AWS Codepipeline: получить учетные данные для использования на этапе сборки?

Question

У меня есть конвейер кода AWS, на этапе сборки которого используется интерфейс командной строки AWS, поэтому, конечно, для работы ему нужны учетные данные AWS.

Я не вижу, как это сделать ... «исходный этап»извлекается из github и, следовательно, имеет исходный артефакт в качестве выходного артефакта.

Я в итоге просто фиксирую учетные данные в ветке, из которой я строю (в настоящее время не зашифрован, хотя, конечно, я могу зашифровать их, если этот обходной путь)должен идти в производство) ... и это работает.

Нет ли способа сделать это "правильно", не получив учетные данные из этой ветви?

Answer 1

В действии сборки, если вы используете проект CodeBuild, вам необходимо присоединить пользовательские политики к роли службы CodeBuild.Таким образом, при использовании интерфейса командной строки AWS проходит через поставщиков учетных данных по порядку и извлекает временные учетные данные для этой роли.Таким образом, вам не нужно фиксировать конфиденциальную конфигурацию среды в вашем репо.