本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用客戶受管金鑰加密建置輸出
<a name="setting-up-kms"></a>

如果您 AWS CodeBuild 第一次遵循 中的步驟[開始使用主控台](getting-started-overview.md#getting-started)來存取 ，則很可能不需要本主題中的資訊。不過，當您繼續使用 CodeBuild 時，您可能想要執行加密建置成品等動作。

為了 AWS CodeBuild 讓 加密其建置輸出成品，它需要存取 KMS 金鑰。根據預設，CodeBuild 會使用您 AWS 帳戶中 Amazon S3 AWS 受管金鑰 的 。

如果您不想使用 AWS 受管金鑰，您必須自行建立和設定客戶受管金鑰。本節說明如何使用 IAM 主控台執行此操作。

如需客戶受管金鑰的相關資訊，請參閱《 *AWS KMS 開發人員指南*》中的[AWS Key Management Service 概念](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)和[建立金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。

若要設定客戶受管金鑰供 CodeBuild 使用，請遵循《 *AWS KMS 開發人員指南*》中修改金鑰政策》的「如何[修改金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)」一節中的指示。然後，將下列陳述式 (在 *\$1\$1\$1 BEGIN ADDING STATEMENTS HERE \$1\$1\$1* 和 *\$1\$1\$1 END ADDING STATEMENTS HERE \$1\$1\$1* 之間) 新增至金鑰政策。省略符號 (`...`) 是為了簡潔起見，也有助於您找到要新增陳述式的位置。請不要移除任何陳述式，也不要在金鑰政策中輸入這些省略符號。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "s3.us-east-1.amazonaws.com",
          "kms:CallerAccount": "111122223333"
        }
      }
    },
    {
      "Effect": "Allow", 
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}
```

------
+ *region-ID* 代表與 CodeBuild 相關聯的 Amazon S3 儲存貯體所在 AWS 區域的 ID （例如 `us-east-1`)。
+ *account-ID* 代表擁有客戶受管金鑰之 AWS 帳戶的 ID。
+ *CodeBuild-service-role* 代表您先前在本主題中建立或識別的 CodeBuild 服務角色名稱。

**注意**  
若要透過 IAM 主控台建立或設定客戶受管金鑰，您必須先 AWS 管理主控台 使用下列其中一項登入 ：  
您的 AWS 根帳戶。此為不建議的選項。如需詳細資訊，請參閱[《 使用者指南》中的帳戶根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)。 **
您 AWS 帳戶中的管理員使用者。如需詳細資訊，請參閱《 *使用者指南*》中的[建立您的第一個 AWS 帳戶 根使用者和群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)。
您 AWS 帳戶中有權建立或修改客戶受管金鑰的使用者。如需詳細資訊，請參閱《 *AWS KMS 開發人員指南*》中的[使用 AWS KMS 主控台所需的許可](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html#console-permissions)。