 설명서의 첫 번째 AWS 계정 루트 사용자 및 그룹 생성을 참조하세요.
AWS 계정에서 고객 관리형 키를 생성하거나 수정할 수 있는 권한이 있는 사용자입니다. 자세한 내용은 AWS KMS 개발자 안내서의 AWS KMS 콘솔 사용에 필요한 권한을 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

CodeBuild가 다른 AWS 서비스와 상호 작용하도록 허용

를 사용하여 CodeBuild와 상호 작용 AWS CLI