【小ネタ】CodeBuildの「AWS CodeBuild にこのサービスロールの編集を許可し、このビルドプロジェクトでの使用を可能にする」の項目って何ですか
今回の調査テーマ
こんにちは、AWS事業本部コンサルティング部のこーへいです。
今回の調査テーマは「CodeBuildの『AWS CodeBuild にこのサービスロールの編集を許可し、このビルドプロジェクトでの使用を可能にする』はどういう設定」なのかの解説です。
結論
このチェックボックスを有効化すると、選択した既存のIAMロールにCodeBuildを実行する為の最低限の権限が設定されたIAMポリシーが付与されます。
論より証拠です、以下画像のように何もポリシーをアタッチしていないIAMロールを用意しました。
その後、このIAMロールを選択し、「AWS CodeBuild にこのサービスロールの編集を許可し、このビルドプロジェクトでの使用を可能にする」を有効化した状態でCodeBuildを作成し、IAMロールを確認すると以下のようにポリシーがアタッチされていることが分かります。
ちなみに「新しいサービスロール」を選択した場合は、「AWS CodeBuild にこのサービスロールの編集を許可し、このビルドプロジェクトでの使用を可能にする」のチェックボックスは表示されません。
これは、最低限必要なIAMポリシーが付与された状態でIAMロールが自動的に作成される設定項目だからです。
まとめ
最後にどのように設定すればいいのかをまとめて終わります。
- CodeBuild用のIAMロールを作成していない
- 「新しいサービスロール」を選択
- CodeBuild用のIAMロールは作成しているが、IAMポリシーは用意していない
- 「既存のサービスロール」かつ、「AWS CodeBuild にこのサービスロールの編集を許可し、このビルドプロジェクトでの使用を可能にする」を選択
- CodeBuild用のIAMロールとポリシーを作成している
- 「既存のサービスロール」を選択かつ、「AWS CodeBuild にこのサービスロールの編集を許可し、このビルドプロジェクトでの使用を可能にする」のチェックボックスを外す
![[アップデート] AWS CodePipeline で CodeBuild セットアップなしでコマンド実行が出来る新しいビルドアクション「Commands」を使ってみた](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-7cdd08196c0c75239e41fd834b427547/b64ab4252df175f1536fe199afbab2a3/aws-codepipeline)
![[アップデート] GitLab ランナーとして AWS CodeBuild を使えるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-741bcce62ea7fdfa232113da6c589b88/f694a222b9ca64455d93ec3eccbafe29/eyecatch_gitlab)
