ECRのイメージをプルするCodebuildをTerraformで作る

7515 ワード

はじめに

ECRに保存しているイメージをCodebuildで使用したかったので、その設定をTerraformでやってみました。
Terraformを使用したからといって特別なことをやっているわけではありませんが、備忘録として。

環境

Terraform : 0.12.29
Terraform aws provider : 3.3.0

ECRリポジトリ

以下のようなECRリポジトリを作成します。
このリポジトリにCodebuildで動かすイメージを保存していきます。

resource "aws_ecr_repository" "example" {
  name                 = "example"
  image_tag_mutability = "MUTABLE"

  image_scanning_configuration {
    scan_on_push = true
  }
}

公式のガイドを参考に、CodebuildからイメージをプルできるECRのポリシーを設定します。

AWS ECRサンプル

　[アクション] で、プル専用アクションとして [ecr:GetDownloadUrlForLayer]、[ecr:BatchGetImage]、および [ecr:BatchCheckLayerAvailability] を選択します。

また、今回はCodebuildとECRリポジトリでクロスアカウントを行わないので

　プロジェクトで CodeBuild の認証情報を使用して Amazon ECR のイメージをプルする場合は、[サービスプリンシパル] に「codebuild.amazonaws.com」と入力します。

以上を参考にTerraformでポリシーを書くとこうなります。

resource "aws_ecr_repository_policy" "example" {
  repository = aws_ecr_repository.example.name

  policy = data.aws_iam_policy_document.example.json
}

data "aws_iam_policy_document" "example" {
  statement {

    actions = [
      "ecr:BatchCheckLayerAvailability",
      "ecr:BatchGetImage",
      "ecr:GetDownloadUrlForLayer"
    ]

    principals {
      type        = "Service"
      identifiers = ["codebuild.amazonaws.com"]
    }
  }
}

ECRリポジトリの設定は以上です。

Codebuildプロジェクト

今回は、ECRからのプルを検証することが目的なのでシンプルなプロジェクトを作成します。

ECRの方でCodebuildの認証情報を用いてプルするようにしたので
image_pull_credentials_type = "CODEBUILD"を設定する必要があります。
特に指定しない場合、デフォルトでCODEBUILDが設定されるようですがここでは明示的に
設定しています。

Terraform codebuild_project image_pull_credentials_type

resource "aws_codebuild_project" "example" {
  name          = "example-project"
  description   = "example-project"
  service_role  = aws_iam_role.this.arn

  artifacts {
    type = "NO_ARTIFACTS"
  }

  environment {
    compute_type                = "BUILD_GENERAL1_SMALL"
    image                       = "{ECRリポジトリー内のイメージURI}"
    type                        = "LINUX_CONTAINER"
    image_pull_credentials_type = "CODEBUILD"
  }

  source {
    type            = "GITHUB"
    location        = "{ビルドに使用するGitリポジトリのURL}"
    git_clone_depth = 1
  }
}

ECR側でプルを許可しているため、Codebuildのにアタッチするポリシーは
ログの作成に関わるものだけでいいみたいです。

resource "aws_iam_role_policy" "example" {
  name = "example"
  role = aws_iam_role.this.id
  policy = data.aws_iam_policy_document.example.json
}

data "aws_iam_policy_document" "example" {
  statement {

    actions = [
      "logs:CreateLogStream",
      "logs:PutLogEvents"
    ]

    resources = [
      "*",
    ]

  }
}

これらの設定でECRのイメージを使用してビルドができます。

Codebuild側にもプルするために権限が必要だと思っていたのですが、
不要だったみたいです。

Author And Source

この問題について(ECRのイメージをプルするCodebuildをTerraformで作る), 我々は、より多くの情報をここで見つけました https://qiita.com/daiki-kon/items/aab32c65932c6e2de84f

著者帰属：元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。

Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .

TomcatでのJNDI接続の構成

gitエンジニアリング管理masterとdevブランチ