如何 AWS CodeDeploy 与 IAM - AWS CodeDeploy
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如何 AWS CodeDeploy 与 IAM

使用前 IAM 管理访问 CodeDeploy,您应该了解 IAM 功能可用于 CodeDeploy. 有关详细信息,请参阅 AWS 合作的服务 IAMIAM 用户指南.

CodeDeploy 基于身份的策略

带有 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源,以及允许或拒绝操作的条件。 CodeDeploy 支持操作、资源和条件密钥。有关您在JSON策略中使用的元素的信息,请参阅 IAM JSON政策元素参考IAM 用户指南.

Actions

Administrators can use AWS JSON policies to specify who has access to what. That is, which principal can perform actions on what resources, and under what conditions.

JSON 策略的 Action 元素描述可用于在策略中允许或拒绝访问的操作。策略操作通常与关联的 AWS API 操作同名。有一些例外情况,例如没有匹配 API 操作的仅限权限 操作。还有一些操作需要在策略中执行多个操作。这些附加操作称为相关操作

在策略中包含操作以授予执行相关操作的权限。

策略操作 CodeDeploy 使用 codedeploy: 操作前前缀。例如, codedeploy:GetApplication 权限授予用户执行 GetApplication 操作。政策声明必须包括 ActionNotAction 元素。 CodeDeploy 定义了描述您可以使用此服务执行的任务的各种操作。

要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:

"Action": [ "codedeploy:action1", "codedeploy:action2"

您也可以使用通配符 (*) 指定多个操作。例如,包括以下操作可以指定以单词 开头的所有操作:Describe:

"Action": "ec2:Describe*"

以获取列表 CodeDeploy 操作,请参阅 Actions Defined by AWS CodeDeployIAM 用户指南.

有关列出所有 CodeDeploy API 操作及其适用的资源的表,请参阅。CodeDeploy 权限参考.

Resources

Administrators can use AWS JSON policies to specify who has access to what. That is, which principal can perform actions on what resources, and under what conditions.

Resource JSON 策略元素指定要向其应用操作的一个或多个对象。语句必须包含 ResourceNotResource 元素。作为最佳做法,请使用其 Amazon 资源名称 (ARN) 指定资源。对于支持特定资源类型(称为资源级权限)的操作,您可以执行此操作。

对于不支持资源级权限的操作(如列出操作),请使用通配符 (*) 指示语句应用于所有资源。

"Resource": "*"

例如,您可以指示部署组(myDeploymentGroup)在您的声明中使用ARN如下所述:

"Resource": "arn:aws-cn:codedeploy:us-west-2:123456789012:deploymentgroup/myDeploymentGroup"

您还可以使用通配符 (*) 指定属于某个账户的所有 deployment groups,如下所示:

"Resource": "arn:aws-cn:codedeploy:us-west-2:123456789012:deploymentgroup/*"

要指定所有资源,或者如果 API 操作不支持 ARN,请在 Resource 元素中使用通配符 (*),如下所示:

"Resource": "*"

有些 CodeDeploy API 操作接受多个资源 (例如,)。BatchGetDeploymentGroups). 要在单个语句中指定多个资源,请使用逗号分隔其 ARN,如下所示。

"Resource": ["arn1", "arn2"]

CodeDeploy 提供一组操作用来处理 CodeDeploy 资源。有关可用操作的列表,请参阅 CodeDeploy 权限参考.

以获取列表 CodeDeploy 资源类型和其ARNS,请参见 Resources Defined by AWS CodeDeployIAM 用户指南. 有关可指定每个资源的 ARN 的操作的信息,请参阅 Actions Defined by AWS CodeDeploy.

CodeDeploy 资源和操作

在 CodeDeploy 中,主要资源为 。deployment group. 在策略中,您使用Amazon资源名称(ARN)来确定策略适用的资源。 CodeDeploy 支持可以使用的其他资源 deployment groups,包括应用程序、部署配置和实例。这些资源称作子资源。这些资源和子资源具有相关联的唯一 ARN。有关详细信息,请参阅 亚马逊资源名称(ARNS)Amazon Web Services 一般参考.

资源类型 ARN 格式
部署组

arn:aws-cn:codedeploy:region:account-id:deploymentgroup/deployment-group-name

应用程序

arn:aws-cn:codedeploy:region:account-id:application/application-name

部署配置

arn:aws-cn:codedeploy:region:account-id:deploymentconfig/deployment-configuration-name

实例

arn:aws-cn:codedeploy:region:account-id:instance/instance-ID

所有 CodeDeploy 资源

arn:aws-cn:codedeploy:*

指定账户在指定区域拥有的所有 CodeDeploy 资源

arn:aws-cn:codedeploy:region:account-id:*

注意

大多数服务 AWS 将冒号(:)或正斜杠(/)处理为ARNS中的相同字符。不过,CodeDeploy 在资源模式和规则中使用精确匹配。请务必在创建事件模式时使用正确的 ARN 字符,以使其与资源中的 ARN 语法匹配。

条件键

CodeDeploy 不提供任何特定于服务的条件键,但支持使用某些全局条件键。有关详细信息,请参阅 AWS 全局条件上下文关键字IAM 用户指南.

Examples

要查看 CodeDeploy 基于身份的策略的示例,请参阅。AWS CodeDeploy 基于身份的策略示例.

CodeDeploy 基于资源的策略

CodeDeploy 不支持基于资源的策略。要查看基于资源的详细策略页面示例,请参阅 使用基于资源的策略 AWS Lambda.

基于 CodeDeploy 标签的授权

CodeDeploy 不支持标记资源或基于标签控制访问。

CodeDeploy IAM 角色

一个 IAM 角色 是您的 AWS 具有特定权限的帐户。

将临时凭证用于 CodeDeploy

您可以使用临时凭证进行联合身份登录,担任 IAM 角色或担任跨账户角色。您通过致电 AWS STS API操作,例如 假设GetFederationToken.

CodeDeploy 支持使用临时凭证。

服务相关角色

CodeDeploy 不支持服务相关角色

服务角色

此功能允许服务假设 服务角色 代表。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在您的 IAM 账户中,并由该账户拥有。这意味着 IAM 管理员可以更改此角色的权限。但是,这样操作可能会中断服务的功能。

CodeDeploy 支持服务角色。

选择 IAM 角色 CodeDeploy

在创建部署组资源时 CodeDeploy,您必须选择要允许的角色 CodeDeploy 访问 Amazon EC2 代表。如果您之前已经创建了一个服务角色或服务相关角色,则 CodeDeploy 会为您提供一个角色列表供您选择。选择一个允许访问以启动和停止 EC2 实例的角色很重要。