Как контейнер CodeBuild может выполнять команды aws -cli без предварительной аутентификации?

Question

Скажем, я использую aws -cli локально на моей машине, мне нужно пройти аутентификацию с учетными данными перед любой операцией.

Как службы AWS дают разрешение другим службам от моего имени? А более конкретно, как контейнер запускает aws -cli от моего имени без предварительной аутентификации?

Я спрашиваю об этом после успешного запуска моего первого конвейера в codePipeline. Мой buildspe c .yml безошибочно запускает команду aws s3 sync - что заставило меня задуматься, как работают aws внутренние разрешения -.

Answer 1

AWS CodeBuild использует служебную роль IAM для предоставления AWS разрешений для среды CodeBuild. Вам нужно было создать сервисную роль для вашей конфигурации CodeBuild.

При запуске инструмента AWS cli, который ранее не был настроен с помощью ключей доступа API, он проверит, работает ли он в AWS среда, такая как EC2 или Lambda, и в этом случае она будет использовать роль AWS IAM, назначенную этой среде выполнения.