1

我必须拥有 AWS 账户 - A 和 B。

账户 A 设置了 CodeArtifact 存储库。在帐户中,AI 已为帐户 B 创建了一个具有 TrustRelationship 的角色。我已将策略与codeartifact:*sts:GetServiceBearerToken角色的权限相关联。

账户 B 有一个带有 Codebuild 的 CodePipeline。Codebuild 使用自己的 Build 角色。在帐户 B 的 Codebuild 中构建的源代码的 buildspec 中,我试图:

aws codeartifact login --tool npm --repository accountA-repository --domain accountA

这当然行不通,因为:

调用 GetAuthorizationToken 操作时发生错误 (AccessDeniedException):用户:arn:aws:sts::xxx:assumed-role/accountB-CodeBuildServiceRol/AWSCodeBuild-xxx 无权执行:codeartifact:GetAuthorizationToken on resource:arn:aws: codeartifact:us-x::domain/accountA

我试图buildspec.yaml在账户 B 的 CodeBuild 中假设,但那里没有运气。有没有办法通过代码构建角色承担角色?还是有更好的方法来授予 CodeBuild 权限?尝试搜索但没有找到这种情况。所有样本似乎都使用相同的帐户。

您如何允许来自账户 B 的 CodeBuild 与来自账户 A 的 CodeArtifact 交互?

4

2 回答 2

0

根据 CodeBuild 文档,可以为 CodeBuild 角色分配跨账户权限

https://docs.aws.amazon.com/codebuild/latest/userguide/auth-and-access-control.html

跨账户访问 – 您可以使用账户中的 IAM 角色授予另一个 AWS 账户访问您账户资源的权限。有关示例,请参阅 IAM 用户指南中的教程:使用 IAM 角色跨 AWS 账户委派访问。

我建议再次检查您的 Code Build ACL 的配置

于 2021-02-06T12:13:22.997 回答
0

对于任何努力寻找这个问题的答案的人。假设 buildspec.yaml 中的角色有效,但并不那么直接。这是我在调用之前所做的npm install

- mkdir ~/.aws/ && touch ~/.aws/config
  - echo "[profile buildprofile]" > ~/.aws/config
  - echo "role_arn = $CODE_ARTIFACT_ROLE_ARN" >> ~/.aws/config
  - echo "credential_source = EcsContainer" >> ~/.aws/config
  - aws codeartifact login --tool npm --repository accountArepo --domain accountA --domain-owner xxxx --profile buildprofile

我已经CODE_ARTIFACT_ROLE_ARN从 CloudFormation Resorce 传递了环境变量AWS::CodeBuild::Project。我相信你也可以配置它控制台。

这个答案非常有用

于 2021-02-06T20:08:58.650 回答