Verwenden von IAM-Rollen für den AWS-CodeBuild-Worker

Question

Gibt es eine Möglichkeit, IAM-Instanzenrollen zu erteilen, die vom Erstellungsprozess verwendet werden?

In meinem speziellen Fall muss ich während des Builds einige s3-Operationen durchführen (unabhängig von Archivierungsartefakten).

Die einzige Alternative, die ich gefunden habe, ist, den Umgebungsvariablen auf der aws-Codebuild-Konfigurationsseite einen aws-Schlüssel und einen Schlüssel hinzuzufügen.

Es wäre sicherer, einfach eine IAM-Rolle an die ec2-Instanz oder den Container anzuhängen, der den Build ausführt. Ist das derzeit (2016-12) möglich?

Answer 1

Sie sollten in der Lage sein, zusätzliche Richtlinienberechtigungen an die Service-Rolle anzuhängen, die für Ihr Build-Projekt erstellt wurde. CodeBuild verwendet diese Richtlinie während der Build-Zeit, um Aktionen innerhalb einer Build-Instanz auszuführen.

Zum Beispiel, wenn Sie ein Objekt aus dem S3 während Build löschen wollten, müssten Sie die folgende Anweisung an Ihre Dienstrolle Politik hinzuzufügen:

{ 
    "Effect": "Allow", 
    "Resource": [ 
     "*" 
    ], 
    "Action": [ 
     "s3:DeleteObject" 
    ] 
} 

Hinweis: Vielleicht möchten Sie diese beschränken Berechtigungen für bestimmte Ressourcen, das obige Beispiel ermöglicht DeleteObject für alles in Ihrem Konto.

Wenn Sie den Assistenten für die erste Ausführung der CodeBuild-Konsole zum Einrichten Ihres Projekts verwendet haben, sollten Sie bereits Richtlinien in Ihrer Servicerolle für s3: GetObject und s3: GetObjectVersion haben. Der Name der Service-Rolle beim Erstellen über die Konsole lautet standardmäßig 'codebuild- [Projektname] -service-role'.