【小ネタ】CodeBuildの「AWS CodeBuild にこのサービスロールの編集を許可し、このビルドプロジェクトでの使用を可能にする」の項目って何ですか

2023.01.31

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

今回の調査テーマ

こんにちは、AWS事業本部コンサルティング部のこーへいです。

今回の調査テーマは「CodeBuildの『AWS CodeBuild にこのサービスロールの編集を許可し、このビルドプロジェクトでの使用を可能にする』はどういう設定」なのかの解説です。

結論

このチェックボックスを有効化すると、選択した既存のIAMロールにCodeBuildを実行する為の最低限の権限が設定されたIAMポリシーが付与されます。

論より証拠です、以下画像のように何もポリシーをアタッチしていないIAMロールを用意しました。

その後、このIAMロールを選択し、「AWS CodeBuild にこのサービスロールの編集を許可し、このビルドプロジェクトでの使用を可能にする」を有効化した状態でCodeBuildを作成し、IAMロールを確認すると以下のようにポリシーがアタッチされていることが分かります。

ちなみに「新しいサービスロール」を選択した場合は、「AWS CodeBuild にこのサービスロールの編集を許可し、このビルドプロジェクトでの使用を可能にする」のチェックボックスは表示されません。

これは、最低限必要なIAMポリシーが付与された状態でIAMロールが自動的に作成される設定項目だからです。

まとめ

最後にどのように設定すればいいのかをまとめて終わります。

  • CodeBuild用のIAMロールを作成していない
    • 「新しいサービスロール」を選択
  • CodeBuild用のIAMロールは作成しているが、IAMポリシーは用意していない
    • 「既存のサービスロール」かつ、「AWS CodeBuild にこのサービスロールの編集を許可し、このビルドプロジェクトでの使用を可能にする」を選択
  • CodeBuild用のIAMロールとポリシーを作成している
    • 「既存のサービスロール」を選択かつ、「AWS CodeBuild にこのサービスロールの編集を許可し、このビルドプロジェクトでの使用を可能にする」のチェックボックスを外す