CodeBuild 조건 키를 IAM 서비스 역할 변수로 사용하여 빌드 액세스 제어 - AWS CodeBuild

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CodeBuild 조건 키를 IAM 서비스 역할 변수로 사용하여 빌드 액세스 제어

CodeBuild 빌드 ARN을 사용하면 컨텍스트 키로 CodeBuild 서비스 역할의 리소스 액세스 범위를 축소하여 빌드 리소스 액세스를 제한할 수 있습니다. CodeBuild의 경우 빌드 액세스 동작을 제어하는 데 사용할 수 있는 키는 codebuild:buildArncodebuild:projectArn입니다. 빌드 프로젝트 ARN을 사용하면 리소스에 대한 직접 호출이 특정 빌드 프로젝트에서 비롯되었는지 확인할 수 있습니다. 이를 확인하려면 IAM ID 기반 정책에서 codebuild:buildArn 또는 codebuild:projectArn 조건 키를 사용합니다.

정책에서 codebuild:buildArn 또는 codebuild:projectArn 조건 키를 사용하려면 이를 ARN 조건 연산자와 함께 조건으로 포함해야 합니다. 키 값은 유효한 ARN으로 확인되는 IAM 변수여야 합니다. 아래 예제 정책에서는 ${codebuild:projectArn} IAM 변수에 대한 프로젝트 ARN을 가진 빌드 프로젝트에만 액세스가 허용됩니다.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/${codebuild:projectArn}/*"
        }
    ]
}