本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# CodeBuild 中的 GitHub 和 GitHub Enterprise Server 存取
對於 GitHub,您可以使用個人存取字符、OAuth 應用程式、Secrets Manager 秘密或 GitHub 應用程式連線來存取來源提供者。對於 GitHub Enterprise Server,您可以使用個人存取字符、Secrets Manager 秘密或 GitHub 應用程式連線來存取來源提供者。
**Topics**
+ [GitHub 和 GitHub Enterprise Server 的 GitHub 應用程式連線](connections-github-app.md)
+ [GitHub 和 GitHub Enterprise Server 存取權杖](access-tokens-github.md)
+ [GitHub OAuth 應用程式](oauth-app-github.md)
# GitHub 和 GitHub Enterprise Server 的 GitHub 應用程式連線
您可以使用 GitHub 應用程式與 CodeBuild 連線。透過 支援 GitHub 應用程式連線[AWS CodeConnections](https://docs.aws.amazon.com/dtconsole/latest/userguide/welcome-connections.html)。
來源提供者存取可讓您[GitHub Webhook 事件](github-webhook.md)使用 [ CreateWebhook](https://docs.aws.amazon.com/codebuild/latest/APIReference/API_CreateWebhook.html) 訂閱 或在 CodeBuild [教學課程:設定 CodeBuild 託管的 GitHub 動作執行器](action-runner.md)中使用 來觸發組建。
**注意**
CodeConnections 可在比 CodeBuild 更少的區域中使用。您可以在 CodeBuild 中使用跨區域連線。在選擇加入區域中建立的連線無法在其他區域中使用。如需詳細資訊,請參閱 [AWS CodeConnections 端點和配額](https://docs.aws.amazon.com/general/latest/gr/codestar_connections.html)。
**Topics**
+ [步驟 1:建立 GitHub 應用程式的連線 (主控台)](#connections-github-console)
+ [步驟 2:授予 CodeBuild 專案 IAM 角色存取權以使用連線](#connections-github-role-access)
+ [步驟 3:設定 CodeBuild 以使用新的連線](#connections-github-account-credential)
+ [故障診斷 GitHub 應用程式](#connections-github-troubleshooting)
## 步驟 1:建立 GitHub 應用程式的連線 (主控台)
使用這些步驟來使用 CodeBuild 主控台為 GitHub 中的專案新增連線。
**建立連至 GitHub 的連線**
+ 請遵循*開發人員工具使用者指南*中[建立 GitHub 連線](https://docs.aws.amazon.com/dtconsole/latest/userguide/connections-create-github.html)的說明。
**注意**
您可以使用從另一個帳戶共用的連線,而不是在帳戶中建立或使用現有的連線 AWS 。如需詳細資訊,請參閱[與 AWS 帳戶共用連線](https://docs.aws.amazon.com/dtconsole/latest/userguide/connections-share.html)。
## 步驟 2:授予 CodeBuild 專案 IAM 角色存取權以使用連線
您可以授予 CodeBuild 專案 IAM 角色存取權,以使用連線提供的 GitHub 權杖。
**授予 CodeBuild 專案 IAM 角色存取權**
1. 遵循 CodeBuild 專案的 指示,為您的 CodeBuild 專案建立 [允許 CodeBuild 與其他 AWS 服務互動](setting-up-service-role.md) IAM 角色。
1. 遵循指示時,將下列 IAM 政策新增至 CodeBuild 專案角色,以授予連線的存取權。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codeconnections:GetConnectionToken",
"codeconnections:GetConnection"
],
"Resource": [
"arn:aws:iam::*:role/Service*"
]
}
]
}
```
------
## 步驟 3:設定 CodeBuild 以使用新的連線
您可以將連線設定為帳戶層級登入資料,並在專案中使用。
------
#### [ AWS 管理主控台 ]
**若要在 中將連線設定為帳戶層級登入資料 AWS 管理主控台**
1. 針對 **Source provider (來源供應商)**,選擇 **GitHub**。
1. 對於**登入**資料,請執行下列其中一項操作:
+ 選擇**預設來源登入**資料,以使用您帳戶的預設來源登入資料套用至所有專案。
1. 如果您未連線至 GitHub,請選擇**管理預設來源憑證**。
1. 針對**登入資料類型**,選擇 **GitHub 應用程式**。
1. 在**連線**中,選擇使用現有的連線或建立新的連線。
+ 選擇**自訂來源登入**資料,以使用自訂來源登入資料覆寫您帳戶的預設設定。
1. 針對**登入資料類型**,選擇 **GitHub 應用程式**。
1. 在**連線**中,選擇使用現有的連線或建立新的連線。
------
#### [ AWS CLI ]
**若要在 中將連線設定為帳戶層級登入資料 AWS CLI**
+ 開啟終端機 (Linux、macOS 或 Unix) 或命令提示 (Windows)。使用 AWS CLI 執行 **import-source-credentials**命令,`--token`為您的連線指定 `--auth-type`、 `--server-type`和 。
使用下列命令:
```
aws codebuild import-source-credentials --auth-type CODECONNECTIONS --server-type GITHUB --token
```
------
您也可以為 CodeBuild 專案設定多個權杖。如需詳細資訊,請參閱[將多個字符設定為來源層級登入資料](multiple-access-tokens.md#asm-source-credential)。
## 對 GitHub 應用程式的問題進行故障診斷
以下資訊可協助您對 GitHub 應用程式的常見問題進行故障診斷。
**Topics**
+ [在不需要的區域安裝 AWS Connector for GitHub 應用程式](#connections-github-troubleshooting.undesired-region)
+ [GitHub 應用程式連線無法存取儲存庫](#connections-github-troubleshooting.repo-access)
+ [AWS 服務的 IAM 角色缺少必要的 IAM 許可。](#connections-github-troubleshooting.iam-permissions)
### 在不需要的區域安裝 AWS Connector for GitHub 應用程式
**問題:**您從 GitHub Marketplace 安裝 AWS 了 Connector for GitHub,但連線是在不需要的區域建立的。如果您嘗試在 GitHub 網站上重新設定應用程式,它將無法運作,因為應用程式已安裝在您的 GitHub 帳戶。
**可能原因:**應用程式已安裝在您的 GitHub 帳戶中,因此您只能重新設定應用程式許可。
**建議的解決方案:**您可以使用所需區域中的安裝 ID 建立新的連線。
1. 在 https://[https://console.aws.amazon.com/codesuite/settings/connections](https://console.aws.amazon.com/codesuite/settings/connections) 開啟 CodeConnections 主控台,並使用 AWS 主控台導覽列中的區域選擇器導覽至所需區域。
1. 請遵循*開發人員工具使用者指南*中[建立 GitHub 連線](https://docs.aws.amazon.com/dtconsole/latest/userguide/connections-create-github.html)的說明。
**注意**
由於您已安裝 AWS Connector for GitHub 應用程式,因此可以選擇它,而不是安裝新的應用程式。
### GitHub 應用程式連線無法存取儲存庫
**問題:**使用連線 AWS 的服務,例如 CodeBuild 或 CodePipeline,報告其無法存取儲存庫或儲存庫不存在。一些可能的錯誤訊息包括:
+ `Authentication required for primary source.`
+ `Unable to create webhook at this time. Please try again later.`
+ `Failed to create webhook. GitHub API limit reached. Please try again later.`
***可能原因:**您可能一直使用 GitHub 應用程式,但尚未授予 Webhook 許可範圍。*
**建議的解決方案:**若要授予所需的許可範圍,請遵循[導覽至您要檢閱或修改的 GitHub 應用程式](https://docs.github.com/en/apps/using-github-apps/reviewing-and-modifying-installed-github-apps#navigating-to-the-github-app-you-want-to-review-or-modify)中的指示,以設定已安裝的應用程式。在許可區段下,您會看到應用程式沒有 Webhook 許可,而且您可以選擇檢閱新請求的許可。檢閱並接受新的許可。如需詳細資訊,請參閱[核准 GitHub 應用程式的更新許可](https://docs.github.com/en/apps/using-github-apps/approving-updated-permissions-for-a-github-app)。
***可能原因:**連線如預期般運作,但突然無法存取儲存庫。*
**可能的解決方案:**從檢閱您的[授權](https://docs.github.com/en/apps/using-github-apps/reviewing-and-revoking-authorization-of-github-apps)和[安裝](https://docs.github.com/en/apps/using-github-apps/reviewing-and-modifying-installed-github-apps)開始,然後驗證 GitHub 應用程式是否已授權並安裝。如果 GitHub 應用程式安裝已暫停,則需要將其取消暫停。如果 GitHub 應用程式未獲授權進行 [UAT (使用者存取字符)](https://docs.github.com/en/apps/creating-github-apps/authenticating-with-a-github-app/authenticating-with-a-github-app-on-behalf-of-a-user) 連線,或未針對 [ IAT (安裝存取字符)](https://docs.github.com/en/apps/creating-github-apps/authenticating-with-a-github-app/authenticating-as-a-github-app-installation) 連線安裝,則現有的連線將無法再使用,而且您將需要建立新的連線。請注意,重新安裝 GitHub 應用程式不會復原與舊安裝相關聯的先前連線。
**可能的解決方案:**如果連線是 UAT 連線,請確定未同時使用連線,例如在多個 CodeBuild 並行建置執行中使用 。這是因為如果連線重新整理過期權杖,GitHub 會立即使先前發行的 UAT 失效。如果您需要將 UAT 連線用於多個並行 CodeBuild 組建,您可以建立多個連線並獨立使用每個連線。
**可能的解決方案:**如果在過去 6 個月內未使用 UAT 連線,GitHub 會將連線失效。若要修正此問題,請建立新的連線。
***可能原因:**您可能已在未安裝應用程式的情況下使用 UAT 連線。*
**建議的解決方案:**雖然建立 UAT 連線不需要將連線與 GitHub 應用程式安裝建立關聯,但需要安裝才能存取儲存庫。依照指示[檢閱安裝](https://docs.github.com/en/apps/using-github-apps/reviewing-and-modifying-installed-github-apps),以確保已安裝 GitHub 應用程式。如果未安裝,請導覽至 [GitHub 應用程式頁面](https://github.com/marketplace/aws-connector-for-github)以安裝應用程式。如需 UAT 存取的詳細資訊,請參閱[關於使用者存取字符](https://docs.github.com/en/apps/creating-github-apps/authenticating-with-a-github-app/generating-a-user-access-token-for-a-github-app#about-user-access-tokens)。
### AWS 服務的 IAM 角色缺少必要的 IAM 許可。
**問題:**您會看到下列任何錯誤訊息:
+ `Access denied to connection `
+ `Failed to get access token from `
**建議的解決方案:**通常您使用 AWS 服務連線,例如 CodePipeline 或 CodeBuild。當您為 AWS 服務提供 IAM 角色時,該 AWS 服務可以使用該角色的許可來代表您採取行動。確定 IAM 角色具有必要的許可。如需必要 IAM 許可的詳細資訊,請參閱《 *開發人員工具主控台使用者指南*》中的[授予 CodeBuild 專案 IAM 角色存取權,以使用](#connections-github-role-access)[AWS CodeStar 通知和 CodeConnections 的連線和身分和存取管理](https://docs.aws.amazon.com/dtconsole/latest/userguide/security-iam.html)。
# GitHub 和 GitHub Enterprise Server 存取權杖
## 存取字符先決條件
開始之前,您必須將適當的許可範圍新增至 GitHub 存取字符。
對於 GitHub,您的個人存取字符必須具有以下範圍。
+ **repo**:授予私有儲存庫的完全控制。
+ **repo:status**:授予公有和私有儲存庫遞交狀態的讀取/寫入存取權。
+ **admin:repo\$1hook**:授予儲存庫勾點的完全控制。如果您的字符有 `repo` 範圍,則不需要此範圍。
+ **admin:org\$1hook**:授予組織勾點的完整控制權。只有在您使用組織 Webhook 功能時,才需要此範圍。
如需詳細資訊,請參閱 GitHub 網站上的[了解 OAuth 應用程式的範圍](https://developer.github.com/apps/building-oauth-apps/understanding-scopes-for-oauth-apps/)。
如果您使用精細的個人存取字符,根據您的使用案例,您的個人存取字符可能需要以下許可:
+ **內容:唯讀**:授予私有儲存庫的存取權。如果您使用私有儲存庫做為來源,則需要此許可。
+ **遞交狀態:讀取和寫入**:授予建立遞交狀態的許可。如果您的專案已設定 Webhook,或者您已啟用報告建置狀態功能,則需要此許可。
+ **Webhooks:讀取和寫入**:授予管理 Webhook 的許可。如果您的專案已設定 Webhook,則需要此許可。
+ **提取請求:唯讀**:授予存取提取請求的許可。如果您的 Webhook 具有提取請求事件的`FILE_PATH`篩選條件,則需要此許可。
+ **管理:讀取和寫入**:如果您搭配 CodeBuild 使用自我託管的 GitHub 動作執行器功能,則需要此許可。如需詳細資訊,請參閱[建立儲存庫的註冊字符](https://docs.github.com/en/rest/actions/self-hosted-runners?apiVersion=2022-11-28#create-a-registration-token-for-a-repository)和 [教學課程:設定 CodeBuild 託管的 GitHub 動作執行器](action-runner.md)。
**注意**
如果您想要存取組織儲存庫,請務必將組織指定為存取字符的資源擁有者。
如需詳細資訊,請參閱 GitHub [ 網站上的微調個人存取字符所需的許可](https://docs.github.com/en/rest/authentication/permissions-required-for-fine-grained-personal-access-tokens?apiVersion=2022-11-28)。
## 使用存取字符連接 GitHub (主控台)
若要使用主控台,使用存取字符將專案連線至 GitHub,請在建立專案時執行下列動作。如需相關資訊,請參閱[建立組建專案 (主控台)](create-project.md#create-project-console)。
1. 針對 **Source provider (來源供應商)**,選擇 **GitHub**。
1. 對於**登入**資料,請執行下列其中一項操作:
+ 選擇使用帳戶登入資料,將帳戶的預設來源登入資料套用至所有專案。
1. 如果您未連線至 GitHub,請選擇**管理帳戶登入**資料。
1. 針對**登入資料類型**,選擇**個人存取字符**。
+ 如果您選擇使用 **Service** 的帳戶層級登入資料,請選擇您要用來存放字符的服務,並執行下列動作:
1. 如果您選擇使用 **Secrets Manager**,您可以選擇使用現有的秘密連線或建立新的秘密,然後選擇**儲存**。如需如何建立新的秘密的詳細資訊,請參閱 [在 Secrets Manager 秘密中建立和存放權杖](asm-create-secret.md)。
1. 如果您選擇使用 **CodeBuild**,請輸入您的 GitHub 個人存取字符,然後選擇**儲存**。
+ 選取**僅使用此專案的覆寫登入**資料來使用自訂來源登入資料來覆寫帳戶的登入資料設定。
1. 從填入的登入資料清單中,選擇**個人存取字符**下的其中一個選項。
1. 您也可以在描述中選取建立新的個人存取權杖**連線,以建立新的個人存取權杖**。
## 使用存取字符 (CLI) 連接 GitHub
請依照下列步驟使用 AWS CLI ,使用存取字符將您的專案連線至 GitHub。如需 AWS CLI 搭配 使用 的詳細資訊 AWS CodeBuild,請參閱 [命令列參考](cmd-ref.md)。
1. 執行 **import-source-credentials** 命令:
```
aws codebuild import-source-credentials --generate-cli-skeleton
```
即會在輸出中顯示 JSON 格式化資料。將資料複製到 AWS CLI 安裝 的本機電腦或執行個體位置中的檔案 (例如 `import-source-credentials.json`)。如下所示修改複製的資料,並儲存您的結果。
```
{
"serverType": "server-type",
"authType": "auth-type",
"shouldOverwrite": "should-overwrite",
"token": "token",
"username": "username"
}
```
取代以下項目:
+ *server-type*:必要值。用於此登入資料的來源供應商。有效值為 GITHUB、BITBUCKET、GITHUB\$1ENTERPRISE、GITLAB 和 GITLAB\$1SELF\$1MANAGED。
+ *auth-type*:必要值。用於連線至儲存庫的身分驗證類型。有效值為 OAUTH、BASIC\$1AUTH、Personal\$1ACCESS\$1TOKEN、CODECONNECTIONS 和 SECRETS\$1MANAGER。對於 GitHub,僅允許使用 Personal\$1ACCESS\$1TOKEN。BASIC\$1AUTH 僅允許使用 Bitbucket 應用程式密碼。
+ *should-overwrite*:選用值。設為 `false` 可防止覆寫儲存庫來源登入資料。設為 `true` 可覆寫儲存庫來源登入資料。預設值為 `true`。
+ *token*:必要值。對於 GitHub 或 GitHub Enterprise Server,這是個人存取字符。對於 Bitbucket,這是個人存取字符或應用程式密碼。對於 auth-type CODECONNECTIONS,這是連線 ARN。對於身分驗證類型 SECRETS\$1MANAGER,這是秘密 ARN。
+ *username*:選用值。GitHub 和 GitHub Enterprise Server 來源提供者會忽略此參數。
1. 若要使用存取字符連接您的帳戶,請切換到包含您在步驟 1 中儲存的 `import-source-credentials.json` 檔案的目錄,並再次執行 **import-source-credentials** 命令。
```
aws codebuild import-source-credentials --cli-input-json file://import-source-credentials.json
```
JSON 格式的資料會出現在 Amazon Resource Name (ARN) 的輸出中。
```
{
"arn": "arn:aws:codebuild:region:account-id:token/server-type"
}
```
**注意**
如果您使用相同的伺服器類型和身分驗證類型執行 **import-source-credentials** 命令第二次,即會更新存放的存取字符。
您的帳戶與存取字符連線後,您可以使用 `create-project` 來建立 CodeBuild 專案。如需詳細資訊,請參閱[建立建置專案 (AWS CLI)](create-project.md#create-project-cli)。
1. 若要檢視連接的存取字符,請執行 **list-source-credentials** 命令。
```
aws codebuild list-source-credentials
```
輸出中即會顯示 JSON 格式的 `sourceCredentialsInfos` 物件:
```
{
"sourceCredentialsInfos": [
{
"authType": "auth-type",
"serverType": "server-type",
"arn": "arn"
}
]
}
```
`sourceCredentialsObject` 包含連接的來源登入資料資訊的清單:
+ `authType` 是登入資料使用的身分驗證類型。這可以是 `OAUTH`、`BASIC_AUTH`、`CODECONNECTIONS`、 `PERSONAL_ACCESS_TOKEN`或 `SECRETS_MANAGER`。
+ `serverType` 是來源供應商的類型。這可以是 `GITHUB`、`GITHUB_ENTERPRISE`、`GITLAB`、 `BITBUCKET`或 `GITLAB_SELF_MANAGED`。
+ `arn` 為字符的 ARN。
1. 若要與來源供應商中斷連接並移除其存取字符,請使用其 ARN 執行 **delete-source-credentials** 命令。
```
aws codebuild delete-source-credentials --arn arn-of-your-credentials
```
JSON 格式的資料會隨著所刪除登入資料的 ARN 傳回。
```
{
"arn": "arn:aws:codebuild:region:account-id:token/server-type"
}
```
# GitHub OAuth 應用程式
## 使用 OAuth 連接 GitHub (主控台)
若要使用 主控台,使用 OAuth 應用程式將專案連線至 GitHub,請在建立專案時執行下列動作。如需相關資訊,請參閱[建立組建專案 (主控台)](create-project.md#create-project-console)。
1. 針對 **Source provider (來源供應商)**,選擇 **GitHub**。
1. 對於**登入**資料,請執行下列其中一項操作:
+ 選擇使用帳戶登入資料,將帳戶的預設來源登入資料套用至所有專案。
1. 如果您未連線至 GitHub,請選擇**管理帳戶登入**資料。
1. 針對**登入資料類型**,選擇 **OAuth 應用程式**。
+ 如果您選擇使用 **Service** 的帳戶層級登入資料,請選擇您要用來存放字符的服務,並執行下列動作:
1. 如果您選擇使用 **Secrets Manager**,您可以選擇使用現有的秘密連線或建立新的秘密,然後選擇**儲存**。如需如何建立新的秘密的詳細資訊,請參閱 [在 Secrets Manager 秘密中建立和存放權杖](asm-create-secret.md)。
1. 如果您選擇使用 **CodeBuild**,然後選擇**儲存**。
+ 選取**僅使用此專案的覆寫登入**資料來使用自訂來源登入資料來覆寫帳戶的登入資料設定。
1. 從填入的登入資料清單中,選擇 **OAuth 應用程式**下的其中一個選項。
1. 您也可以在描述中選取建立新的 Oauth 應用程式字符連線,以建立新的 OAuth 應用程式字符。 ****
若要檢閱授權的 OAuth 應用程式,請導覽至 GitHub 上的[應用程式](https://github.com/settings/applications),並確認已列出由 [aws-codesuite](https://github.com/aws-codesuite) `AWS CodeBuild (region)`擁有且名為 的應用程式。