Criptografar saídas da compilação usando uma chave gerenciada pelo cliente - AWS CodeBuild

Criptografar saídas da compilação usando uma chave gerenciada pelo cliente

Se você seguir as etapas em Conceitos básicos que usam o console para acessar o AWS CodeBuild pela primeira vez, provavelmente não precisará das informações neste tópico. No entanto, à medida que você continua usando o CodeBuild, talvez queira realizar ações como criptografar artefatos de compilação.

Para o AWS CodeBuild criptografar os artefatos de saída de compilação, ele precisa ter acesso a uma chave do KMS. Por padrão, o CodeBuild usa a Chave gerenciada pela AWS para o Amazon S3 na conta da AWS.

Se você não quiser usar a Chave gerenciada pela AWS, deverá criar e configurar uma chave gerenciada pelo cliente por conta própria. Esta seção descreve como fazer isso pelo console do IAM.

Para obter informações sobre chaves gerenciadas pelo cliente, consulte AWS Key Management Service Concepts e Creating Keys no Guia do desenvolvedor do AWS KMS.

Para configurar uma chave gerenciada pelo cliente para uso pelo CodeBuild, siga as instruções da seção “How to Modify a Key Policy” de Modifying a Key Policy no Guia do desenvolvedor do AWS KMS. Em seguida, adicione as seguintes declarações (entre ### BEGIN ADDING STATEMENTS HERE ### e ### END ADDING STATEMENTS HERE ###) à política de chaves. As elipses (...) são usadas para agilizar e para ajudá-lo a encontrar onde adicionar as declarações. Não remova nenhuma declaração e não digite essas elipses nas políticas de chaves.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "s3.us-east-1.amazonaws.com",
          "kms:CallerAccount": "111122223333"
        }
      }
    },
    {
      "Effect": "Allow", 
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}

  • region-ID representa o ID da região da AWS onde os buckets do Amazon S3 associados ao CodeBuild estão localizados (por exemplo, us-east-1).

  • account-ID representa o ID da conta da AWS proprietária da chave gerenciada pelo cliente.

  • CodeBuild-service-role representa o nome do perfil de serviço do CodeBuild que você criou ou identificou anteriormente neste tópico.

nota

Para criar ou configurar uma chave gerenciada pelo cliente pelo console do IAM, é necessário primeiro fazer login no Console de gerenciamento da AWS por uma das seguintes maneiras: