Criar o endpoint de gateway do Amazon S3 - CodeArtifact
Permissões mínimas de bucket do Amazon S3 para o AWS CodeArtifact

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar o endpoint de gateway do Amazon S3

O CodeArtifact usa o Amazon Simple Storage Service (Amazon S3) para armazenar os ativos do pacote. Para extrair pacotes do CodeArtifact, você deve criar um endpoint de gateway para o Amazon S3. Quando o processo de compilação ou implantação baixa pacotes do CodeArtifact, ele precisa acessar o CodeArtifact para obter os metadados do pacote e o Amazon S3 para baixar os ativos do pacote (por exemplo, os arquivos .jar do Maven).

nota

Não é necessário um endpoint do Amazon S3 ao usar os formatos de pacote Python ou Swift.

Para criar o endpoint de gateway do Amazon S3 para o CodeArtifact, use o comando create-vpc-endpoint na AWS CLI do Amazon EC2. Ao criar o endpoint, você deve selecionar as tabelas de rotas para a VPC. Para obter mais informações, consulte Endpoints da VPC de gateway no Guia do usuário da Amazon Virtual Private Cloud.

O comando a seguir cria um endpoint do Amazon S3.

aws ec2 create-vpc-endpoint --vpc-id vpcid --service-name com.amazonaws.region.s3 \
  --route-table-ids routetableid

Permissões mínimas de bucket do Amazon S3 para o AWS CodeArtifact

O endpoint de gateway do Amazon S3 usa um documento de política do IAM para limitar o acesso ao serviço. Para conceder apenas as permissões mínimas do bucket do Amazon S3 ao CodeArtifact, restrinja o acesso ao bucket do Amazon S3 usado pelo CodeArtifact ao criar o documento da política do IAM para o endpoint.

A tabela a seguir descreve os buckets do Amazon S3 que você deve consultar em suas políticas para conceder o acesso ao CodeArtifact em cada região.

Região ARN do bucket do Amazon S3

us-east-1

arn:aws:s3:::assets-193858265520-us-east-1

us-east-2

arn:aws:s3:::assets-250872398865-us-east-2

us-west-2

arn:aws:s3:::assets-787052242323-us-west-2

eu-west-1

arn:aws:s3:::assets-438097961670-eu-west-1

eu-west-2

arn:aws:s3:::assets-247805302724-eu-west-2

eu-west-3

arn:aws:s3:::assets-762466490029-eu-west-3

eu-north-1

arn:aws:s3:::assets-611884512288-eu-north-1

eu-south-1

arn:aws:s3:::assets-484130244270-eu-south-1

eu-central-1

arn:aws:s3:::assets-769407342218-eu-central-1

ap-northeast-1

arn:aws:s3:::assets-660291247815-ap-northeast-1

ap-southeast-1

arn:aws:s3:::assets-421485864821-ap-southeast-1

ap-southeast-2

arn:aws:s3:::assets-860415559748-ap-southeast-2

ap-south-1

arn:aws:s3:::assets-681137435769-ap-south-1

Você pode usar o comando aws codeartifact describe-domain para buscar o bucket do Amazon S3 usado por um domínio do CodeArtifact.

aws codeartifact describe-domain --domain mydomain

{
  "domain": {
    "name": "mydomain",
    "owner": "111122223333",
    "arn": "arn:aws:codeartifact:us-west-2:111122223333:domain/mydomain",
    "status": "Active",
    "createdTime": 1583075193.861,
    "encryptionKey": "arn:aws:kms:us-west-2:111122223333:key/a73que8sq-ba...",
    "repositoryCount": 13,
    "assetSizeBytes": 513830295,
    "s3BucketArn": "arn:aws:s3:::assets-787052242323-us-west-2"
  }
}

Exemplo

O exemplo a seguir mostra como conceder acesso aos buckets do Amazon S3 exigidos para as operações do CodeArtifact na região us-east-1. Para outras regiões, atualize a entrada Resource com o ARN de permissão correto para sua região com base na tabela acima.

{
  "Statement": [
    {
      "Sid": "Access-to-specific-bucket-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::assets-193858265520-us-east-1/*"]
    }
  ]
}