Referência de permissões do AWS CodeBuild

Você pode usar as chaves de condição utilizadas por toda a AWS em suas políticas do AWS CodeBuild para expressar condições. Para obter uma lista, consulte Available Keys no Guia do usuário do IAM.

Você especifica as ações no campo Action das políticas. Para especificar uma ação, use o prefixo codebuild: seguido pelo nome da operação API (por exemplo, codebuild:CreateProject e codebuild:StartBuild). Para especificar várias ações em uma única declaração, separe-as com vírgulas (por exemplo, "Action": [ "codebuild:CreateProject", "codebuild:StartBuild" ]).

Usando caracteres curinga

Você especifica um ARN, com ou sem um caractere curinga (*), como o valor do recurso no campo Resource das políticas. Você pode usar um curinga para especificar várias ações ou recursos. Por exemplo, codebuild:* especifica todas as ações do CodeBuild, enquanto codebuild:Batch* especifica todas as ações do CodeBuild que começam com a palavra Batch. O seguinte exemplo concede acesso a qualquer projeto de build com nomes que comecem com my:


arn:aws:codebuild:us-east-2:123456789012:project/my*

Operações da API do CodeBuild e permissões necessárias para ações

BatchDeleteBuilds

Ação: codebuild:BatchDeleteBuilds

Necessários para excluir compilações.

Recurso: arn:aws:codebuild:region-ID:account-ID:project/project-name

BatchGetBuilds

Ação: codebuild:BatchGetBuilds

Exigido para obter informações sobre builds.

Recurso: arn:aws:codebuild:region-ID:account-ID:project/project-name

BatchGetProjects

Ação: codebuild:BatchGetProjects

Exigido para obter informações sobre projetos de build.

Recurso: arn:aws:codebuild:region-ID:account-ID:project/project-name

BatchGetReportGroups

Ação: codebuild:BatchGetReportGroups

Necessário para obter informações sobre grupos de relatórios.

Recurso: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

BatchGetReports

Ação: codebuild:BatchGetReports

Necessário para obter informações sobre relatórios.

Recurso: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

BatchPutTestCases ¹

Ação: codebuild:BatchPutTestCases

Necessário para criar ou atualizar um relatório de teste.

Recurso: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

CreateProject

Ações: codebuild:CreateProject, iam:PassRole

Exigido para criar projetos de build.

Recursos:

arn:aws:codebuild:region-ID:account-ID:project/project-name
arn:aws:iam::account-ID:role/role-name

CreateReport ¹

Ação: codebuild:CreateReport

Necessário para criar um relatório de teste.

Recurso: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

CreateReportGroup

Ação: codebuild:CreateReportGroup

Necessário para criar um grupo de relatórios.

Recurso: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

CreateWebhook

Ação: codebuild:CreateWebhook

Necessário para criar um webhook.

Recurso: arn:aws:codebuild:region-ID:account-ID:project/project-name

DeleteProject

Ação: codebuild:DeleteProject

Necessário para excluir um projeto do CodeBuild.

Recurso: arn:aws:codebuild:region-ID:account-ID:project/project-name

DeleteReport

Ação: codebuild:DeleteReport

Necessário para excluir um relatório.

Recurso: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

DeleteReportGroup

Ação: codebuild:DeleteReportGroup

Necessário para excluir um grupo de relatórios.

Recurso: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

DeleteSourceCredentials

Ação: codebuild:DeleteSourceCredentials

Necessário para excluir um conjunto de objetos SourceCredentialsInfo que contêm informações sobre credenciais para um repositório do GitHub, do GitHub Enterprise Server ou do Bitbucket.

Recurso: *

DeleteWebhook

Ação: codebuild:DeleteWebhook

Necessário para criar um webhook.

Recurso: arn:aws:codebuild:region-ID:account-ID:project/project-name

DescribeTestCases

Ação: codebuild:DescribeTestCases

Necessário para retornar uma lista paginada de casos de teste.

Recurso: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

ImportSourceCredentials

Ação: codebuild:ImportSourceCredentials

Necessário para importar um conjunto de objetos SourceCredentialsInfo que contêm informações sobre credenciais para um repositório do GitHub, do GitHub Enterprise Server ou do Bitbucket.

Recurso: *

InvalidateProjectCache

Ação: codebuild:InvalidateProjectCache

Necessário para redefinir o cache para um projeto.

Recurso: arn:aws:codebuild:region-ID:account-ID:project/project-name

ListBuildBatches

Ação: codebuild:ListBuildBatches

Necessário para obter uma lista de IDs de compilação em lote.

Recurso: *

ListBuildBatchesForProject

Ação: codebuild:ListBuildBatchesForProject

Necessário para obter uma lista de IDs de lote de compilação de um projeto específico.

Recurso: arn:aws:codebuild:region-ID:account-ID:project/project-name

ListBuilds

Ação: codebuild:ListBuilds

Exigido para obter uma lista de IDs de build.

Recurso: *

ListBuildsForProject

Ação: codebuild:ListBuildsForProject

Exigido para obter uma lista de IDs de build para um projeto de build.

Recurso: arn:aws:codebuild:region-ID:account-ID:project/project-name

ListCuratedEnvironmentImages

Ação: codebuild:ListCuratedEnvironmentImages

Exigido para obter informações sobre todas as imagens Docker que são gerenciadas pelo AWS CodeBuild.

Recurso: * (necessário, mas não se refere a um recurso da AWS endereçável)

ListProjects

Ação: codebuild:ListProjects

Exigido para obter uma lista de nomes de projeto de build.

Recurso: *

ListReportGroups

Ação: codebuild:ListReportGroups

Necessário para obter uma lista de grupos de relatórios.

Recurso: *

ListReports

Ação: codebuild:ListReports

Necessário para obter uma lista de relatórios.

Recurso: *

ListReportsForReportGroup

Ação: codebuild:ListReportsForReportGroup

Necessário para obter uma lista de relatórios para um grupo de relatórios.

Recurso: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

RetryBuild

Ação: codebuild:RetryBuild

Necessário para repetir as compilações.

Recurso: arn:aws:codebuild:region-ID:account-ID:project/project-name

StartBuild

Ação: codebuild:StartBuild

Exigido para começar a executar builds.

Recurso: arn:aws:codebuild:region-ID:account-ID:project/project-name

StopBuild

Ação: codebuild:StopBuild

Exigido para tentar parar de executar builds.

Recurso: arn:aws:codebuild:region-ID:account-ID:project/project-name

UpdateProject

Ações: codebuild:UpdateProject, iam:PassRole

Exigido para alterar informações sobre builds.

Recursos:

arn:aws:codebuild:region-ID:account-ID:project/project-name
arn:aws:iam::account-ID:role/role-name

UpdateProjectVisibility

Ações: codebuild:UpdateProjectVisibility, iam:PassRole

Necessário para alterar a visibilidade pública das compilações de um projeto.

Recursos:

arn:aws:codebuild:region-ID:account-ID:project/project-name
arn:aws:iam::account-ID:role/role-name

UpdateReport ¹

Ação: codebuild:UpdateReport

Necessário para criar ou atualizar um relatório de teste.

Recurso: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

UpdateReportGroup

Ação: codebuild:UpdateReportGroup

Necessário para atualizar um grupo de relatórios.

Recurso: arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name

UpdateWebhook

Ação: codebuild:UpdateWebhook

Necessário para atualizar um webhook.

Recurso: arn:aws:codebuild:region-ID:account-ID:project/project-name

^{¹ Usado apenas para permissão. Não há API para esta ação.}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Usar políticas baseadas em identidade

Usar tags para controlar o acesso aos recursos do AWS CodeBuild