Amazon CodeBuild 的操作、资源和条件键 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon CodeBuild 的操作、资源和条件键

Amazon CodeBuild (服务前缀:codebuild)提供以下特定于服务的资源、操作和条件上下文密钥,供在 IAM 权限策略中使用。

参考:

Amazon CodeBuild 定义的操作

您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

“操作” 表的 “访问级别” 列描述了如何对操作进行分类(列出、读取、权限管理或标记)。此分类可以帮助您了解当您在策略中使用操作时,相应操作授予的访问级别。有关访问级别的更多信息,请参阅策略摘要中的访问级别

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
BatchDeleteBuilds 授予权限以删除一个或多个构建 写入

project*

BatchGetBuildBatches 授予权限以获取一个或多个构建批处理的相关信息 读取

project*

BatchGetBuilds 授予权限以获取一个或多个构建的相关信息 读取

project*

BatchGetCommandExecutions 授予获取有关一个或多个命令执行信息的权限 读取

sandbox*

BatchGetFleets 授予权限以返回由输入参数指定的 Fleet 对象的数组 读取

fleet*

BatchGetProjects 授予权限以获取一个或多个构建项目的相关信息 读取

project*

BatchGetReportGroups 授予返回由输入 reportGroupArns 参数指定的 ReportGroup 对象数组的权限 读取

report-group*

BatchGetReports 授予权限以返回由输入 reportArns 参数指定的 Report 对象的数组 读取

report-group*

BatchGetSandboxes 授予获取有关一个或多个沙箱的信息的权限 读取

project*

BatchPutCodeCoverages [仅权限] 授予权限以添加或更新有关报告的信息 写入

report-group*

BatchPutTestCases [仅权限] 授予权限以添加或更新有关报告的信息 写入

report-group*

CreateFleet 授予权限以创建计算实例集 写入

fleet*

aws:RequestTag/${TagKey}

aws:TagKeys

codebuild:imageId

codebuild:computeType

codebuild:vpcConfig

codebuild:vpcConfig.vpcId

codebuild:vpcConfig.securityGroupIds

codebuild:vpcConfig.subnets

codebuild:computeConfiguration

codebuild:computeConfiguration.disk

codebuild:computeConfiguration.instanceType

codebuild:computeConfiguration.machineType

codebuild:computeConfiguration.memory

codebuild:computeConfiguration.vCpu

codebuild:environmentType

codebuild:fleetServiceRole

CreateProject 授予权限以创建构建项目 写入

project*

aws:RequestTag/${TagKey}

aws:TagKeys

codebuild:autoRetryLimit

codebuild:concurrentBuildLimit

codebuild:artifacts

codebuild:artifacts.bucketOwnerAccess

codebuild:artifacts.encryptionDisabled

codebuild:artifacts.location

codebuild:secondaryArtifacts

codebuild:secondaryArtifacts.artifactIdentifier

codebuild:secondaryArtifacts.bucketOwnerAccess

codebuild:secondaryArtifacts.encryptionDisabled

codebuild:secondaryArtifacts.location

codebuild:secondaryArtifacts/${artifactIdentifier}.bucketOwnerAccess

codebuild:secondaryArtifacts/${artifactIdentifier}.encryptionDisabled

codebuild:secondaryArtifacts/${artifactIdentifier}.location

codebuild:source

codebuild:source.buildStatusConfig.targetUrl

codebuild:source.buildStatusConfig.context

codebuild:source.location

codebuild:source.insecureSsl

codebuild:source.buildspec

codebuild:source.auth.resource

codebuild:source.auth.type

codebuild:secondarySources

codebuild:secondarySources.sourceIdentifier

codebuild:secondarySources.buildStatusConfig.targetUrl

codebuild:secondarySources.buildStatusConfig.context

codebuild:secondarySources.location

codebuild:secondarySources.auth.resource

codebuild:secondarySources.auth.type

codebuild:secondarySources.buildspec

codebuild:secondarySources.insecureSsl

codebuild:secondarySources/${sourceIdentifier}.buildStatusConfig.targetUrl

codebuild:secondarySources/${sourceIdentifier}.buildStatusConfig.context

codebuild:secondarySources/${sourceIdentifier}.location

codebuild:secondarySources/${sourceIdentifier}.auth.resource

codebuild:secondarySources/${sourceIdentifier}.auth.type

codebuild:secondarySources/${sourceIdentifier}.buildspec

codebuild:secondarySources/${sourceIdentifier}.insecureSsl

codebuild:logsConfig

codebuild:logsConfig.s3Logs

codebuild:logsConfig.s3Logs.bucketOwnerAccess

codebuild:logsConfig.s3Logs.encryptionDisabled

codebuild:logsConfig.s3Logs.location

codebuild:logsConfig.s3Logs.status

codebuild:fileSystemLocations.identifier

codebuild:fileSystemLocations.type

codebuild:fileSystemLocations.location

codebuild:fileSystemLocations/${identifier}.type

codebuild:fileSystemLocations/${identifier}.location

codebuild:buildBatchConfig

codebuild:buildBatchConfig.serviceRole

codebuild:buildBatchConfig.restrictions.computeTypesAllowed

codebuild:buildBatchConfig.restrictions.fleetsAllowed

codebuild:vpcConfig

codebuild:vpcConfig.subnets

codebuild:vpcConfig.vpcId

codebuild:vpcConfig.securityGroupIds

codebuild:environment

codebuild:environment.type

codebuild:environment.fleet.fleetArn

codebuild:environment.computeType

codebuild:environment.image

codebuild:environment.imagePullCredentialsType

codebuild:environment.privilegedMode

codebuild:environment.certificate

codebuild:environment.computeConfiguration

codebuild:environment.computeConfiguration.disk

codebuild:environment.computeConfiguration.instanceType

codebuild:environment.computeConfiguration.machineType

codebuild:environment.computeConfiguration.memory

codebuild:environment.computeConfiguration.vCpu

codebuild:environment.environmentVariables

codebuild:environment.environmentVariables.name

codebuild:environment.environmentVariables.value

codebuild:environment.environmentVariables/${name}.value

codebuild:environment.registryCredential

codebuild:environment.registryCredential.credential

codebuild:environment.registryCredential.credentialProvider

codebuild:encryptionKey

codebuild:cache

codebuild:cache.type

codebuild:cache.location

codebuild:cache.modes

codebuild:serviceRole

CreateReport [仅权限] 授予权限以创建报告。当 buildspec 文件中为报告组指定的测试在项目构建期间运行时,将创建报告 写入

report-group*

CreateReportGroup 授予权限以创建报告组 写入

report-group*

aws:RequestTag/${TagKey}

aws:TagKeys

codebuild:exportConfig.s3Destination.bucket

codebuild:exportConfig.s3Destination.bucketOwner

codebuild:exportConfig.s3Destination.encryptionKey

codebuild:exportConfig.s3Destination.encryptionDisabled

codebuild:exportConfig.s3Destination.path

CreateWebhook 授予权限以创建 Webhook。对于源代码存储在 GitHub 或 Bitbucket 存储库中的现有 Amazon CodeBuild 构建项目, Amazon CodeBuild 允许在每次将代码更改推送到存储库时开始重建源代码 写入

project*

codebuild:buildType

codebuild:manualCreation

codebuild:scopeConfiguration.domain

codebuild:scopeConfiguration.name

codebuild:scopeConfiguration.scope

DeleteBuildBatch 授予权限以删除构建批处理 写入

project*

DeleteFleet 授予权限以删除计算实例集 写入

fleet*

DeleteOAuthToken [仅权限] 授予从关联的第三方 OAuth 提供商删除 OAuth 令牌的权限。仅在 Amazon CodeBuild 控制台中使用 写入
DeleteProject 授予权限以删除构建项目 写入

project*

DeleteReport 授予权限以删除报告 写入

report-group*

DeleteReportGroup 授予权限以删除报告组 写入

report-group*

DeleteResourcePolicy 授予权限以删除关联的项目或报告组的资源策略 权限管理

project

report-group

DeleteSourceCredentials 授予删除一组 GitHub、 GitHub 企业版或 Bitbucket 源凭证的权限 写入
DeleteWebhook 授予权限以删除 Webhook。对于源代码存储在 GitHub 或 Bitbucket 存储库中的现有 Amazon CodeBuild 构建项目,每次将代码更改推送 Amazon CodeBuild 到存储库时都停止重建源代码 写入

project*

DescribeCodeCoverages 授予返回 CodeCoverage 对象数组的权限 读取

report-group*

DescribeTestCases 授予返回 TestCase 对象数组的权限 读取

report-group*

GetReportGroupTrend 授予权限以分析和累积指定报告组中测试报告的测试报告值 读取

report-group*

GetResourcePolicy 授予权限以返回指定项目或报告组的资源策略 读取

project

report-group

ImportSourceCredentials 授予导入源代码存储在 GitHub、E GitHub nterprise 或 Bitbucket 存储库中的 Amazon CodeBuild 项目的源存储库凭据的权限 写入

codebuild:authType

codebuild:serverType

codebuild:shouldOverwrite

codebuild:token

codebuild:username

InvalidateProjectCache 授予权限以重置项目缓存 写入

project*

ListBuildBatches 授予获取生成批次列表的权限 IDs,每个生成批次 ID 代表一个构建批次 列表
ListBuildBatchesForProject 授予获取指定构建项目的生成批次列表 IDs 的权限,每个生成批次 ID 代表一个生成批次 列表

project*

ListBuilds 授予获取版本列表的权限 IDs,每个构建 ID 代表一个构建 列表
ListBuildsForProject 授予获取指定构建项目的版本列表 IDs 的权限,每个构建 ID 代表一个构建 列表

project*

ListCommandExecutionsForSandbox 授予获取指定沙箱命令执行列表 IDs 的权限,每个命令执行 ID 代表单个命令执行 列表

sandbox*

ListConnectedOAuthAccounts [仅权限] 授予列出关联的第三方 OAuth 提供商的权限。仅在 Amazon CodeBuild 控制台中使用 列表
ListCuratedEnvironmentImages 授予权限以获取有关由管理的 Docker 镜像的信息 Amazon CodeBuild 列表
ListFleets 授予获取计算队列列表的权限 ARNs,每个计算队列 ARN 代表一个队列 列表
ListProjects 授予权限以获取构建项目名称的列表,其中每个构建项目名称代表一个构建项目 列表
ListReportGroups 授予返回报告组列表的权限 ARNs。每个报告组 ARN 代表一个报告组 列表
ListReports 授予返回报告列表的权限 ARNs。每个报告 ARN 表示一个报告 列表
ListReportsForReportGroup 授予返回 ARNs 属于指定报告组的报告列表的权限。每个报告 ARN 表示一个报告 列表

report-group*

ListRepositories [仅权限] 授予列出来自关联第三方 OAuth 提供商的源代码存储库的权限。仅在 Amazon CodeBuild 控制台中使用 列表
ListSandboxes 授予获取沙箱列表的权限 IDs,每个沙箱 ID 代表一个沙箱 列表
ListSandboxesForProject 授予获取指定沙盒项目的沙箱列表 IDs 的权限,每个沙箱 ID 代表一个沙箱 列表

project*

ListSharedProjects 授予返回已与请求者共享 ARNs 的项目列表的权限。每个项目 ARN 表示一个项目 列表
ListSharedReportGroups 授予返回已与请求者共享的报告组 ARNs 列表的权限。每个报告组 ARN 代表一个报告组 列表
ListSourceCredentials 授予返回 SourceCredentialsInfo 对象列表的权限 列表
PersistOAuthToken [仅权限] 授予保存来自关联第三方 OAuth 提供商的 OAuth 令牌的权限。仅在 Amazon CodeBuild 控制台中使用 写入
PutResourcePolicy 授予权限以为关联的项目或报告组创建资源策略 权限管理

project

report-group

RetryBuild 授予权限以重试构建 写入

project*

RetryBuildBatch 授予权限以重试构建批处理 写入

project*

StartBuild 授予权限以开始运行构建 写入

project*

codebuild:autoRetryLimit

codebuild:artifacts

codebuild:artifacts.bucketOwnerAccess

codebuild:artifacts.encryptionDisabled

codebuild:artifacts.location

codebuild:secondaryArtifacts

codebuild:secondaryArtifacts.artifactIdentifier

codebuild:secondaryArtifacts.bucketOwnerAccess

codebuild:secondaryArtifacts.encryptionDisabled

codebuild:secondaryArtifacts.location

codebuild:secondaryArtifacts/${artifactIdentifier}.bucketOwnerAccess

codebuild:secondaryArtifacts/${artifactIdentifier}.encryptionDisabled

codebuild:secondaryArtifacts/${artifactIdentifier}.location

codebuild:source

codebuild:source.buildStatusConfig.targetUrl

codebuild:source.buildStatusConfig.context

codebuild:source.location

codebuild:source.insecureSsl

codebuild:source.buildspec

codebuild:source.auth.resource

codebuild:source.auth.type

codebuild:secondarySources

codebuild:secondarySources.sourceIdentifier

codebuild:secondarySources.buildStatusConfig.targetUrl

codebuild:secondarySources.buildStatusConfig.context

codebuild:secondarySources.location

codebuild:secondarySources.auth.resource

codebuild:secondarySources.auth.type

codebuild:secondarySources.buildspec

codebuild:secondarySources.insecureSsl

codebuild:secondarySources/${sourceIdentifier}.buildStatusConfig.targetUrl

codebuild:secondarySources/${sourceIdentifier}.buildStatusConfig.context

codebuild:secondarySources/${sourceIdentifier}.location

codebuild:secondarySources/${sourceIdentifier}.auth.resource

codebuild:secondarySources/${sourceIdentifier}.auth.type

codebuild:secondarySources/${sourceIdentifier}.buildspec

codebuild:secondarySources/${sourceIdentifier}.insecureSsl

codebuild:logsConfig

codebuild:logsConfig.s3Logs

codebuild:logsConfig.s3Logs.bucketOwnerAccess

codebuild:logsConfig.s3Logs.encryptionDisabled

codebuild:logsConfig.s3Logs.location

codebuild:logsConfig.s3Logs.status

codebuild:environment

codebuild:environment.type

codebuild:environment.fleet.fleetArn

codebuild:environment.computeType

codebuild:environment.image

codebuild:environment.imagePullCredentialsType

codebuild:environment.privilegedMode

codebuild:environment.certificate

codebuild:environment.environmentVariables

codebuild:environment.environmentVariables.name

codebuild:environment.environmentVariables.value

codebuild:environment.environmentVariables/${name}.value

codebuild:environment.registryCredential

codebuild:environment.registryCredential.credential

codebuild:environment.registryCredential.credentialProvider

codebuild:encryptionKey

codebuild:cache

codebuild:cache.type

codebuild:cache.location

codebuild:cache.modes

codebuild:serviceRole

StartBuildBatch 授予权限以开始运行构建批处理 写入

project*

codebuild:artifacts

codebuild:artifacts.bucketOwnerAccess

codebuild:artifacts.encryptionDisabled

codebuild:artifacts.location

codebuild:secondaryArtifacts

codebuild:secondaryArtifacts.artifactIdentifier

codebuild:secondaryArtifacts.bucketOwnerAccess

codebuild:secondaryArtifacts.encryptionDisabled

codebuild:secondaryArtifacts.location

codebuild:secondaryArtifacts/${artifactIdentifier}.bucketOwnerAccess

codebuild:secondaryArtifacts/${artifactIdentifier}.encryptionDisabled

codebuild:secondaryArtifacts/${artifactIdentifier}.location

codebuild:source

codebuild:source.location

codebuild:source.insecureSsl

codebuild:source.buildspec

codebuild:source.auth.resource

codebuild:source.auth.type

codebuild:secondarySources

codebuild:secondarySources.sourceIdentifier

codebuild:secondarySources.buildStatusConfig.targetUrl

codebuild:secondarySources.buildStatusConfig.context

codebuild:secondarySources.location

codebuild:secondarySources.auth.resource

codebuild:secondarySources.auth.type

codebuild:secondarySources.buildspec

codebuild:secondarySources.insecureSsl

codebuild:secondarySources/${sourceIdentifier}.buildStatusConfig.targetUrl

codebuild:secondarySources/${sourceIdentifier}.buildStatusConfig.context

codebuild:secondarySources/${sourceIdentifier}.location

codebuild:secondarySources/${sourceIdentifier}.auth.resource

codebuild:secondarySources/${sourceIdentifier}.auth.type

codebuild:secondarySources/${sourceIdentifier}.buildspec

codebuild:secondarySources/${sourceIdentifier}.insecureSsl

codebuild:logsConfig

codebuild:logsConfig.s3Logs

codebuild:logsConfig.s3Logs.bucketOwnerAccess

codebuild:logsConfig.s3Logs.encryptionDisabled

codebuild:logsConfig.s3Logs.location

codebuild:logsConfig.s3Logs.status

codebuild:buildBatchConfig

codebuild:buildBatchConfig.serviceRole

codebuild:buildBatchConfig.restrictions.computeTypesAllowed

codebuild:buildBatchConfig.restrictions.fleetsAllowed

codebuild:environment

codebuild:environment.type

codebuild:environment.computeType

codebuild:environment.image

codebuild:environment.imagePullCredentialsType

codebuild:environment.privilegedMode

codebuild:environment.certificate

codebuild:environment.environmentVariables

codebuild:environment.environmentVariables.name

codebuild:environment.environmentVariables.value

codebuild:environment.environmentVariables/${name}.value

codebuild:environment.registryCredential

codebuild:environment.registryCredential.credential

codebuild:environment.registryCredential.credentialProvider

codebuild:encryptionKey

codebuild:cache

codebuild:cache.type

codebuild:cache.location

codebuild:cache.modes

codebuild:serviceRole

StartCommandExecution 授予开始运行命令执行的权限 写入

sandbox*

StartSandbox 授予开始运行沙箱的权限 写入

project*

StartSandboxConnection 授予与沙箱建立连接的权限 写入

sandbox*

StopBuild 授予权限以尝试停止运行构建 写入

project*

StopBuildBatch 授予权限以尝试停止运行构建批处理 写入

project*

StopSandbox 授予尝试停止运行沙箱的权限 写入

project*

UpdateFleet 授予权限以更改现有计算实例集的设置 写入

fleet*

aws:RequestTag/${TagKey}

aws:TagKeys

codebuild:imageId

codebuild:computeType

codebuild:vpcConfig

codebuild:vpcConfig.vpcId

codebuild:vpcConfig.securityGroupIds

codebuild:vpcConfig.subnets

codebuild:computeConfiguration

codebuild:computeConfiguration.disk

codebuild:computeConfiguration.instanceType

codebuild:computeConfiguration.machineType

codebuild:computeConfiguration.memory

codebuild:computeConfiguration.vCpu

codebuild:environmentType

codebuild:fleetServiceRole

UpdateProject 授予权限以更改现有构建项目的设置 写入

project*

aws:RequestTag/${TagKey}

aws:TagKeys

codebuild:autoRetryLimit

codebuild:concurrentBuildLimit

codebuild:artifacts

codebuild:artifacts.bucketOwnerAccess

codebuild:artifacts.encryptionDisabled

codebuild:artifacts.location

codebuild:secondaryArtifacts

codebuild:secondaryArtifacts.artifactIdentifier

codebuild:secondaryArtifacts.bucketOwnerAccess

codebuild:secondaryArtifacts.encryptionDisabled

codebuild:secondaryArtifacts.location

codebuild:secondaryArtifacts/${artifactIdentifier}.bucketOwnerAccess

codebuild:secondaryArtifacts/${artifactIdentifier}.encryptionDisabled

codebuild:secondaryArtifacts/${artifactIdentifier}.location

codebuild:source

codebuild:source.buildStatusConfig.targetUrl

codebuild:source.buildStatusConfig.context

codebuild:source.location

codebuild:source.insecureSsl

codebuild:source.buildspec

codebuild:source.auth.resource

codebuild:source.auth.type

codebuild:secondarySources

codebuild:secondarySources.sourceIdentifier

codebuild:secondarySources.buildStatusConfig.targetUrl

codebuild:secondarySources.buildStatusConfig.context

codebuild:secondarySources.location

codebuild:secondarySources.auth.resource

codebuild:secondarySources.auth.type

codebuild:secondarySources.buildspec

codebuild:secondarySources.insecureSsl

codebuild:secondarySources/${sourceIdentifier}.buildStatusConfig.targetUrl

codebuild:secondarySources/${sourceIdentifier}.buildStatusConfig.context

codebuild:secondarySources/${sourceIdentifier}.location

codebuild:secondarySources/${sourceIdentifier}.auth.resource

codebuild:secondarySources/${sourceIdentifier}.auth.type

codebuild:secondarySources/${sourceIdentifier}.buildspec

codebuild:secondarySources/${sourceIdentifier}.insecureSsl

codebuild:logsConfig

codebuild:logsConfig.s3Logs

codebuild:logsConfig.s3Logs.bucketOwnerAccess

codebuild:logsConfig.s3Logs.encryptionDisabled

codebuild:logsConfig.s3Logs.location

codebuild:logsConfig.s3Logs.status

codebuild:fileSystemLocations.identifier

codebuild:fileSystemLocations.type

codebuild:fileSystemLocations.location

codebuild:fileSystemLocations/${identifier}.type

codebuild:fileSystemLocations/${identifier}.location

codebuild:buildBatchConfig

codebuild:buildBatchConfig.serviceRole

codebuild:buildBatchConfig.restrictions.computeTypesAllowed

codebuild:buildBatchConfig.restrictions.fleetsAllowed

codebuild:vpcConfig

codebuild:vpcConfig.subnets

codebuild:vpcConfig.vpcId

codebuild:vpcConfig.securityGroupIds

codebuild:environment

codebuild:environment.type

codebuild:environment.fleet.fleetArn

codebuild:environment.computeType

codebuild:environment.image

codebuild:environment.imagePullCredentialsType

codebuild:environment.privilegedMode

codebuild:environment.certificate

codebuild:environment.computeConfiguration

codebuild:environment.computeConfiguration.disk

codebuild:environment.computeConfiguration.instanceType

codebuild:environment.computeConfiguration.machineType

codebuild:environment.computeConfiguration.memory

codebuild:environment.computeConfiguration.vCpu

codebuild:environment.environmentVariables

codebuild:environment.environmentVariables.name

codebuild:environment.environmentVariables.value

codebuild:environment.environmentVariables/${name}.value

codebuild:environment.registryCredential

codebuild:environment.registryCredential.credential

codebuild:environment.registryCredential.credentialProvider

codebuild:encryptionKey

codebuild:cache

codebuild:cache.type

codebuild:cache.location

codebuild:cache.modes

codebuild:serviceRole

UpdateProjectVisibility 授予权限以更改项目及其构建的公共可见性 写入

project*

aws:RequestTag/${TagKey}

aws:TagKeys

codebuild:projectVisibility

UpdateReport [仅权限] 授予权限以更新有关报告的信息 写入

report-group*

UpdateReportGroup 授予权限以更改现有报告组的设置 写入

report-group*

aws:RequestTag/${TagKey}

aws:TagKeys

codebuild:exportConfig.s3Destination.bucket

codebuild:exportConfig.s3Destination.bucketOwner

codebuild:exportConfig.s3Destination.encryptionKey

codebuild:exportConfig.s3Destination.encryptionDisabled

codebuild:exportConfig.s3Destination.path

UpdateWebhook 授予更新与 Amazon CodeBuild 构建项目关联的 webhook 的权限 写入

project*

codebuild:buildType

codebuild:manualCreation

codebuild:scopeConfiguration.domain

codebuild:scopeConfiguration.name

codebuild:scopeConfiguration.scope

Amazon CodeBuild 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

资源类型 ARN 条件键
build arn:${Partition}:codebuild:${Region}:${Account}:build/${BuildId}
build-batch arn:${Partition}:codebuild:${Region}:${Account}:build-batch/${BuildBatchId}
project arn:${Partition}:codebuild:${Region}:${Account}:project/${ProjectName}

aws:ResourceTag/${TagKey}

report-group arn:${Partition}:codebuild:${Region}:${Account}:report-group/${ReportGroupName}

aws:ResourceTag/${TagKey}

report arn:${Partition}:codebuild:${Region}:${Account}:report/${ReportGroupName}:${ReportId}
fleet arn:${Partition}:codebuild:${Region}:${Account}:fleet/${FleetName}:${FleetId}
sandbox arn:${Partition}:codebuild:${Region}:${Account}:sandbox/${SandboxId}

Amazon CodeBuild 的条件键

Amazon CodeBuild 定义了可在 IAM 策略Condition元素中使用的以下条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看所有服务均可用的全局条件键,请参阅Amazon 全局条件上下文密钥

条件键 描述 类型
aws:RequestTag/${TagKey} 根据在请求中是否具有标签键值对来按照操作筛选访问权限 字符串
aws:ResourceTag/${TagKey} 根据附加到资源的标签键值对来按操作筛选访问权限 字符串
aws:TagKeys 根据在请求中是否具有标签键来按操作筛选访问权限 ArrayOfString
codebuild:artifacts 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:artifacts.bucketOwnerAccess 通过 API 对应的参数值筛选访问权限 字符串
codebuild:artifacts.encryptionDisabled 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:artifacts.location 通过 API 对应的参数值筛选访问权限 字符串
codebuild:authType 通过 API 对应的参数值筛选访问权限 字符串
codebuild:autoRetryLimit 通过 API 对应的参数值筛选访问权限 数值
codebuild:buildArn 按发起请求的 Amazon CodeBuild 版本的 ARN 筛选访问权限 ARN
codebuild:buildBatchConfig 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:buildBatchConfig.restrictions.computeTypesAllowed 通过 API 对应的参数值筛选访问权限 ArrayOfString
codebuild:buildBatchConfig.restrictions.fleetsAllowed 通过 API 对应的参数值筛选访问权限 ArrayOfString
codebuild:buildBatchConfig.serviceRole 通过 API 对应的参数值筛选访问权限 字符串
codebuild:buildType 通过 API 对应的参数值筛选访问权限 字符串
codebuild:cache 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:cache.location 通过 API 对应的参数值筛选访问权限 字符串
codebuild:cache.modes 通过 API 对应的参数值筛选访问权限 ArrayOfString
codebuild:cache.type 通过 API 对应的参数值筛选访问权限 字符串
codebuild:computeConfiguration 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:computeConfiguration.disk 通过 API 对应的参数值筛选访问权限 数值
codebuild:computeConfiguration.instanceType 通过 API 对应的参数值筛选访问权限 字符串
codebuild:computeConfiguration.machineType 通过 API 对应的参数值筛选访问权限 字符串
codebuild:computeConfiguration.memory 通过 API 对应的参数值筛选访问权限 数值
codebuild:computeConfiguration.vCpu 通过 API 对应的参数值筛选访问权限 数值
codebuild:computeType 通过 API 对应的参数值筛选访问权限 字符串
codebuild:concurrentBuildLimit 通过 API 对应的参数值筛选访问权限 数值
codebuild:encryptionKey 通过 API 对应的参数值筛选访问权限 字符串
codebuild:environment 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:environment.certificate 通过 API 对应的参数值筛选访问权限 字符串
codebuild:environment.computeConfiguration 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:environment.computeConfiguration.disk 通过 API 对应的参数值筛选访问权限 数值
codebuild:environment.computeConfiguration.instanceType 通过 API 对应的参数值筛选访问权限 字符串
codebuild:environment.computeConfiguration.machineType 通过 API 对应的参数值筛选访问权限 字符串
codebuild:environment.computeConfiguration.memory 通过 API 对应的参数值筛选访问权限 数值
codebuild:environment.computeConfiguration.vCpu 通过 API 对应的参数值筛选访问权限 数值
codebuild:environment.computeType 通过 API 对应的参数值筛选访问权限 字符串
codebuild:environment.environmentVariables 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:environment.environmentVariables.name 通过 API 对应的参数值筛选访问权限 ArrayOfString
codebuild:environment.environmentVariables.value 通过 API 对应的参数值筛选访问权限 ArrayOfString
codebuild:environment.environmentVariables/${name}.value 通过 API 对应的参数值筛选访问权限 字符串
codebuild:environment.fleet.fleetArn 通过 API 对应的参数值筛选访问权限 ARN
codebuild:environment.image 通过 API 对应的参数值筛选访问权限 字符串
codebuild:environment.imagePullCredentialsType 通过 API 对应的参数值筛选访问权限 字符串
codebuild:environment.privilegedMode 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:environment.registryCredential 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:environment.registryCredential.credential 通过 API 对应的参数值筛选访问权限 字符串
codebuild:environment.registryCredential.credentialProvider 通过 API 对应的参数值筛选访问权限 字符串
codebuild:environment.type 通过 API 对应的参数值筛选访问权限 字符串
codebuild:environmentType 通过 API 对应的参数值筛选访问权限 字符串
codebuild:exportConfig.s3Destination.bucket 通过 API 对应的参数值筛选访问权限 字符串
codebuild:exportConfig.s3Destination.bucketOwner 通过 API 对应的参数值筛选访问权限 字符串
codebuild:exportConfig.s3Destination.encryptionDisabled 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:exportConfig.s3Destination.encryptionKey 通过 API 对应的参数值筛选访问权限 字符串
codebuild:exportConfig.s3Destination.path 通过 API 对应的参数值筛选访问权限 字符串
codebuild:fileSystemLocations.identifier 通过 API 对应的参数值筛选访问权限 ArrayOfString
codebuild:fileSystemLocations.location 通过 API 对应的参数值筛选访问权限 ArrayOfString
codebuild:fileSystemLocations.type 通过 API 对应的参数值筛选访问权限 ArrayOfString
codebuild:fileSystemLocations/${identifier}.location 通过 API 对应的参数值筛选访问权限 字符串
codebuild:fileSystemLocations/${identifier}.type 通过 API 对应的参数值筛选访问权限 字符串
codebuild:fleetServiceRole 通过 API 对应的参数值筛选访问权限 字符串
codebuild:imageId 通过 API 对应的参数值筛选访问权限 字符串
codebuild:logsConfig 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:logsConfig.s3Logs 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:logsConfig.s3Logs.bucketOwnerAccess 通过 API 对应的参数值筛选访问权限 字符串
codebuild:logsConfig.s3Logs.encryptionDisabled 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:logsConfig.s3Logs.location 通过 API 对应的参数值筛选访问权限 字符串
codebuild:logsConfig.s3Logs.status 通过 API 对应的参数值筛选访问权限 字符串
codebuild:manualCreation 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:projectArn 按发起请求的 Amazon CodeBuild 项目的 ARN 筛选访问权限 ARN
codebuild:projectVisibility 通过 API 对应的参数值筛选访问权限 字符串
codebuild:scopeConfiguration.domain 通过 API 对应的参数值筛选访问权限 字符串
codebuild:scopeConfiguration.name 通过 API 对应的参数值筛选访问权限 字符串
codebuild:scopeConfiguration.scope 通过 API 对应的参数值筛选访问权限 字符串
codebuild:secondaryArtifacts 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:secondaryArtifacts.artifactIdentifier 通过 API 对应的参数值筛选访问权限 ArrayOfString
codebuild:secondaryArtifacts.bucketOwnerAccess 通过 API 对应的参数值筛选访问权限 ArrayOfString
codebuild:secondaryArtifacts.encryptionDisabled 通过 API 对应的参数值筛选访问权限 ArrayOfBool
codebuild:secondaryArtifacts.location 通过 API 对应的参数值筛选访问权限 ArrayOfString
codebuild:secondaryArtifacts/${artifactIdentifier}.bucketOwnerAccess 通过 API 对应的参数值筛选访问权限 字符串
codebuild:secondaryArtifacts/${artifactIdentifier}.encryptionDisabled 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:secondaryArtifacts/${artifactIdentifier}.location 通过 API 对应的参数值筛选访问权限 字符串
codebuild:secondarySources 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:secondarySources.auth.resource 通过 API 对应的参数值筛选访问权限 ArrayOfString
codebuild:secondarySources.auth.type 通过 API 对应的参数值筛选访问权限 ArrayOfString
codebuild:secondarySources.buildStatusConfig.context 通过 API 对应的参数值筛选访问权限 ArrayOfString
codebuild:secondarySources.buildStatusConfig.targetUrl 通过 API 对应的参数值筛选访问权限 ArrayOfString
codebuild:secondarySources.buildspec 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:secondarySources.insecureSsl 通过 API 对应的参数值筛选访问权限 ArrayOfBool
codebuild:secondarySources.location 通过 API 对应的参数值筛选访问权限 ArrayOfString
codebuild:secondarySources.sourceIdentifier 通过 API 对应的参数值筛选访问权限 ArrayOfString
codebuild:secondarySources/${sourceIdentifier}.auth.resource 通过 API 对应的参数值筛选访问权限 字符串
codebuild:secondarySources/${sourceIdentifier}.auth.type 通过 API 对应的参数值筛选访问权限 字符串
codebuild:secondarySources/${sourceIdentifier}.buildStatusConfig.context 通过 API 对应的参数值筛选访问权限 字符串
codebuild:secondarySources/${sourceIdentifier}.buildStatusConfig.targetUrl 通过 API 对应的参数值筛选访问权限 字符串
codebuild:secondarySources/${sourceIdentifier}.buildspec 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:secondarySources/${sourceIdentifier}.insecureSsl 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:secondarySources/${sourceIdentifier}.location 通过 API 对应的参数值筛选访问权限 字符串
codebuild:serverType 通过 API 对应的参数值筛选访问权限 字符串
codebuild:serviceRole 通过 API 对应的参数值筛选访问权限 字符串
codebuild:shouldOverwrite 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:source 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:source.auth.resource 通过 API 对应的参数值筛选访问权限 字符串
codebuild:source.auth.type 通过 API 对应的参数值筛选访问权限 字符串
codebuild:source.buildStatusConfig.context 通过 API 对应的参数值筛选访问权限 字符串
codebuild:source.buildStatusConfig.targetUrl 通过 API 对应的参数值筛选访问权限 字符串
codebuild:source.buildspec 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:source.insecureSsl 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:source.location 通过 API 对应的参数值筛选访问权限 字符串
codebuild:token 通过 API 对应的参数值筛选访问权限 字符串
codebuild:username 通过 API 对应的参数值筛选访问权限 字符串
codebuild:vpcConfig 通过 API 对应的参数值筛选访问权限 布尔型
codebuild:vpcConfig.securityGroupIds 通过 API 对应的参数值筛选访问权限 ArrayOfString
codebuild:vpcConfig.subnets 通过 API 对应的参数值筛选访问权限 ArrayOfString
codebuild:vpcConfig.vpcId 通过 API 对应的参数值筛选访问权限 字符串