CodeBuild 조건 키를 IAM 서비스 역할 변수로 사용하여 빌드 액세스 제어 - AWS CodeBuild

CodeBuild 조건 키를 IAM 서비스 역할 변수로 사용하여 빌드 액세스 제어

CodeBuild 빌드 ARN을 사용하면 컨텍스트 키로 CodeBuild 서비스 역할의 리소스 액세스 범위를 축소하여 빌드 리소스 액세스를 제한할 수 있습니다. CodeBuild의 경우 빌드 액세스 동작을 제어하는 데 사용할 수 있는 키는 codebuild:buildArncodebuild:projectArn입니다. 빌드 프로젝트 ARN을 사용하면 리소스에 대한 직접 호출이 특정 빌드 프로젝트에서 비롯되었는지 확인할 수 있습니다. 이를 확인하려면 IAM ID 기반 정책에서 codebuild:buildArn 또는 codebuild:projectArn 조건 키를 사용합니다.

정책에서 codebuild:buildArn 또는 codebuild:projectArn 조건 키를 사용하려면 이를 ARN 조건 연산자와 함께 조건으로 포함해야 합니다. 키 값은 유효한 ARN으로 확인되는 IAM 변수여야 합니다. 아래 예제 정책에서는 ${codebuild:projectArn} IAM 변수에 대한 프로젝트 ARN을 가진 빌드 프로젝트에만 액세스가 허용됩니다.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/${codebuild:projectArn}/*"
        }
    ]
}