我必须拥有 AWS 账户 - A 和 B。
账户 A 设置了 CodeArtifact 存储库。在帐户中,AI 已为帐户 B 创建了一个具有 TrustRelationship 的角色。我已将策略与codeartifact:*
该sts:GetServiceBearerToken
角色的权限相关联。
账户 B 有一个带有 Codebuild 的 CodePipeline。Codebuild 使用自己的 Build 角色。在帐户 B 的 Codebuild 中构建的源代码的 buildspec 中,我试图:
aws codeartifact login --tool npm --repository accountA-repository --domain accountA
这当然行不通,因为:
调用 GetAuthorizationToken 操作时发生错误 (AccessDeniedException):用户:arn:aws:sts::xxx:assumed-role/accountB-CodeBuildServiceRol/AWSCodeBuild-xxx 无权执行:codeartifact:GetAuthorizationToken on resource:arn:aws: codeartifact:us-x::domain/accountA
我试图buildspec.yaml
在账户 B 的 CodeBuild 中假设,但那里没有运气。有没有办法通过代码构建角色承担角色?还是有更好的方法来授予 CodeBuild 权限?尝试搜索但没有找到这种情况。所有样本似乎都使用相同的帐户。
您如何允许来自账户 B 的 CodeBuild 与来自账户 A 的 CodeArtifact 交互?