Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Amazon ECS CodeDeploy IAM-Rolle
Bevor Sie den Bereitstellungstyp CodeDeploy Blau/Grün mit Amazon ECS verwenden können, benötigt der CodeDeploy Service Berechtigungen, um Ihren Amazon ECS-Service in Ihrem Namen zu aktualisieren. Diese Berechtigungen werden von der CodeDeploy IAM-Rolle () `ecsCodeDeployRole` bereitgestellt.
**Anmerkung**
Benutzer benötigen außerdem Nutzungsberechtigungen CodeDeploy. Diese Berechtigungen werden unter beschrieben[Erforderliche IAM-Berechtigungen](deployment-type-bluegreen.md#deployment-type-bluegreen-IAM).
Es werden zwei verwaltete Richtlinien bereitgestellt. Weitere Informationen finden Sie unter einem der folgenden Einträgen im *Referenzleitfaden für AWS -verwaltete Richtlinien*:
+ [AWSCodeDeployRoleForECS](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeDeployRoleForECS.html) — erteilt die CodeDeploy Erlaubnis, jede Ressource mithilfe der zugehörigen Aktion zu aktualisieren.
+ [AWSCodeDeployRoleForECSLimited](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeDeployRoleForECSLimited.html)- gewährt CodeDeploy eingeschränktere Berechtigungen.
## Die CodeDeploy Rolle erstellen
Sie können die folgenden Verfahren verwenden, um eine CodeDeploy Rolle für Amazon ECS zu erstellen.
------
#### [ AWS-Managementkonsole ]
**Um die Servicerolle für CodeDeploy (IAM-Konsole) zu erstellen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Klicken Sie im Navigationsbereich der IAM-Konsole auf **Rollen**, und wählen Sie dann **Rolle erstellen**.
1. Wählen Sie für **Vertrauenswürdige Entität** die Option **AWS-Service** aus.
1. Wählen **CodeDeploy**Sie für **Service oder Anwendungsfall** die Option **CodeDeploy - ECS-Anwendungsfall** aus.
1. Wählen Sie **Weiter** aus.
1. Stellen Sie sicher, dass im Abschnitt **Richtlinie für Zugriffsrechte anhängen** die **AWSCodeDeployRoleForECS-Richtlinie** ausgewählt ist.
1. Wählen Sie **Weiter** aus.
1. Geben Sie **als Rollenname ecsCodeDeploy** **Role** ein.
1. Prüfen Sie die Rolle und klicken Sie dann auf **Create Role (Rolle erstellen)**.
------
#### [ AWS CLI ]
Ersetzen Sie alles *user input* durch Ihre eigenen Informationen.
1. Erstellen Sie eine Datei mit dem Namen`codedeploy-trust-policy.json`, die die Vertrauensrichtlinie enthält, die für die CodeDeploy IAM-Rolle verwendet werden soll.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": ["codedeploy.amazonaws.com"]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Erstellen Sie eine IAM-Rolle namens `ecsCodedeployRole`, die im vorherigen Schritt erstellte Vertrauensrichtlinie verwendet.
```
aws iam create-role \
--role-name ecsCodedeployRole \
--assume-role-policy-document file://codedeploy-trust-policy.json
```
1. Hängen Sie die verwaltete Richtlinie `AWSCodeDeployRoleForECS` oder `AWSCodeDeployRoleForECSLimited` an die Rolle `ecsTaskRole` an.
```
aws iam attach-role-policy \
--role-name ecsCodedeployRole \
--policy-arn arn:aws:iam::aws:policy/AWSCodeDeployRoleForECS
```
```
aws iam attach-role-policy \
--role-name ecsCodedeployRole \
--policy-arn arn:aws:iam::aws:policy/AWSCodeDeployRoleForECSLimited
```
------
Wenn für die Aufgaben in Ihrem Service eine Rolle zur Aufgabenausführung erforderlich ist, müssen Sie der Rolle die `iam:PassRole` Berechtigung für jede Aufgabenausführungsrolle oder Aufgabenrollenüberschreibung als Richtlinie hinzufügen. CodeDeploy
### Berechtigungen der Aufgabenausführungsrolle
Wenn für die Aufgaben in Ihrem Service eine Rolle zur Aufgabenausführung erforderlich ist, müssen Sie der Rolle die `iam:PassRole` Berechtigung für jede Aufgabenausführungsrolle oder Aufgabenrollenüberschreibung als Richtlinie hinzufügen. CodeDeploy Weitere Informationen erhalten Sie unter [IAM-Rolle für die Amazon-ECS-Aufgabenausführung](task_execution_IAM_role.md) und [Aufgaben-IAM-Rolle für Amazon ECS](task-iam-roles.md). Anschließend fügen Sie diese Richtlinie der CodeDeploy Rolle hinzu
Erstellen der -Richtlinie
------
#### [ AWS-Managementkonsole ]
**So verwenden Sie den JSON-Richtlinieneditor zum Erstellen einer Richtlinie**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich auf der linken Seite **Policies (Richtlinien)**.
Wenn Sie zum ersten Mal **Policies (Richtlinien)** auswählen, erscheint die Seite **Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien)**. Wählen Sie **Get Started**.
1. Wählen Sie oben auf der Seite **Create policy (Richtlinie erstellen)** aus.
1. Wählen Sie im Bereich **Policy editor** (Richtlinien-Editor) die Option **JSON** aus.
1. Geben Sie folgendes JSON-Richtliniendokument ein:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": ["arn:aws:iam:::role/"]
}
]
}
```
1. Wählen Sie **Weiter** aus.
**Anmerkung**
Sie können jederzeit zwischen den Editoroptionen **Visual** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder im **Visual**-Editor **Weiter** wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Richtlinienrestrukturierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) im *IAM-Benutzerhandbuch*.
1. Geben Sie auf der Seite **Prüfen und erstellen** unter **Richtlinienname** einen Namen und unter **Beschreibung** (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie **Permissions defined in this policy** (In dieser Richtlinie definierte Berechtigungen), um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden.
1. Wählen Sie **Create policy** (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.
Nachdem Sie die Richtlinie erstellt haben, fügen Sie die Richtlinie der CodeDeploy Rolle hinzu. Informationen zum Anhängen der Richtlinie an die Rolle finden Sie unter [Aktualisieren der Berechtigungen für eine Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html) im *Benutzerhandbuch für AWS Identity and Access Management *.
------
#### [ AWS CLI ]
Ersetzen Sie alles *user input* durch Ihre eigenen Informationen.
1. Erstellen Sie eine Datei mit dem Namen `blue-green-iam-passrole.json` und folgendem Inhalt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": ["arn:aws:iam::*:role/code-deploy-role"],
"Condition": {
"StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
}
}
]
}
```
------
1. Verwenden Sie den folgenden -Befehl, um die IAM-Richtlinie mit der JSON-Richtliniendokumentdatei zu erstellen.
```
aws iam create-policy \
--policy-name cdTaskExecutionPolicy \
--policy-document file://blue-green-iam-passrole.json
```
1. Rufen Sie mit dem folgenden Befehl den ARN der IAM-Richtlinie ab, die Sie erstellt haben.
```
aws iam list-policies --scope Local --query 'Policies[?PolicyName==`cdTaskExecutionPolicy`].Arn'
```
1. Verwenden Sie den folgenden Befehl, um die Richtlinie an die CodeDeploy IAM-Rolle anzuhängen.
```
aws iam attach-role-policy \
--role-name ecsCodedeployRole \
--policy-arn arn:aws:iam:111122223333:aws:policy/cdTaskExecutionPolicy
```
------