我正在尝试使用位于另一个 AWS 账户中的 CodeCommit 源来设置 CodeBuild。我相信这可以使用 AssumeRole 来完成,但我没有运气。任何人都可以帮助提供一个示例,说明如何使 CodeBuild 承担另一个帐户中指定的角色来访问 CodeCommit 存储库吗?
目前我的 CodeBuild 角色(在帐户 22222222 中)包括以下策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::11111111:role/Read-CodeCommit"
}
]
}
在帐户 11111111 中,我的 Read-CodeCommit 角色具有以下策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"codecommit:*"
],
"Resource": "arn:aws:codecommit:us-west-2:11111111:dashboard"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "codecommit:ListRepositories",
"Resource": "*"
}
]
}
Read-CodeCommit 具有以下信任策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { …