ECS CodeDeploy IAMRolle bei Amazon - Amazon Elastic Container Service
Die CodeDeploy Rolle erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

ECS CodeDeploy IAMRolle bei Amazon

Bevor Sie den Bereitstellungstyp CodeDeploy Blau/Grün bei Amazon verwenden könnenECS, benötigt der CodeDeploy Service die Erlaubnis, Ihren ECS Amazon-Service in Ihrem Namen zu aktualisieren. Diese Berechtigungen werden von der CodeDeploy IAM Rolle (ecsCodeDeployRole) bereitgestellt.

Anmerkung

Benutzer benötigen außerdem Nutzungsberechtigungen CodeDeploy. Diese Berechtigungen werden unter beschriebenErforderliche Berechtigungen IAM.

Es werden zwei verwaltete Richtlinien bereitgestellt. Weitere Informationen finden Sie in einer der folgenden Informationen im Referenzhandbuch für AWS verwaltete Richtlinien:

Die CodeDeploy Rolle erstellen

Sie können die folgenden Verfahren verwenden, um eine CodeDeploy Rolle für Amazon zu erstellen. ECS

AWS Management Console
Um die Servicerolle für CodeDeploy (IAMKonsole) zu erstellen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich der IAM Konsole Rollen und anschließend Rolle erstellen aus.

  3. Wählen Sie für Vertrauenswürdige Entität die Option AWS-Service aus.

  4. Wählen CodeDeploySie für Service oder Anwendungsfall die Option und dann CodeDeploy - ECS Anwendungsfall aus.

  5. Wählen Sie Weiter.

  6. Vergewissern Sie sich, dass im Abschnitt Richtlinie für Zugriffsrechte anhängen die AWSCodeDeployRoleForECSRichtlinie ausgewählt ist.

  7. Wählen Sie Weiter.

  8. Geben Sie als Rollenname ecsCodeDeploy Role ein.

  9. Prüfen Sie die Rolle und klicken Sie dann auf Create Role (Rolle erstellen).

AWS CLI

Alle ersetzen user input mit deinen eigenen Informationen.

  1. Erstellen Sie eine Datei mit dem Namencodedeploy-trust-policy.json, die die Vertrauensrichtlinie enthält, die für die CodeDeploy IAM Rolle verwendet werden soll.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": ["codedeploy.amazonaws.com"]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  2. Erstellen Sie eine IAM Rolle ecsCodedeployRole mit dem Namen der Vertrauensrichtlinie, die Sie im vorherigen Schritt erstellt haben.

    aws iam create-role \
      --role-name ecsCodedeployRole \
      --assume-role-policy-document file://codedeploy-trust-policy.json

  3. Hängen Sie die AWSCodeDeployRoleForECS oder die AWSCodeDeployRoleForECSLimited verwaltete Richtlinie an die ecsTaskRole Rolle an.

    aws iam attach-role-policy \
      --role-name ecsCodedeployRole \
      --policy-arn arn:aws::iam::aws:policy/AWSCodeDeployRoleForECS
    aws iam attach-role-policy \
      --role-name ecsCodedeployRole \
      --policy-arn arn:aws::iam::aws:policy/AWSCodeDeployRoleForECSLimited

Wenn für die Aufgaben in Ihrem Service eine Aufgabenausführungsrolle erforderlich ist, müssen Sie der Rolle die iam:PassRole Berechtigung für jede Aufgabenausführungsrolle oder Aufgabenrollen-Außerkraftsetzung als CodeDeploy Richtlinie hinzufügen.

Berechtigungen für Rollen zur Aufgabenausführung

Wenn für die Aufgaben in Ihrem Service eine Aufgabenausführungsrolle erforderlich ist, müssen Sie der Rolle als iam:PassRole Richtlinie die Berechtigung für jede Aufgabenausführungsrolle oder Aufgabenrollenüberschreibung hinzufügen. CodeDeploy Weitere Informationen erhalten Sie unter Rolle bei der Ausführung von ECS IAM Amazon-Aufgaben und ECSIAMAmazon-Aufgabenrolle. Anschließend fügen Sie diese Richtlinie der Rolle hinzu CodeDeploy

Erstellen der -Richtlinie

AWS Management Console
Um den JSON Richtlinien-Editor zu verwenden, um eine Richtlinie zu erstellen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Policies (Richtlinien).

    Wenn Sie zum ersten Mal Policies (Richtlinien) auswählen, erscheint die Seite Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien). Wählen Sie Get Started.

  3. Wählen Sie oben auf der Seite Create policy (Richtlinie erstellen) aus.

  4. Wählen Sie im Bereich Policy-Editor die JSONOption aus.

  5. Geben Sie das folgende JSON Richtliniendokument ein:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsCodeDeployRole>"]
        }
    ]
}

  6. Wählen Sie Weiter.

    Anmerkung

    Sie können jederzeit zwischen den Optionen Visual und JSONEditor wechseln. Wenn Sie jedoch Änderungen vornehmen oder im Visual Editor auf Weiter klicken, kann es IAM sein, dass Ihre Richtlinie neu strukturiert wird, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Neustrukturierung von Richtlinien.

  7. Geben Sie auf der Seite Prüfen und erstellen unter Richtlinienname einen Namen und unter Beschreibung (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie Permissions defined in this policy (In dieser Richtlinie definierte Berechtigungen), um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden.

  8. Wählen Sie Create policy (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.

Nachdem Sie die Richtlinie erstellt haben, fügen Sie die Richtlinie der CodeDeploy Rolle hinzu. Informationen zum Anhängen der Richtlinie an die Rolle finden Sie unter Ändern einer Rollenberechtigungsrichtlinie (Konsole) im AWS Identity and Access Management Benutzerhandbuch.

AWS CLI

Alle ersetzen user input mit deinen eigenen Informationen.

  1. Erstellen Sie eine Datei mit dem Namen blue-green-iam-passrole.json und folgendem Inhalt.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsCodeDeployRole>"]
        }
    ]
}

  2. Verwenden Sie den folgenden Befehl, um die IAM Richtlinie mithilfe der JSON Richtliniendokumentdatei zu erstellen.

    aws iam create-policy \
      --policy-name cdTaskExecutionPolicy \
      --policy-document file://blue-green-iam-passrole.json

  3. Rufen Sie ARN die IAM Richtlinie ab, die Sie mit dem folgenden Befehl erstellt haben.

    aws iam list-policies --scope Local --query 'Policies[?PolicyName==`cdTaskExecutionPolicy`].Arn'

  4. Verwenden Sie den folgenden Befehl, um die Richtlinie an die CodeDeploy IAM Rolle anzuhängen.

    aws iam attach-role-policy \
      --role-name ecsCodedeployRole \
      --policy-arn arn:aws:iam:111122223333:aws:policy/cdTaskExecutionPolicy