本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# GitHub 和 GitHub Enterprise Server 存取權杖
<a name="access-tokens-github"></a>

## 存取字符先決條件
<a name="access-tokens-github-prereqs"></a>

開始之前，您必須將適當的許可範圍新增至 GitHub 存取字符。

對於 GitHub，您的個人存取字符必須具有以下範圍。
+ **repo**：授予私有儲存庫的完全控制。
+ **repo：status**：授予公有和私有儲存庫遞交狀態的讀取/寫入存取權。
+ **admin:repo\$1hook**：授予儲存庫勾點的完全控制。如果您的字符有 `repo` 範圍，則不需要此範圍。
+ **admin：org\$1hook**：授予組織勾點的完整控制權。只有在您使用組織 Webhook 功能時，才需要此範圍。

如需詳細資訊，請參閱 GitHub 網站上的[了解 OAuth 應用程式的範圍](https://developer.github.com/apps/building-oauth-apps/understanding-scopes-for-oauth-apps/)。

如果您使用精細的個人存取字符，根據您的使用案例，您的個人存取字符可能需要以下許可：
+ **內容：唯讀**：授予私有儲存庫的存取權。如果您使用私有儲存庫做為來源，則需要此許可。
+ **遞交狀態：讀取和寫入**：授予建立遞交狀態的許可。如果您的專案已設定 Webhook，或者您已啟用報告建置狀態功能，則需要此許可。
+ **Webhooks：讀取和寫入**：授予管理 Webhook 的許可。如果您的專案已設定 Webhook，則需要此許可。
+ **提取請求：唯讀**：授予存取提取請求的許可。如果您的 Webhook 具有提取請求事件的`FILE_PATH`篩選條件，則需要此許可。
+ **管理：讀取和寫入**：如果您搭配 CodeBuild 使用自我託管的 GitHub 動作執行器功能，則需要此許可。如需詳細資訊，請參閱[建立儲存庫的註冊字符](https://docs.github.com/en/rest/actions/self-hosted-runners?apiVersion=2022-11-28#create-a-registration-token-for-a-repository)和 [教學課程：設定 CodeBuild 託管的 GitHub 動作執行器](action-runner.md)。

**注意**  
如果您想要存取組織儲存庫，請務必將組織指定為存取字符的資源擁有者。

如需詳細資訊，請參閱 GitHub [ 網站上的微調個人存取字符所需的許可](https://docs.github.com/en/rest/authentication/permissions-required-for-fine-grained-personal-access-tokens?apiVersion=2022-11-28)。

## 使用存取字符連接 GitHub （主控台）
<a name="access-tokens-github-console"></a>

若要使用主控台，使用存取字符將專案連線至 GitHub，請在建立專案時執行下列動作。如需相關資訊，請參閱[建立組建專案 (主控台)](create-project.md#create-project-console)。

1. 針對 **Source provider (來源供應商)**，選擇 **GitHub**。

1. 對於**登入**資料，請執行下列其中一項操作：
   + 選擇使用帳戶登入資料，將帳戶的預設來源登入資料套用至所有專案。

     1. 如果您未連線至 GitHub，請選擇**管理帳戶登入**資料。

     1. 針對**登入資料類型**，選擇**個人存取字符**。
   + 如果您選擇使用 **Service** 的帳戶層級登入資料，請選擇您要用來存放字符的服務，並執行下列動作：

     1. 如果您選擇使用 **Secrets Manager**，您可以選擇使用現有的秘密連線或建立新的秘密，然後選擇**儲存**。如需如何建立新的秘密的詳細資訊，請參閱 [在 Secrets Manager 秘密中建立和存放權杖](asm-create-secret.md)。

     1. 如果您選擇使用 **CodeBuild**，請輸入您的 GitHub 個人存取字符，然後選擇**儲存**。
   + 選取**僅使用此專案的覆寫登入**資料來使用自訂來源登入資料來覆寫帳戶的登入資料設定。

     1. 從填入的登入資料清單中，選擇**個人存取字符**下的其中一個選項。

     1. 您也可以在描述中選取建立新的個人存取權杖**連線，以建立新的個人存取權杖**。

## 使用存取字符 (CLI) 連接 GitHub
<a name="access-tokens-github-cli"></a>

請依照下列步驟使用 AWS CLI ，使用存取字符將您的專案連線至 GitHub。如需 AWS CLI 搭配 使用 的詳細資訊 AWS CodeBuild，請參閱 [命令列參考](cmd-ref.md)。

1. 執行 **import-source-credentials** 命令：

   ```
   aws codebuild import-source-credentials --generate-cli-skeleton
   ```

   即會在輸出中顯示 JSON 格式化資料。將資料複製到 AWS CLI 安裝 的本機電腦或執行個體位置中的檔案 （例如 `import-source-credentials.json`)。如下所示修改複製的資料，並儲存您的結果。

   ```
   {
       "serverType": "server-type",
       "authType": "auth-type",
       "shouldOverwrite": "should-overwrite",
       "token": "token",
       "username": "username"
       }
   ```

   取代以下項目：
   + *server-type*：必要值。用於此登入資料的來源供應商。有效值為 GITHUB、BITBUCKET、GITHUB\$1ENTERPRISE、GITLAB 和 GITLAB\$1SELF\$1MANAGED。
   + *auth-type*：必要值。用於連線至儲存庫的身分驗證類型。有效值為 OAUTH、BASIC\$1AUTH、Personal\$1ACCESS\$1TOKEN、CODECONNECTIONS 和 SECRETS\$1MANAGER。對於 GitHub，僅允許使用 Personal\$1ACCESS\$1TOKEN。BASIC\$1AUTH 僅允許使用 Bitbucket 應用程式密碼。
   + *should-overwrite*：選用值。設為 `false` 可防止覆寫儲存庫來源登入資料。設為 `true` 可覆寫儲存庫來源登入資料。預設值為 `true`。
   + *token*：必要值。對於 GitHub 或 GitHub Enterprise Server，這是個人存取字符。對於 Bitbucket，這是個人存取字符或應用程式密碼。對於 auth-type CODECONNECTIONS，這是連線 ARN。對於身分驗證類型 SECRETS\$1MANAGER，這是秘密 ARN。
   + *username*：選用值。GitHub 和 GitHub Enterprise Server 來源提供者會忽略此參數。

1. 若要使用存取字符連接您的帳戶，請切換到包含您在步驟 1 中儲存的 `import-source-credentials.json` 檔案的目錄，並再次執行 **import-source-credentials** 命令。

   ```
   aws codebuild import-source-credentials --cli-input-json file://import-source-credentials.json
   ```

   JSON 格式的資料會出現在 Amazon Resource Name (ARN) 的輸出中。

   ```
   {
       "arn": "arn:aws:codebuild:region:account-id:token/server-type"
       }
   ```
**注意**  
如果您使用相同的伺服器類型和身分驗證類型執行 **import-source-credentials** 命令第二次，即會更新存放的存取字符。

   您的帳戶與存取字符連線後，您可以使用 `create-project` 來建立 CodeBuild 專案。如需詳細資訊，請參閱[建立建置專案 (AWS CLI)](create-project.md#create-project-cli)。

1. 若要檢視連接的存取字符，請執行 **list-source-credentials** 命令。

   ```
   aws codebuild list-source-credentials
   ```

   輸出中即會顯示 JSON 格式的 `sourceCredentialsInfos` 物件：

   ```
   {
           "sourceCredentialsInfos": [
               {
                   "authType": "auth-type",
                   "serverType": "server-type", 
                   "arn": "arn"
               }
           ]
       }
   ```

   `sourceCredentialsObject` 包含連接的來源登入資料資訊的清單：
   + `authType` 是登入資料使用的身分驗證類型。這可以是 `OAUTH`、`BASIC_AUTH`、`CODECONNECTIONS`、 `PERSONAL_ACCESS_TOKEN`或 `SECRETS_MANAGER`。
   + `serverType` 是來源供應商的類型。這可以是 `GITHUB`、`GITHUB_ENTERPRISE`、`GITLAB`、 `BITBUCKET`或 `GITLAB_SELF_MANAGED`。
   + `arn` 為字符的 ARN。

1. 若要與來源供應商中斷連接並移除其存取字符，請使用其 ARN 執行 **delete-source-credentials** 命令。

   ```
   aws codebuild delete-source-credentials --arn arn-of-your-credentials
   ```

   JSON 格式的資料會隨著所刪除登入資料的 ARN 傳回。

   ```
   {
       "arn": "arn:aws:codebuild:region:account-id:token/server-type"
       }
   ```