Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Beberapa token akses di CodeBuild
CodeBuild mendukung sumber token akses ke penyedia pihak ketiga dari rahasia Anda di dalam AWS Secrets Manager atau melalui AWS CodeConnections koneksi. Anda dapat menetapkan rahasia atau koneksi Anda sebagai kredensi default untuk interaksi dengan penyedia pihak ketiga tertentu seperti GitHub, GitHub Enterprise, atau Bitbucket.
Anda dapat mengatur kredensi sumber Anda di tiga tingkatan yang berbeda:
1. **Kredensial tingkat akun untuk semua proyek:** Ini adalah kredensi default untuk semua proyek dalam akun. AWS Mereka akan digunakan pada proyek ketika tidak ada kredenal tingkat proyek atau sumber yang ditentukan.
1. **Kredensial tingkat sumber untuk repositori tertentu:** Ini adalah saat rahasia atau CodeConnections koneksi Secrets Manager didefinisikan pada sumber proyek. Kredensi ini hanya akan digunakan untuk operasi pada repositori sumber yang ditentukan. Ini memungkinkan Anda untuk mengatur beberapa token akses dengan cakupan izin yang berbeda dalam proyek yang sama, dan tidak menggunakan kredenal tingkat akun default.
1. **Kredensial fallback tingkat proyek: Anda dapat mengatur kredensi** fallback tingkat proyek dengan menggunakan `NO_SOURCE` sebagai tipe sumber utama dan menentukan rahasia atau koneksi di dalamnya. Ini dapat digunakan ketika Anda memiliki beberapa sumber pada proyek, tetapi ingin menggunakan kredensi yang sama untuk mereka, atau ketika Anda tidak ingin menggunakan kredenal tingkat akun default untuk proyek Anda.
**Topics**
+ [
## Langkah 1: Buat rahasia Secrets Manager atau CodeConnections koneksi
](#create-secret-connection)
+ [
## Langkah 2: Berikan akses peran IAM CodeBuild proyek ke rahasia Secrets Manager
](#asm-role-access)
+ [
## Langkah 3: Konfigurasikan Secrets Manager atau CodeConnections token
](#asm-account-credential)
+ [
## Opsi penyiapan tambahan
](#asm-credential-cfn)
## Langkah 1: Buat rahasia Secrets Manager atau CodeConnections koneksi
Gunakan petunjuk berikut untuk membuat rahasia Secrets Manager atau CodeConnections koneksi:
+ [Buat dan simpan token dalam rahasia Secrets Manager](asm-create-secret.md).
+ [Buat koneksi ke GitHub](https://docs.aws.amazon.com/dtconsole/latest/userguide/connections-create-github.html)
+ [Membuat koneksi ke GitHub Enterprise Server](https://docs.aws.amazon.com/dtconsole/latest/userguide/connections-create-gheserver.html)
+ [Buat koneksi ke Bitbucket](https://docs.aws.amazon.com/dtconsole/latest/userguide/connections-create-bitbucket.html)
## Langkah 2: Berikan akses peran IAM CodeBuild proyek ke rahasia Secrets Manager
**catatan**
Sebelum melanjutkan, Anda harus memiliki akses ke token yang dibuat di Secrets Manager atau CodeConnections.
Untuk memberikan akses peran IAM CodeBuild proyek ke Secrets Manager atau CodeConnections, Anda harus menambahkan kebijakan IAM berikut.
**Untuk memberikan CodeBuild akses peran IAM proyek**
1. Buat peran IAM untuk CodeBuild proyek Anda dengan mengikuti petunjuk [Memungkinkan CodeBuild untuk berinteraksi dengan AWS layanan lain](setting-up-service-role.md) untuk CodeBuild proyek Anda.
1. Lakukan salah satu tindakan berikut:
+ Tambahkan kebijakan IAM berikut ke peran CodeBuild proyek Anda untuk memberikan akses ke rahasia Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:iam::*:role/Service*"
]
}
]
}
```
------
(Opsional) Jika Anda menggunakan kunci terkelola AWS KMS pelanggan untuk mengenkripsi rahasia Secrets Manager, Anda dapat menambahkan pernyataan kebijakan berikut untuk memberikan akses.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:iam::*:role/Service*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:SecretARN": "arn:aws:iam::*:role/Service*"
}
}
}
]
}
```
------
+ Tambahkan kebijakan IAM berikut ke peran CodeBuild proyek Anda untuk memberikan akses ke koneksi Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codeconnections:GetConnectionToken",
"codeconnections:GetConnection"
],
"Resource": [
"arn:aws:iam::*:role/Service*"
]
}
]
}
```
------
## Langkah 3: Konfigurasikan Secrets Manager atau CodeConnections token
Anda dapat mengatur kredensi sumber Anda di tiga level berbeda dengan Secrets Manager atau CodeConnections token.
### Konfigurasikan Secrets Manager atau CodeConnections token sebagai kredensi tingkat akun
Anda dapat mengonfigurasi rahasia Secrets Manager atau CodeConnections koneksi sebagai kredensi tingkat akun dan menggunakannya dalam proyek.
------
#### [ Konsol Manajemen AWS ]
**Untuk mengonfigurasi koneksi sebagai kredensi tingkat akun di Konsol Manajemen AWS**
1. Untuk **penyedia Sumber**, pilih **Bitbucket**, **GitHub**, atau **GitHub Enterprise**.
1. Untuk **Credential**, lakukan salah satu hal berikut:
+ Pilih **Kredensi sumber default** untuk menggunakan kredensi sumber default akun Anda untuk diterapkan ke semua proyek.
1. Jika Anda tidak tersambung ke penyedia sumber, pilih **Kelola kredensi sumber default**.
1. Untuk **tipe Credential**, pilih jenis kredensi.
1. Jika Anda memilih **CodeConnections**, pilih untuk menggunakan koneksi yang ada atau buat koneksi baru.
Jika Anda memilih jenis kredensi yang berbeda, untuk **Layanan** pilih layanan mana yang ingin Anda gunakan untuk menyimpan token Anda dan lakukan hal berikut:
+ Jika Anda memilih untuk menggunakan **Secrets Manager**, Anda dapat memilih untuk menggunakan koneksi rahasia yang ada atau membuat rahasia baru dan memilih **Simpan**. Untuk informasi selengkapnya cara membuat rahasia baru, lihat[Buat dan simpan token dalam rahasia Secrets Manager](asm-create-secret.md).
+ Jika Anda memilih untuk menggunakan **CodeBuild**, masukkan token atau nama pengguna dan kata sandi aplikasi Anda, dan pilih **Simpan**.
+ Pilih **Kredensi sumber kustom untuk menggunakan kredensi** sumber kustom untuk mengganti setelan default akun Anda.
1. Untuk **tipe Credential**, pilih jenis kredensi.
1. Di **Koneksi**, pilih untuk menggunakan koneksi yang ada atau buat koneksi baru.
------
#### [ AWS CLI ]
**Untuk mengonfigurasi koneksi sebagai kredensi tingkat akun di AWS CLI**
+ Buka terminal (Linux, macOS, atau Unix) atau command prompt (Windows). Gunakan AWS CLI untuk menjalankan **import-source-credentials** perintah.
Gunakan perintah berikut untuk mengonfigurasi rahasia Secrets Manager:
```
aws codebuild import-source-credentials \
--token "" \
--server-type \
--auth-type SECRETS_MANAGER \
--region
```
Gunakan perintah berikut untuk mengkonfigurasi CodeConnections koneksi:
```
aws codebuild import-source-credentials \
--token "" \
--server-type \
--auth-type CODECONNECTIONS \
--region
```
Perintah ini memungkinkan Anda untuk mengimpor token sebagai kredenal sumber default tingkat akun. Saat Anda mengimpor kredensi menggunakan [ImportSourceCredentials](https://docs.aws.amazon.com/codebuild/latest/APIReference/API_ImportSourceCredentials.html)API, CodeBuild akan menggunakan token untuk semua interaksi dengan penyedia sumber, seperti webhook, pelaporan status build, dan operasi git clone kecuali kumpulan kredensional yang lebih spesifik telah dikonfigurasi dalam proyek.
------
Anda sekarang dapat menggunakan token dalam proyek build Anda dan menjalankannya. Untuk informasi selengkapnya, lihat [Buat proyek build di AWS CodeBuild](create-project.md) dan [Jalankan AWS CodeBuild build secara manual](run-build.md).
### Konfigurasikan beberapa token sebagai kredenal tingkat sumber
Untuk menggunakan rahasia atau CodeConnections koneksi Secrets Manager sebagai kredenal tingkat sumber, langsung rujuk token dalam CodeBuild proyek, dan mulai build.
------
#### [ Konsol Manajemen AWS ]
**Untuk mengonfigurasi beberapa token sebagai kredensi tingkat sumber di Konsol Manajemen AWS**
1. Untuk **penyedia Sumber**, pilih **GitHub**.
1. Untuk **Credential**, lakukan salah satu hal berikut:
+ Pilih **Kredensi sumber default** untuk menggunakan kredensi sumber default akun Anda untuk diterapkan ke semua proyek.
1. Jika Anda tidak tersambung GitHub, pilih **Kelola kredensi sumber default**.
1. Untuk **jenis Kredenal**, pilih **GitHub Aplikasi**.
1. Di **Koneksi**, pilih untuk menggunakan koneksi yang ada atau buat koneksi baru.
+ Pilih **Kredensi sumber kustom untuk menggunakan kredensi** sumber kustom untuk mengganti setelan default akun Anda.
1. Untuk **jenis Kredenal**, pilih **GitHub Aplikasi**.
1. Di **Koneksi**, pilih untuk menggunakan koneksi yang ada atau buat koneksi baru.
1. Pilih **Tambahkan sumber** dan ulangi proses memilih penyedia sumber dan kredensialnya.
------
#### [ AWS CLI ]
**Untuk mengonfigurasi beberapa token sebagai kredensi tingkat sumber di AWS CLI**
+ Buka terminal (Linux, macOS, atau Unix) atau command prompt (Windows). Gunakan AWS CLI untuk menjalankan **create-project** perintah.
Gunakan perintah berikut ini.
```
aws codebuild create-project --region \
--name \
--artifacts type=NO_ARTIFACTS \
--environment "type=LINUX_CONTAINER,
computeType=BUILD_GENERAL1_SMALL,
image=aws/codebuild/amazonlinux-x86_64-standard:5.0" \
--service-role \
--source "type=GITHUB,
location=,
auth={type=SECRETS_MANAGER,resource=}" \
--secondary-sources "type=GITHUB,
location=,
auth={type=SECRETS_MANAGER,resource=},
sourceIdentifier=secondary"
aws codebuild start-build --region --project-name
```
------
### Tetapkan fallback kredenal sumber tingkat proyek
Untuk menyiapkan fallback kredenal sumber tingkat proyek, gunakan `NO_SOURCE` untuk sumber utama proyek Anda dan referensikan tokennya.
```
aws codebuild create-project \
--name \
--service-role \
--artifacts type=NO_ARTIFACTS \
--environment "type=LINUX_CONTAINER,
computeType=BUILD_GENERAL1_SMALL,
image=aws/codebuild/amazonlinux-x86_64-standard:5.0" \
--service-role \
--source "type=NO_SOURCE,
auth={type=SECRETS_MANAGER,resource=},
buildspec="
--secondary-sources "type=GITHUB,
location=,
sourceIdentifier=secondary"
aws codebuild start-build --region --project-name
```
[Saat menggunakan`NO_SOURCE`, buildspec biasanya disediakan dalam model sumber karena tidak dikonfigurasi secara langsung untuk menggunakan sumber eksternal untuk mengambil buildspec.](build-spec-ref.md) Umumnya, `NO_SOURCE` sumber akan menangani kloning semua repositori yang relevan dari dalam buildspec. Untuk memastikan kredenal yang dikonfigurasi tersedia untuk operasi tersebut, Anda dapat mengaktifkan `git-credential-helper` opsi di buildspec.
```
env:
git-credential-helper: yes
```
Selama pembuatan, kemudian CodeBuild akan membaca `AuthServer` bidang dari token yang dikonfigurasi dan menggunakan kredenal token untuk semua permintaan git ke penyedia sumber pihak ketiga tertentu.
## Opsi penyiapan tambahan
Anda dapat mengonfigurasi kredensi tingkat akun Secrets Manager dengan menggunakan CloudFormation templat. Anda dapat menggunakan CloudFormation template berikut untuk menetapkan kredensi tingkat akun:
```
Parameters:
GitHubToken:
Type: String
NoEcho: true
Default: placeholder
Resources:
CodeBuildAuthTokenSecret:
Type: AWS::SecretsManager::Secret
Properties:
Description: CodeBuild auth token
Name: codebuild-auth-token
SecretString:
!Join
- ''
- - '{"ServerType":"GITHUB","AuthType":"PERSONAL_ACCESS_TOKEN","Token":"'
- !Ref GitHubToken
- '"}'
Tags:
- Key: codebuild:source:provider
Value: github
- Key: codebuild:source:type
Value: personal_access_token
CodeBuildSecretsManagerAccountCredential:
Type: AWS::CodeBuild::SourceCredential
Properties:
ServerType: GITHUB
AuthType: SECRETS_MANAGER
Token: !Ref CodeBuildAuthTokenSecret
```
**catatan**
Jika Anda juga membuat proyek di tumpukan yang sama, gunakan CloudFormation atribut [DependsOn](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-attribute-dependson.html)untuk memastikan `AccountCredential` dibuat sebelum proyek.
Anda juga dapat mengonfigurasi Secrets Manager beberapa kredensial tingkat sumber dengan menggunakan CloudFormation templat. Anda dapat menggunakan CloudFormation template berikut untuk menggunakan beberapa token untuk menarik beberapa sumber:
```
Parameters:
GitHubTokenOne:
Type: String
NoEcho: true
Default: placeholder
GitHubTokenTwo:
Type: String
NoEcho: true
Default: placeholder
Resources:
CodeBuildSecretsManagerProject:
Type: AWS::CodeBuild::Project
Properties:
Name: codebuild-multitoken-example
ServiceRole:
Environment:
Type: LINUX_CONTAINER
ComputeType: BUILD_GENERAL1_SMALL
Image: aws/codebuild/amazonlinux-x86_64-standard:5.0
Source:
Type: GITHUB
Location:
Auth:
Type: SECRETS_MANAGER
Resource: !Ref CodeBuildAuthTokenSecretOne
SecondarySources:
- Type: GITHUB
Location:
Auth:
Type: SECRETS_MANAGER
Resource: !Ref CodeBuildAuthTokenSecretTwo
SourceIdentifier: secondary
Artifacts:
Type: NO_ARTIFACTS
LogsConfig:
CloudWatchLogs:
Status: ENABLED
CodeBuildProjectIAMRoleSecretAccess:
Type: AWS::IAM::RolePolicy
Properties:
RoleName:
PolicyName: CodeBuildProjectIAMRoleSecretAccessPolicy
PolicyDocument:
Version: '2012-10-17 '
Statement:
- Effect: Allow
Action:
- secretsmanager:GetSecretValue
Resource:
- !Ref CodeBuildAuthTokenSecretOne
- !Ref CodeBuildAuthTokenSecretTwo
CodeBuildAuthTokenSecretOne:
Type: AWS::SecretsManager::Secret
Properties:
Description: CodeBuild auth token one
Name: codebuild-auth-token-one
SecretString:
!Join
- ''
- - '{"ServerType":"GITHUB","AuthType":"PERSONAL_ACCESS_TOKEN","Token":"'
- !Ref GitHubTokenOne
- '"}'
Tags:
- Key: codebuild:source:provider
Value: github
- Key: codebuild:source:type
Value: personal_access_token
CodeBuildAuthTokenSecretTwo:
Type: AWS::SecretsManager::Secret
Properties:
Description: CodeBuild auth token two
Name: codebuild-auth-token-two
SecretString:
!Join
- ''
- - '{"ServerType":"GITHUB","AuthType":"PERSONAL_ACCESS_TOKEN","Token":"'
- !Ref GitHubTokenTwo
- '"}'
Tags:
- Key: codebuild:source:provider
Value: github
- Key: codebuild:source:type
Value: personal_access_token
```