使用 register-on-premises-instance 命令（IAM 用户 ARN）注册本地实例

分配权限（CLI）

1. 在您用于调用 Amazon CLI的 Amazon EC2 实例或设备上创建包含以下策略内容的文件。采用类似于 CodeDeploy-OnPrem-Permissions.json 的格式命名文件，然后保存文件。

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Action": [
                   "s3:Get*",
                   "s3:List*"
               ],
               "Effect": "Allow",
               "Resource": "*"
           }
       ]
   }

   注意

   我们建议您将此策略限制为您的本地实例需要访问的那些 Amazon S3 存储桶。如果您限制此策略，请确保同时允许访问包含 Amazon CodeDeploy 代理的 Amazon S3 存储桶。否则，每当在关联的本地实例上安装或更新 CodeDeploy 代理时，都可能出现错误。

   例如：

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:Get*",
                   "s3:List*"
               ],
               "Resource": [
                   "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
                   "arn:aws:s3:::aws-codedeploy-cn-north-1/*",
                   "arn:aws:s3:::aws-codedeploy-cn-northwest-1/*"
               ]
           }
       ]
   }

2. 调用put-user-policy命令，指定 IAM 用户的名称（使用--user-name选项）、策略的名称（使用--policy-name选项）和新创建的策略文档的路径（使用--policy-document选项）。例如，假设 CodeDeploy-OnPrem-Permissions.json 文件位于您调用此命令时所在的同一个目录（文件夹）中：

   重要

   务必在文件名前包含 file://。此命令中需要该项。

   aws iam put-user-policy --user-name CodeDeployUser-OnPrem --policy-name CodeDeploy-OnPrem-Permissions --policy-document file://CodeDeploy-OnPrem-Permissions.json

分配权限（控制台）

1. 访问：https://console.aws.amazon.com/iam/，打开 IAM 控制台。

2. 在导航窗格中选择 Policies，然后选择 Create Policy。（如果 Get Started 按钮出现，选择此按钮，然后选择 Create Policy。）

3. 在 Create Your Own Policy 旁，选择 Select。

4. 在 Policy Name（策略名称）框中，键入此策略的名称（例如，CodeDeploy-OnPrem-Permissions）。

5. 在策略文档框中，键入或粘贴以下权限表达式，该表达式 Amazon CodeDeploy 允许代表 IAM 用户将策略中指定的任何 Amazon S3 存储桶中的应用程序修订部署到本地实例：

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Action": [
                   "s3:Get*",
                   "s3:List*"
               ],
               "Effect": "Allow",
               "Resource": "*"
           }
       ]
   }

6. 选择创建策略。

7. 在导航窗格中，选择用户。

8. 在用户列表中，浏览并选择在步骤 1：为本地实例创建 IAM 用户中创建的 IAM 用户的名称。

9. 在 Permissions 选项卡上的 Managed Policies 中，选择 Attach Policy。

10. 选择名为 CodeDeploy-OnPrem-Permissions 的托管策略，然后选择 Attach Policy（附加策略）。

获取凭证（CLI）

1. 调用list-access-keys命令，指定 IAM 用户的姓名（使用--user-name选项），然后仅查询访问密钥 ID（使用--query和--output选项）。例如：

   aws iam list-access-keys --user-name CodeDeployUser-OnPrem --query "AccessKeyMetadata[*].AccessKeyId" --output text

2. 如果输出中没有显示任何密钥或输出中仅显示有关一个密钥的信息，请调用create-access-key命令，指定 IAM 用户的名称（带--user-name选项）：

   aws iam create-access-key --user-name CodeDeployUser-OnPrem

   在调用 create-access-key 命令的输出中，记录 AccessKeyId 和 SecretAccessKey 字段的值。在步骤 4：将配置文件添加到本地实例 中您将需要此信息。

   重要

   这是您仅有的一次查看此秘密访问密钥的机会。如果您忘记或丢失了此秘密访问密钥，则需要按照步骤 3：获取 IAM 用户凭证 中的步骤生成新的密钥。

3. 如果已经列出了两个访问密钥，则必须通过调用delete-access-key命令删除其中一个，指定 IAM 用户的名称（带--user-name选项）和要删除的访问密钥的 ID（使用--access-key-id选项）。然后调用 create-access-key 命令，如此步骤中前面所述。下面是一个调用 delete-access-key 命令的示例：

   aws iam delete-access-key --user-name CodeDeployUser-OnPrem --access-key-id access-key-ID

   重要

   如果您调用 delete-access-key 命令删除这些访问密钥之一，并且本地实例已经按步骤 4：将配置文件添加到本地实例中所述使用此访问密钥，则您需要再次按照步骤 4：将配置文件添加到本地实例中的说明操作，指定与此 IAM 用户关联的其他访问密钥 ID 和秘密访问密钥。否则，对该本地实例的任何部署可能会停滞在永久等待的状态或完全失败。

获取凭证（控制台）

1. 1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

   2. 如果用户的列表未显示，则在导航窗格中选择 Users。

   3. 在用户列表中，浏览并选择在步骤 1：为本地实例创建 IAM 用户中创建的 IAM 用户的名称。

2. 在 Security credentials 选项卡上，如果没有列出密钥或仅列出了一个密钥，请选择 Create access key。

   如果列出了两个访问密钥，则必须删除其中之一。选择其中一个访问密钥旁边的 Delete，然后选择 Create access key。

   重要

   如果您选择这些访问密钥之一旁边的删除，并且本地实例已经按步骤 4：将配置文件添加到本地实例中所述使用此访问密钥，则您需要再次按照步骤 4：将配置文件添加到本地实例中的说明操作，指定与此 IAM 用户关联的其他访问密钥 ID 和秘密访问密钥。否则，对该本地实例的部署可能会停滞在永久等待的状态或完全失败。

3. 选择 Show 并记录访问密钥 ID 和秘密访问密钥。您在下一步中需要此信息。或者，您可以选择 Download .csv file 来保存访问密钥 ID 和秘密访问密钥的副本。

   重要

   除非您记录或下载了凭证，否则这是您仅有的一次查看此秘密访问密钥的机会。如果您忘记或丢失了此秘密访问密钥，则需要按照步骤 3：获取 IAM 用户凭证 中的步骤生成新的密钥。

4. 选择 Close 返回 Users > IAM User Name 页面。

1. 在本地实例上的以下位置，创建名为 codedeploy.onpremises.yml（针对 Ubuntu Server 或 RHEL 本地实例）或名为 conf.onpremises.yml（针对 Windows Server 本地实例）的文件：

   • 对于 Ubuntu Server：/etc/codedeploy-agent/conf

   • 对于 Windows Server：C:\ProgramData\Amazon\CodeDeploy

2. 使用文本编辑器将以下信息添加到新创建的 codedeploy.onpremises.yml 或 conf.onpremises.yml 文件：

   ---
   aws_access_key_id: secret-key-id
   aws_secret_access_key: secret-access-key
   iam_user_arn: iam-user-arn
   region: supported-region

   其中：

   • secret-key-id是您在步骤 1：为本地实例创建 IAM 用户或中记下的相应 IAM 用户的密钥 ID 步骤 3：获取 IAM 用户凭证。

   • secret-access-key是您在步骤 1：为本地实例创建 IAM 用户或中记下的相应 IAM 用户的私有访问密钥步骤 3：获取 IAM 用户凭证。

   • iam-user-arn是您在前面提到的 IAM 用户的 ARN。步骤 1：为本地实例创建 IAM 用户

   • su@@ pported-region 是您的 CodeDeploy 应用程序、部署组和应用程序修订 CodeDeploy 所在区域所支持的标识符（例如，us-west-2）。有关区域的列表，请参阅《Amazon Web Services 一般参考》中的区域和终端节点。

   重要

   如果您在步骤 3：获取 IAM 用户凭证中选择这些访问密钥之一旁边的删除，并且本地实例已经在使用关联的访问密钥 ID 和秘密访问密钥，则您需要按照步骤 4：将配置文件添加到本地实例中的说明操作，指定与此 IAM 用户关联的其他访问密钥 ID 和秘密访问密钥。否则，对您的本地实例的任何部署可能会停滞在永久等待的状态或完全失败。

1. 要在本地实例 Amazon CLI 上安装，请按照Amazon Command Line Interface 用户指南中的开始设置 Amazon CLI中的说明进行操作。

   注意

   CodeDeploy 用于处理本地实例的命令已在 1.7.19 版本中提供。 Amazon CLI如果您 Amazon CLI 已经安装了的版本，则可以通过调用来检查其版本aws --version。

2. 要在本地实例 Amazon CLI 上配置，请按照Amazon Command Line Interface 用户指南中的配置 Amazon CLI中的说明进行操作。

   重要

   在配置时 Amazon CLI （例如，通过调用aws configure命令），请务必指定除中指定的访问权限之外还至少具有以下 Amazon 访问权限的 IAM 用户的私有密钥 ID 和私有访问密钥配置本地实例的先决条件。这样，您就可以在本地实例上下载并安装 CodeDeploy 代理：

   {
     "Version": "2012-10-17",
     "Statement" : [
       {
         "Effect" : "Allow",
         "Action" : [
           "codedeploy:*"
         ],
         "Resource" : "*"
       },
       {
         "Effect" : "Allow",
         "Action" : [
           "s3:Get*",
           "s3:List*"
         ],
         "Resource" : [
           "arn:aws:-cn:s3:::aws-codedeploy-cn-north-1/*",
           "arn:aws:-cn:s3:::aws-codedeploy-cn-northwest-1/*"
         ]
       }     
     ]
   }

   这些访问权限可以分配给您在步骤 1：为本地实例创建 IAM 用户中创建的 IAM 用户或者其他 IAM 用户。要将这些权限分配给 IAM 用户，请按照步骤 1：为本地实例创建 IAM 用户中的说明操作，并使用这些访问权限而不是该步骤中的权限。

1. 在使用之前 Amazon CLI，您需要在中创建的 IAM 用户的用户 ARN。步骤 1：为本地实例创建 IAM 用户如果您还没有用户 ARN，请调用 get-user 命令，在命令中指定 IAM 用户的名称（使用 --user-name 选项）并仅查询用户 ARN（使用 --query 和 --output 选项）：

   aws iam get-user --user-name CodeDeployUser-OnPrem --query "User.Arn" --output text

2. 调用 register-on-premises-instance 命令，在命令中指定：

   • 唯一标识本地实例的名称（使用 --instance-name 选项）。

     重要

     为了帮助标识本地实例，特别是用于调试用途，我们强烈建议您指定能够反映本地实例的某种唯一特性的名称（例如，在适用时可以指定序列号或内部资产标识符）。如果指定 MAC 地址作为名称，请注意 MAC 地址包含 CodeDeploy 不允许使用的字符，例如冒号 (:)。有关允许字符的列表，请参阅CodeDeploy 配额。

   • 您在步骤 1：为本地实例创建 IAM 用户中创建的 IAM 用户的用户 ARN（使用 --iam-user-arn 选项）。

     例如：

     aws deploy register-on-premises-instance --instance-name AssetTag12010298EX --iam-user-arn arn:aws:iam::444455556666:user/CodeDeployUser-OnPrem

标记本地实例（CLI）

• 调用-premis add-tags-to-ones-instances 命令，指定：

  • 唯一标识本地实例的名称（使用 --instance-names 选项）。

  • 您要使用的本地实例标签密钥的名称和标签值（使用 --tags 选项）。必须同时指定名称和值。 CodeDeploy 不允许仅包含值的本地实例标签。

    例如：

    aws deploy add-tags-to-on-premises-instances --instance-names AssetTag12010298EX --tags Key=Name,Value=CodeDeployDemo-OnPrem

标记本地实例（控制台）

1. 登录 Amazon Web Services Management Console 并打开 CodeDeploy 控制台，网址为 https://console.aws.amazon.com/codedeploy。

   注意

   使用您在入门 CodeDeploy中设置的同一用户登录。

2. 从 CodeDeploy 菜单中选择本地实例。

3. 在本地实例列表中，选择您要标记的本地实例旁边的箭头。

4. 在标签列表中，选择或输入所需的标签键和标签值。当您输入标签键和标签值之后，将显示另一行。您可以重复此步骤，最多添加 10 个标签。要删除标签，请选择删除图标（ ）。

5. 在您添加标签之后，选择 Update Tags。