[アップデート] AWS CodePipeline で CodeBuild セットアップなしでコマンド実行が出来る新しいビルドアクション「Commands」を使ってみた

いわさ

2024.10.05

いわさです。

先日 AWS CodePipeline のドキュメント更新履歴にて新しいアクションの登場を確認しました。

従来の CodePipeline ではビルドステージで CodeBuild プロジェクトを実行することで Buildspec に定義した任意のコマンドを実行していました。
今回登場した新しいアクションを使うと CodeBuild の準備なしでコマンドを実行することが可能です。

実体としては AWS マネージドな CodeBuild が動いており、CodeBuild の利用料金も発生するとのことで、実際に実行して確認してみましたので紹介します。

ビルドステージで「Commands」アクションを選択する

現在 CodePipeline パイプラインには V1 と V2 があるのですが、確認したところどちらのバージョンでも新しいアクションを使うことが出来ました。
ただ、V1 は現在は新規では作成出来ないようですね。

ビルドステージで次のように選択出来るようになってました。
デフォルトのビルドプロバイダーとして Commands が選択されており、これが新しいものですね。

従来のビルドプロバイダーは Other build providers から選択する形です。

Commands を選択すると、シンプルにコマンドをパラメータとして設定出来る感じですね。
改行で複数コマンドの実行が可能です。

実行してみる

前述のようにlsやechoを設定して実行してみました。
実行ログを確認してみます。

設定したコマンドが順次実行されていますね。
そして、初期化部分のログを見てみると CodeBuild がオンデマンド実行されていることも確認出来ます。

ただし、CodeBuild のビルドプロジェクト一覧を確認してみてもプロジェクトが存在しません。
ユーザーマネージドではない部分で CodeBuild が内部的に実行されている。という感じでしょうか。

なお、コマンドアクションのリファレンスはこちらです。

いくつか考慮事項があって、前述のとおり内部的に CodeBuild が使われており、同時ビルド制限の対象に含まれるという点や、実行される CodeBuild 環境はアカウントレベルで分離されるもので異なるアカウント間で再利用はされませんが、同一アカウント内だと再利用される可能性があるようです。
また、ビルドタイムアウトは 55 分固定みたいです。

なお、実行環境の情報を少し確認してみたところ、Amazon Linux 2023 がベースイメージとなっているようでした。

サービスロールの権限に注意

先ほどコマンドアクションを新規パイプラインに設定した際にサービスロールを作成したと思います。
こちらの権限に注意してください。

ログ出力権限などいくつか不足しており、パイプライン設定によって次のようにアクションが失敗する場合があります。

Action failed with status: FAILED. Service role does not have permissions to create Amazon Cloudwatch log streams. Add logs:CreateLogGroup, logs:CreateLogStream, logs:PutLogEvents permissions to your service role. Default log group is /aws/codepipeline/<pipeline-name>

サービスロールはパイプラインの設定メニューから確認出来るこちらのロールです。
CodeBuild 上で実行される際にこちらのロールを使ってセッション生成されているようなのでコマンドが必要な IAM ポリシーはこのサービスロールに設定してやる必要があります。