本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
向中的IAM用户授予批准权限 CodePipeline
在组织中的IAM用户批准或拒绝批准操作之前,必须向他们授予访问管道和更新批准操作状态的权限。您可以通过将AWSCodePipelineApproverAccess
托管策略附加到用户、角色或组来授予访问您账户中所有管道和批准操作的权限;也可以通过指定IAMIAM用户、角色或组可以访问的单个资源来授予有限的权限。
注意
本主题中描述的权限授予非常有限的访问权限。要使用户、角色或组可以执行的不止是批准或拒绝审批操作,您可以附加其他托管策略。有关可用的托管策略的信息 CodePipeline,请参阅Amazon 的托管策略 Amazon CodePipeline。
授予对所有管道和审批操作的审批权限
对于需要在中执行批准操作的用户 CodePipeline,请使用AWSCodePipelineApproverAccess
托管策略。
要提供访问权限,请为您的用户、组或角色添加权限:
-
IAM通过身份提供商管理的用户:
创建适用于身份联合验证的角色。按照IAM用户指南中为第三方身份提供商创建角色(联合)中的说明进行操作。
-
IAM用户:
-
创建您的用户可以担任的角色。按照用户指南中为IAM用户创建角色中的说明IAM进行操作。
-
(不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《用户指南》中向用户(控制台)添加权限中的IAM说明进行操作。
-
指定对特定管道和审批操作的审批权限
对于需要在中执行批准操作的用户 CodePipeline,请使用以下自定义策略。在下面的策略中,指定用户可以访问的各项资源。例如,根据以下策略的授权,用户只能批准或拒绝美国东部(俄亥俄州)区域 (us-east-2) MyFirstPipeline
管道中名为 MyApprovalAction
的操作:
注意
只有当IAM用户需要访问 CodePipeline 仪表板才能查看此管道列表时,才需要该codepipeline:ListPipelines
权限。如果不需要访问控制台,则可以忽略 codepipeline:ListPipelines
。
使用JSON策略编辑器创建策略
登录 Amazon Web Services Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 -
在左侧的导航窗格中,选择策略。
如果这是您首次选择策略,则会显示欢迎访问托管式策略页面。选择开始使用。
-
在页面的顶部,选择 Create Policy(创建策略)。
-
在 “策略编辑器” 部分中,选择JSON选项。
-
输入以下JSON策略文档:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "codepipeline:ListPipelines" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "codepipeline:GetPipeline", "codepipeline:GetPipelineState", "codepipeline:GetPipelineExecution" ], "Resource": "arn:aws:codepipeline:us-east-2:80398EXAMPLE:MyFirstPipeline" }, { "Effect": "Allow", "Action": [ "codepipeline:PutApprovalResult" ], "Resource": "arn:aws:codepipeline:us-east-2:80398EXAMPLE:MyFirstPipeline/MyApprovalStage/MyApprovalAction" } ] }
-
选择下一步。
注意
您可以随时在 “可视化” 和 “JSON编辑器” 选项之间切换。但是,如果您进行更改或在可视化编辑器中选择 “下一步”,则IAM可能会重构您的策略以针对可视化编辑器对其进行优化。有关更多信息,请参阅《IAM用户指南》中的策略重组。
-
在查看并创建页面上,为您要创建的策略输入策略名称和描述(可选)。查看此策略中定义的权限以查看策略授予的权限。
-
选择创建策略可保存新策略。