Q&A
AWS Codeシリーズ初心者です。
CICDクロスアカウントを実現したいです。
アカウントAのCodeCommitに、アカウントBのCodepipeline(ビルド、デプロイ)がアクセスします。
CodeCommitにてソース管理をしており、
CodeCommitの対象リポジトリ内のdevelopブランチへのpushをトリガーに
CodeBuildにてビルドプロジェクトが動きます。
パイプラインのソースステージの出力アーティファクト形式は完全クローンを指定しています。
ビルドプロジェクトが動く際、ビルドステージの「DOWNLOAD_SOURCE」のフェーズにて、
「CLIENT_ERROR: authorization failed for primary source and source version コミットID」エラーが出力されました。
こちらに関するエラーを調べたところ、GitHubなどをソースプロバイダーに指定した際に
トークンの不備で出力されるエラーと解釈したのですが、
ソースプロバイダーにCodeCommitを指定しているため、当該エラーが出力される意味が分からず困っています。
ちなみにアカウントBのCodeBuildのロールには、下記を設定しております。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"codecommit:GitPull"
],
"Resource": "arn:aws:codecommit:region:<AccountAのID>:<AccountAのrepository名>",
"Effect": "Allow"
}
]
}
原因を教えていただきたいです。
回答1件
0
ベストアンサー
クロスアカウントアクセスをするための設定が不足していると思われます。
何も設定していなければ、別のAWSアカウントのリソースのAPIには通常はアクセスできません。
今回の場合、CodePipelineを使用しているのでアカウントBのCodePipelineのサービスロールからアカウントAのCodeCommitのリポジトリを参照できる必要があります。
そのためにはアカウントA上でアカウントAのCodeCommitを参照できるIAMロールを作成し、アカウントBのCodePipelineのサービスロールからAssumeRoleでアカウントA上に作成したロールの権限を引き受けてCodeCommitを参照する必要があります。
こちらの記事がまさにちょうどやりたいことをそのままやっていると思われます。
CodePipelineでアカウントをまたいだパイプラインを作成してみる
記事ではCodeCommitがあるアカウント上に作ったロールでAssumeRoleの呼び出し元を特に制限していませんが、適宜ポリシーによって呼び出し元を絞るべきでしょう。
CodeBuildのロールもDockerイメージのビルドをしてECRにpushすることを想定した権限設定なので適宜必要な権限に変更してください。
CodeBuild→CodeCommitのクロスアカウントアクセスとは違うのでピッタリとハマるケースではないですが、下記なども参考になります。
ロールを使用して AWS CodeCommit リポジトリへのクロスアカウントアクセスを設定する
CodeCommitへのクロスアカウントアクセスを試してみた
IAM チュートリアル: AWS アカウント間の IAM ロールを使用したアクセスの委任
AssumeRoleそのものについては下記の記事などがわかりやすいです。
IAMロール徹底理解 〜 AssumeRoleの正体
IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた
また、以後ソース等を貼る時は読みやすさのためにコードブロックで貼ってください。
投稿2021/10/24 18:00
総合スコア7586
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2021/10/25 23:54
2021/10/26 00:07