AWS에 다중 환경에서 자동 배포 권한 설정

배경

AWS에 ECR 및 ECS로 백엔드 서비스를 구축하고 있습니다

한 번의 클릭으로 코드 배포를 수행하고 싶습니다

개발 환경과 프로덕션 환경은 별도의 AWS 계정이 됩니다

내용

AWS CodeBuild란?

완전 관리형 빌드 서비스

소스 코드 컴파일

단위 테스트

배포

buildspec.yml

단위 테스트 수행

docker image build

ECR에 push

문제

개발 계정의 CodeBuild에서 프로덕션 계정의 ECR로 푸시 할 때 권한 설정이 필요합니다.

대책

프로덕션 계정 측

ECR 리포지토리에 사용 권한 추가

개발 계정의 putimage 권한 허용

{ 
  "Version": "2008-10-17", 
  "Statement": [ 
    { 
      "Sid": "AllowPushPull", 
      "Effect": "Allow", 
      "Principal": { 
        “AWS”: “arn:aws:iam::開発アカウントID" 
      }, 
      "Action": [ 
        ......
        "ecr:PutImage", 
        "ecr:UploadLayerPart" 
      ] 
    } 
  ] 
}

개발 계정 측

빌드 프로젝트의 서비스 역할에 STS 및 ECR 작업 권한 추가

sts-policy:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
        { 
            "Sid": "VisualEditor1", 
            "Effect": "Allow", 
            "Action": [ 
                "sts:AssumeRole" 
            ], 
            “Resource”: “arn:aws:iam::開発アカウントID:role/service-role/ロール名" 
        } 
    ] 
} 


ECRへpush権限:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
        { 
            "Sid": "VisualEditor0", 
            "Effect": "Allow", 
            "Action": [ 
                ....
                "ecr:PutImage", 
                ......
            ], 
            “Resource”: “arn:aws:ecr:ap-northeast-1:本番アカウントID:repository/リポジトリ名" 
        }, 
        { 
            "Sid": "VisualEditor1", 
            "Effect": "Allow", 
            "Action": "ecr:GetAuthorizationToken", 
            "Resource": "*" 
        } 
    ] 
}

Reference

이 문제에 관하여(AWS에 다중 환경에서 자동 배포 권한 설정), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/alingogo/items/3168f63c32e0a1aee889

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다