CodeBuild 条件キーを IAM サービスロール変数として使用してビルドアクセスを制御する

CodeBuild ビルド ARN を使用すると、コンテキストキーを使用して CodeBuild サービスロールのリソースアクセスの範囲を絞り込むことで、CodeBuildリソースアクセスを制限できます。CodeBuild の場合、ビルドアクセス動作の制御に使用できるキーは codebuild:buildArnおよび ですcodebuild:projectArn。ビルドプロジェクトの ARN を使用すると、リソースへの呼び出しが特定のビルドプロジェクトから送信されたかどうかを確認できます。これを確認するには、IAM アイデンティティベースのポリシーで codebuild:buildArnまたは codebuild:projectArn条件キーを使用します。

ポリシーで codebuild:buildArnまたは codebuild:projectArn条件キーを使用するには、任意の ARN 条件演算子で条件として含めます。キーの値は、有効な ARN に解決される IAM 変数である必要があります。以下のポリシー例では、${codebuild:projectArn} IAM 変数のプロジェクト ARN を持つビルドプロジェクトへのアクセスのみが許可されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/${codebuild:projectArn}/*"
        }
}