Amazon CodePipeline 如何使用 IAM - Amazon CodePipeline
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon CodePipeline 如何使用 IAM

在使用管理IAM访问权限之前 CodePipeline,您应该了解哪些IAM功能可供使用 CodePipeline。要全面了解如何使用 CodePipeline 和其他方法 Amazon Web Services 服务 IAM Amazon Web Services 服务 ,请参阅《IAM用户指南》IAM中的使用方法。

CodePipeline 基于身份的策略

使用IAM基于身份的策略,您可以指定允许或拒绝的操作和资源,以及允许或拒绝操作的条件。 CodePipeline 支持特定的操作、资源和条件键。要了解您在JSON策略中使用的所有元素,请参阅IAM用户指南中的IAMJSON策略元素参考

操作

管理员可以使用 Amazon JSON策略来指定谁有权访问什么。也就是说,哪个主体 可以对什么资源执行操作,以及在什么条件下执行。

JSON策略Action元素描述了可用于在策略中允许或拒绝访问的操作。策略操作通常与关联的 Amazon API操作同名。也有一些例外,例如没有匹配API操作的仅限权限的操作。还有一些操作需要在策略中执行多个操作。这些附加操作称为相关操作

在策略中包含操作以授予执行关联操作的权限。

正在执行的策略操作在操作前 CodePipeline 使用以下前缀:codepipeline:.

例如,要授予某人查看账户中现有管道的权限,您可以在其策略中包括 codepipeline:GetPipeline 操作。策略声明必须包含ActionNotAction元素。 CodePipeline 定义了自己的一组操作,这些操作描述了您可以使用此服务执行的任务。

要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:

"Action": [ "codepipeline:action1", "codepipeline:action2"

您也可以使用通配符 (*) 指定多个操作。例如,要指定以单词 Get 开头的所有操作,包括以下操作:

"Action": "codepipeline:Get*"

有关 CodePipeline 操作列表,请参阅《IAM用户指南》 Amazon CodePipeline中定义的操作

资源

管理员可以使用 Amazon JSON策略来指定谁有权访问什么。也就是说,哪个主体 可以对什么资源执行操作,以及在什么条件下执行。

ResourceJSON策略元素指定要应用操作的一个或多个对象。语句必须包含 ResourceNotResource 元素。最佳做法是,使用资源的 Amazon 资源名称 (ARN) 来指定资源。对于支持特定资源类型(称为资源级权限)的操作,您可以执行此操作。

对于不支持资源级权限的操作(如列出操作),请使用通配符 (*) 指示语句应用于所有资源。

"Resource": "*"

CodePipeline 资源和运营

在中 CodePipeline,主要资源是管道。在策略中,您可以使用 Amazon 资源名称 (ARN) 来标识该政策适用的资源。 CodePipeline 支持可与主资源一起使用的其他资源,例如阶段、操作和自定义操作。这些资源称作子资源。这些资源和子资源具有与之关联的唯一 Amazon 资源名称 (ARNs)。有关更多信息ARNs,请参阅中的 Amazon 资源名称 (ARN) 和 Amazon Web Services 服务 命名空间Amazon Web Services 一般参考要将管道ARN与您的管道相关联,您可以在控制台的 “设置” ARN 下找到该管道。有关更多信息,请参阅 查看管道ARN和服务角色ARN(控制台)

资源类型 ARN格式

管道

arn: aws: 代码管道:region:account:pipeline-name

舞台

arn: aws: 代码管道:region:account:pipeline-name/stage-name

操作

arn: aws: 代码管道:region:account:pipeline-name/stage-name/action-name

自定义操作 arn: aws: 代码管道:region:account:操作类型:owner/category/provider/version

所有 CodePipeline 资源

arn:aws:codepipeline:*

指定区域中指定账户拥有的所有 CodePipeline 资源

arn: aws: 代码管道:region:account:*

注意

中的大多数服务都 Amazon 将冒号 (:) 或正斜杠 (/) 视为中的ARNs相同字符。但是,在事件模式和规则中 CodePipeline 使用精确匹配。创建事件模式时,请务必使用正确的ARN字符,以便它们与您要匹配的管道中的ARN语法相匹配。

在中 CodePipeline,有些API调用支持资源级权限。资源级权限表示API调用是否可以指定资源ARN,或者该API调用是否只能使用通配符指定所有资源。CodePipeline 权限参考有关资源级权限的详细说明以及支持资源级权限的 CodePipeline API调用列表,请参阅。

例如,您可以指定特定的管道 (myPipeline) 在你的陈述中使用它ARN如下:

"Resource": "arn:aws:codepipeline:us-east-2:111222333444:myPipeline"

还可以使用通配符(*)指定属于特定账户的所有管道,如下所示:

"Resource": "arn:aws:codepipeline:us-east-2:111222333444:*"

要指定所有资源,或者如果特定API操作不支持ARNs,请在Resource元素中使用 (*) 通配符,如下所示:

"Resource": "*"
注意

创建IAM策略时,请遵循授予最低权限的标准安全建议,即仅授予执行任务所需的权限。如果API呼叫支持ARNs,则它支持资源级权限,您无需使用 (*) 通配符。

有些 CodePipeline API调用接受多个资源(例如,GetPipeline)。要在单个语句中指定多个资源,请ARNs用逗号分隔它们,如下所示:

"Resource": ["arn1", "arn2"]

CodePipeline 提供了一组使用 CodePipeline 资源的操作。有关可用操作的列表,请参阅 CodePipeline 权限参考

条件键

管理员可以使用 Amazon JSON策略来指定谁有权访问什么。也就是说,哪个主体可以对什么资源执行操作,以及在什么条件下执行。

Condition 元素(或 Condition )中,可以指定语句生效的条件。Condition 元素是可选的。您可以创建使用条件运算符(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。

如果您在一个语句中指定多个 Condition 元素,或在单个 Condition 元素中指定多个键,则 Amazon 使用逻辑 AND 运算评估它们。如果您为单个条件键指定多个值,则使用逻辑OR运算来 Amazon 评估条件。在授予语句的权限之前必须满足所有的条件。

在指定条件时,您也可以使用占位符变量。例如,只有在资源上标有IAM用户的用户名时,您才能向IAM用户授予访问该资源的权限。有关更多信息,请参阅《IAM用户指南》中的IAM策略元素:变量和标签

Amazon 支持全局条件密钥和特定于服务的条件密钥。要查看所有 Amazon 全局条件键,请参阅《IAM用户指南》中的Amazon 全局条件上下文密钥

CodePipeline 定义自己的条件键集,还支持使用一些全局条件键。要查看所有 Amazon 全局条件键,请参阅IAM用户指南中的Amazon 全局条件上下文密钥

所有 Amazon EC2 操作都支持aws:RequestedRegionec2:Region条件键。有关更多信息,请参阅示例:限制对特定区域的访问

要查看 CodePipeline 条件键列表,请参阅IAM用户指南 Amazon CodePipeline中的条件键。要了解您可以使用条件键的操作和资源,请参阅操作定义者 Amazon CodePipeline

示例

要查看 CodePipeline 基于身份的策略的示例,请参阅。Amazon CodePipeline 基于身份的策略示例

CodePipeline 基于资源的政策

CodePipeline 不支持基于资源的策略。但是,提供了与之相关的 S3 服务的基于资源的策略示例。 CodePipeline

示例

要查看 CodePipeline 基于资源的策略的示例,请参阅 Amazon CodePipeline 基于资源的策略示例

基于 CodePipeline 标签的授权

您可以为 CodePipeline 资源附加标签或在请求中传递标签 CodePipeline。要基于标签控制访问,您需要使用 codepipeline:ResourceTag/key-nameaws:RequestTag/key-nameaws:TagKeys 条件键在策略的条件元素中提供标签信息。有关为 CodePipeline 资源添加标签的更多信息,请参阅标记资源

要查看基于身份的策略(用于根据资源上的标签来限制对该资源的访问)的示例,请参阅使用标签控制对 CodePipeline资源的访问权限

CodePipeline IAM角色

IAM角色是您 Amazon 账户中具有特定权限的实体。

将临时证书与 CodePipeline

您可以使用临时证书通过联合身份登录、代入IAM角色或担任跨账户角色。您可以通过调用AssumeRole或之类的 Amazon STS API操作来获取临时安全证书GetFederationToken

CodePipeline 支持使用临时证书。

服务角色

CodePipeline 允许服务代表您担任服务角色。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在您的IAM账户中,并归该账户所有。这意味着IAM管理员可以更改此角色的权限。但是,这样做可能会中断服务的功能。

CodePipeline 支持服务角色。