Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in AWS CodeDeploy
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivität unserer Sicherheitsmaßnahmen im Rahmen der [AWS -Compliance-Programme](https://aws.amazon.com/compliance/programs/) regelmäßig. Weitere Informationen zu den Compliance-Programmen, die für gelten AWS CodeDeploy, finden Sie unter [AWS Services in Umfang nach Compliance-Programmen](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, die Anforderungen Ihres Unternehmens und die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Nutzung anwenden können CodeDeploy. In den folgenden Themen erfahren Sie, wie Sie die Konfiguration vornehmen CodeDeploy , um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Sie bei der Überwachung und Sicherung Ihrer CodeDeploy Ressourcen unterstützen.
**Topics**
+ [Datenschutz in AWS CodeDeploy](data-protection.md)
+ [Identitäts- und Zugriffsmanagement für AWS CodeDeploy](security-iam.md)
+ [Anmeldung und Überwachung CodeDeploy](incident-response.md)
+ [Überprüfung der Einhaltung der Vorschriften für AWS CodeDeploy](compliance-validation.md)
+ [Resilienz in AWS CodeDeploy](disaster-recovery-resiliency.md)
+ [Sicherheit der Infrastruktur in AWS CodeDeploy](infrastructure-security.md)
# Datenschutz in AWS CodeDeploy
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) und geteilter Verantwortung gilt für den Datenschutz in AWS CodeDeploy. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit der Konsole, der CodeDeploy API oder auf andere AWS-Services Weise arbeiten oder diese verwenden. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
## Richtlinie für den Datenverkehr zwischen Netzwerken
CodeDeploy ist ein vollständig verwalteter Bereitstellungsservice, der EC2-Instances, Lambda-Funktionen, Amazon ECS und lokale Server unterstützt. Bei EC2-Instances und lokalen Servern kommuniziert ein hostbasierter Agent über TLS mit. CodeDeploy
Derzeit ist für die Kommunikation zwischen dem Agenten und dem Service eine ausgehende Internetverbindung erforderlich, sodass der Agent mit den öffentlichen Endpunkten CodeDeploy und den Amazon S3-Serviceendpunkten kommunizieren kann. In einer Virtual Private Cloud kann dies mit einem Internet-Gateway, einer Site-to-Site VPN-Verbindung zu Ihrem Unternehmensnetzwerk oder einer direkten Verbindung erfolgen.
Der CodeDeploy Agent unterstützt HTTP-Proxys.
Amazon VPC-Endpunkte, betrieben von AWS PrivateLink, sind CodeDeploy in bestimmten Regionen verfügbar. Details hierzu finden Sie unter [Verwendung CodeDeploy mit Amazon Virtual Private Cloud](vpc-endpoints.md).
**Anmerkung**
Der CodeDeploy Agent ist nur erforderlich, wenn Sie die Bereitstellung auf einer Amazon EC2/On-Premises-Rechenplattform durchführen. Der Agent ist für Bereitstellungen, die Amazon ECS oder die AWS Lambda Rechenplattform verwenden, nicht erforderlich.
## Verschlüsselung im Ruhezustand
Der Kundencode ist nicht gespeichert in CodeDeploy. Versendet als Bereitstellungsdienst Befehle an den CodeDeploy Agenten, CodeDeploy der auf EC2-Instances oder lokalen Servern ausgeführt wird. Der CodeDeploy Agent führt die Befehle dann mithilfe von TLS aus. Servicemodelldaten für Bereitstellungen, Bereitstellungskonfigurationen, Bereitstellungsgruppen, Anwendungen und Anwendungsrevisionen werden in Amazon DynamoDB gespeichert und im Ruhezustand unter Verwendung von AWS-eigener Schlüssel, Eigentümer und Verwaltet von verschlüsselt. CodeDeploy [Weitere Informationen finden Sie unter s.AWS-eigener Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)
## Verschlüsselung während der Übertragung
Der CodeDeploy Agent initiiert die gesamte Kommunikation CodeDeploy über Port 443. Der Agent fragt CodeDeploy ab und wartet auf einen Befehl. Der CodeDeploy Agent ist Open Source. Die gesamte service-to-service client-to-service Kommunikation wird bei der Übertragung mit TLS verschlüsselt. Dies schützt Kundendaten bei der Übertragung zwischen CodeDeploy und anderen Diensten wie Amazon S3.
## Verwaltung von Verschlüsselungsschlüsseln
Sie müssen keine Verschlüsselungsschlüssel verwalten. Die Daten des CodeDeploy Servicemodells werden mit einem verschlüsselt AWS-eigener Schlüssel, der Eigentümer ist und von diesem verwaltet wird CodeDeploy. Weitere Informationen finden Sie unter [AWS-eigener Schlüssel s.](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)
# Identitäts- und Zugriffsmanagement für AWS CodeDeploy
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Ressourcen zu verwenden. CodeDeploy IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Wie AWS CodeDeploy funktioniert mit IAM](security_iam_service-with-iam.md)
+ [AWS verwaltete (vordefinierte) Richtlinien für CodeDeploy](managed-policies.md)
+ [CodeDeploy Aktualisierungen der AWS verwalteten Richtlinien](managed-policies-updates.md)
+ [AWS CodeDeploy Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)
+ [Problembehandlung bei AWS CodeDeploy Identität und Zugriff](security_iam_troubleshoot.md)
+ [CodeDeploy Referenz zu Berechtigungen](auth-and-access-control-permissions-reference.md)
+ [Serviceübergreifende Confused-Deputy-Prävention](security_confused_deputy.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Problembehandlung bei AWS CodeDeploy Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Wie AWS CodeDeploy funktioniert mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [AWS CodeDeploy Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Benutzer und Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Wie AWS CodeDeploy funktioniert mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf zu verwalten CodeDeploy, sollten Sie wissen, mit welchen IAM-Funktionen Sie verwenden können. CodeDeploy Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter [AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
**Topics**
+ [CodeDeploy identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies)
+ [CodeDeploy ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisierung auf der Grundlage von Tags CodeDeploy](#security_iam_service-with-iam-tags)
+ [CodeDeploy IAM-Rollen](#security_iam_service-with-iam-roles)
## CodeDeploy identitätsbasierte Richtlinien
Mit identitätsbasierten IAM-Richtlinien können Sie zulässige oder verweigerte Aktionen und Ressourcen sowie die Bedingungen angeben, unter denen Aktionen zugelassen oder verweigert werden. CodeDeploy unterstützt Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu den Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie unter [Referenz zu den IAM-JSON-Richtlinienelementen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Bei Richtlinienaktionen wird das `codedeploy:` Präfix vor der Aktion CodeDeploy verwendet. Die `codedeploy:GetApplication`-Berechtigung erteilt dem Benutzer zum Beispiel Berechtigungen zum Ausführen der `GetApplication`-Operation. Richtlinienerklärungen müssen `Action` entweder ein `NotAction` Oder-Element enthalten. CodeDeploy definiert einen eigenen Satz von Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
```
"Action": [
"codedeploy:action1",
"codedeploy:action2"
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie die folgende Aktion zur Angabe aller Aktionen einschließen, die mit dem Wort `Describe` beginnen:
```
"Action": "ec2:Describe*"
```
Eine Liste der CodeDeploy [Aktionen finden Sie AWS CodeDeploy im *IAM-Benutzerhandbuch* unter Definierte Aktionen von](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscodedeploy.html#awscodedeploy-actions-as-permissions).
Eine Tabelle mit einer Liste aller CodeDeploy API-Aktionen und der Ressourcen, für die sie gelten, finden Sie unter[CodeDeploy Referenz zu Berechtigungen](auth-and-access-control-permissions-reference.md).
### Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Sie können in Ihrer Anweisung beispielsweise eine Bereitstellungsgruppe (*myDeploymentGroup*) angeben, indem Sie ihren ARN wie folgt verwenden:
```
"Resource": "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:myApplication/myDeploymentGroup"
```
Sie können auch alle Bereitstellungsgruppen angeben, die zu einem Konto gehören, indem Sie das Platzhalterzeichen (\$1) wie folgt verwenden:
```
"Resource": "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*"
```
Um alle Ressourcen anzugeben oder falls eine API-Aktion dies nicht unterstützt ARNs, verwenden Sie das Platzhalterzeichen (\$1) im `Resource` Element wie folgt:
```
"Resource": "*"
```
Einige CodeDeploy API-Aktionen akzeptieren mehrere Ressourcen (z. B.`BatchGetDeploymentGroups`). Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt ARNs durch Kommas:
```
"Resource": ["arn1", "arn2"]
```
CodeDeploy stellt eine Reihe von Operationen für die Arbeit mit den CodeDeploy Ressourcen bereit. Eine Liste der verfügbaren Operationen finden Sie unter [CodeDeploy Referenz zu Berechtigungen](auth-and-access-control-permissions-reference.md).
Eine Liste der CodeDeploy Ressourcentypen und ihrer Eigenschaften ARNs finden Sie unter [Resources Defined by AWS CodeDeploy](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscodedeploy.html) im *IAM-Benutzerhandbuch*. Informationen zu den Aktionen, in denen Sie den ARN jeder Ressource angeben können, finden Sie unter [Aktionen Definiert von AWS CodeDeploy](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscodedeploy.html#awscodedeploy-actions-as-permissions).
#### CodeDeploy Ressourcen und Operationen
CodeDeployIn ist die primäre Ressource eine Bereitstellungsgruppe. In einer Richtlinie verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren, für die die Richtlinie gilt. CodeDeploy unterstützt andere Ressourcen, die mit Bereitstellungsgruppen verwendet werden können, einschließlich Anwendungen, Bereitstellungskonfigurationen und Instances. Diese werden als Unterressourcen bezeichnet. Diesen Ressourcen und Unterressourcen sind eindeutige Merkmale ARNs zugeordnet. Weitere Informationen finden Sie unter [Amazon-Ressourcennamen (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) in der *Allgemeine Amazon Web Services-Referenz*.
| Ressourcentyp | ARN-Format |
| --- | --- |
| Bereitstellungsgruppe | `arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name` |
| Anwendung | `arn:aws:codedeploy:region:account-id:application:application-name` |
| Bereitstellungskonfiguration | `arn:aws:codedeploy:region:account-id:deploymentconfig:deployment-configuration-name` |
| Instance | `arn:aws:codedeploy:region:account-id:instance/instance-ID` |
| Alle CodeDeploy Ressourcen | `arn:aws:codedeploy:*` |
| Alle CodeDeploy Ressourcen, die dem angegebenen Konto in der angegebenen Region gehören | `arn:aws:codedeploy:region:account-id:*` |
**Anmerkung**
Die meisten Dienste in AWS behandeln einen Doppelpunkt (:) oder einen Schrägstrich (/) als dasselbe Zeichen in ARNs. CodeDeploy Verwendet jedoch eine exakte Übereinstimmung in den Ressourcenmustern und Regeln. Verwenden Sie also die richtigen ARN-Zeichen zum Erstellen von Ereignismustern, sodass sie mit der ARN-Syntax in der Ressource übereinstimmen.
### Bedingungsschlüssel
CodeDeploy stellt keine dienstspezifischen Bedingungsschlüssel bereit, unterstützt aber die Verwendung einiger globaler Bedingungsschlüssel. Weitere Informationen finden Sie unter [Globale AWS -Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
### Beispiele
Beispiele für CodeDeploy identitätsbasierte Richtlinien finden Sie unter. [AWS CodeDeploy Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)
## CodeDeploy ressourcenbasierte Richtlinien
CodeDeploy unterstützt keine ressourcenbasierten Richtlinien. Ein Beispiel für eine detaillierte Seite mit ressourcenbasierten Richtlinien finden Sie unter [Verwenden](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) ressourcenbasierter Richtlinien für. AWS Lambda
## Autorisierung auf der Grundlage von Tags CodeDeploy
CodeDeploy unterstützt nicht das Markieren von Ressourcen oder das Steuern des Zugriffs auf der Grundlage von Tags.
## CodeDeploy IAM-Rollen
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität in Ihrem AWS Konto, die über bestimmte Berechtigungen verfügt.
### Verwenden temporärer Anmeldeinformationen mit CodeDeploy
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder aufrufen [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
CodeDeploy unterstützt die Verwendung temporärer Anmeldeinformationen.
### Service-verknüpfte Rollen
CodeDeploy unterstützt keine dienstbezogenen Rollen.
### Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem AWS Konto angezeigt und gehören dem Konto. Das bedeutet, dass ein Benutzer die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
CodeDeploy unterstützt Servicerollen.
### Auswahl einer IAM-Rolle in CodeDeploy
Wenn Sie eine Bereitstellungsgruppenressource in erstellen CodeDeploy, müssen Sie eine Rolle auswählen, mit der Sie in Ihrem Namen auf Amazon EC2 zugreifen können CodeDeploy . Wenn Sie zuvor eine Servicerolle oder serviceverknüpfte Rolle erstellt haben, stellt Ihnen CodeDeploy eine Liste mit Rollen bereit, aus denen Sie wählen können. Es ist wichtig, eine Rolle zu wählen, die Zugriff zum Starten und Stoppen von EC2-Instances ermöglicht.
# AWS verwaltete (vordefinierte) Richtlinien für CodeDeploy
AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM-Richtlinien, die von erstellt und verwaltet AWS werden. Diese AWS verwalteten Richtlinien gewähren Berechtigungen für allgemeine Anwendungsfälle, sodass Sie nicht erst untersuchen müssen, welche Berechtigungen erforderlich sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Liste der AWS verwalteten Richtlinien für CodeDeploy](#managed-policies-list)
+ [CodeDeploy verwaltete Richtlinien und Benachrichtigungen](#notifications-permissions)
## Liste der AWS verwalteten Richtlinien für CodeDeploy
Die folgenden AWS verwalteten Richtlinien, die Sie Benutzern in Ihrem Konto zuordnen können, sind spezifisch für CodeDeploy:
+ `AWSCodeDeployFullAccess`: Gewährt uneingeschränkten Zugriff auf CodeDeploy.
**Anmerkung**
AWSCodeDeployFullAccess gewährt keine Berechtigungen für Operationen in anderen Services, die für die Bereitstellung Ihrer Anwendungen erforderlich sind, wie Amazon EC2 und Amazon S3, sondern nur für spezifische Operationen von. CodeDeploy
+ `AWSCodeDeployDeployerAccess`: Erteilt die Genehmigung zur Registrierung und Bereitstellung von Revisionen.
+ `AWSCodeDeployReadOnlyAccess`: Gewährt schreibgeschützten Zugriff auf CodeDeploy.
+ `AWSCodeDeployRole`: Erlaubt CodeDeploy :
+ lesen Sie die Tags auf Ihren Instances oder identifizieren Sie Ihre Amazon EC2-Instances anhand der Amazon EC2 Auto Scaling-Gruppennamen
+ Amazon EC2 Auto Scaling-Gruppen, Lifecycle-Hooks, Skalierungsrichtlinien und Warm-Pool-Funktionen lesen, erstellen, aktualisieren und löschen
+ Informationen zu Amazon SNS SNS-Themen veröffentlichen
+ Informationen über CloudWatch Amazon-Alarme abrufen
+ Ressourcen im Elastic Load Balancing Service lesen und aktualisieren
Die Richtlinie enthält den folgenden Code:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"autoscaling:CompleteLifecycleAction",
"autoscaling:DeleteLifecycleHook",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeLifecycleHooks",
"autoscaling:PutLifecycleHook",
"autoscaling:RecordLifecycleActionHeartbeat",
"autoscaling:CreateAutoScalingGroup",
"autoscaling:CreateOrUpdateTags",
"autoscaling:UpdateAutoScalingGroup",
"autoscaling:EnableMetricsCollection",
"autoscaling:DescribePolicies",
"autoscaling:DescribeScheduledActions",
"autoscaling:DescribeNotificationConfigurations",
"autoscaling:SuspendProcesses",
"autoscaling:ResumeProcesses",
"autoscaling:AttachLoadBalancers",
"autoscaling:AttachLoadBalancerTargetGroups",
"autoscaling:PutScalingPolicy",
"autoscaling:PutScheduledUpdateGroupAction",
"autoscaling:PutNotificationConfiguration",
"autoscaling:DescribeScalingActivities",
"autoscaling:DeleteAutoScalingGroup",
"autoscaling:PutWarmPool",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:TerminateInstances",
"tag:GetResources",
"sns:Publish",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:DeregisterTargets"
],
"Resource": "*"
}
]
}
```
------
+ `AWSCodeDeployRoleForLambda`: CodeDeploy Erteilt Zugriffsberechtigungen AWS Lambda und alle anderen Ressourcen, die für eine Bereitstellung erforderlich sind.
+ `AWSCodeDeployRoleForECS`: CodeDeploy Erteilt die Genehmigung für den Zugriff auf Amazon ECS und alle anderen Ressourcen, die für eine Bereitstellung erforderlich sind.
+ `AWSCodeDeployRoleForECSLimited`: CodeDeploy Erteilt die Genehmigung für den Zugriff auf Amazon ECS und alle anderen Ressourcen, die für eine Bereitstellung erforderlich sind, mit den folgenden Ausnahmen:
+ In dem `hooks` Abschnitt der AppSpec Datei `CodeDeployHook_` können nur Lambda-Funktionen verwendet werden, deren Namen mit beginnen. Weitere Informationen finden Sie unter [AppSpec Abschnitt „Hooks“ für eine Amazon ECS-Bereitstellung](reference-appspec-file-structure-hooks.md#appspec-hooks-ecs).
+ S3-Bucket-Zugriff ist auf S3-Buckets mit dem Registrierungs-Tag `UseWithCodeDeploy` beschränkt, für das der Wert `true` festgelegt ist. Weitere Informationen finden Sie unter [Objekt-Tagging](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html).
+ `AmazonEC2RoleforAWSCodeDeployLimited`: CodeDeploy Erteilt die Erlaubnis, Objekte in einem CodeDeploy Amazon S3 S3-Bucket abzurufen und aufzulisten. Die Richtlinie enthält den folgenden Code:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*/CodeDeploy/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/UseWithCodeDeploy": "true"
}
}
}
]
}
```
------
Berechtigungen für einige Aspekte des Bereitstellungsprozesses werden zwei anderen Rollentypen erteilt, die im Namen von agieren CodeDeploy:
+ Ein *IAM-Instance-Profil* ist eine IAM-Rolle, die Sie Ihren Amazon EC2 EC2-Instances zuordnen. Dieses Profil beinhaltet die erforderlichen Berechtigungen für den Zugriff auf die Amazon S3 S3-Buckets oder GitHub Repositorys, in denen die Anwendungen gespeichert sind. Weitere Informationen finden Sie unter [Schritt 4: Erstellen Sie ein IAM-Instance-Profil für Ihre Amazon EC2 EC2-Instances](getting-started-create-iam-instance-profile.md).
+ Eine *Servicerolle* ist eine IAM-Rolle, die einem AWS Service Berechtigungen erteilt, sodass dieser auf Ressourcen zugreifen kann. AWS Die Richtlinien, die Sie der Servicerolle zuordnen, bestimmen, auf welche AWS Ressourcen der Dienst zugreifen kann und welche Aktionen er mit diesen Ressourcen ausführen kann. Denn CodeDeploy eine Servicerolle wird für Folgendes verwendet:
+ Um entweder die auf die Instances angewendeten Tags oder die Amazon EC2 Auto Scaling Scaling-Gruppennamen zu lesen, die den Instances zugeordnet sind. Auf diese Weise können CodeDeploy Instances identifiziert werden, auf denen Anwendungen bereitgestellt werden können.
+ Um Operationen auf Instances, Amazon EC2 Auto Scaling Scaling-Gruppen und Elastic Load Balancing Balancing-Load Balancers durchzuführen.
+ Um Informationen zu Amazon SNS SNS-Themen zu veröffentlichen, sodass Benachrichtigungen gesendet werden können, wenn bestimmte Bereitstellungs- oder Instance-Ereignisse eintreten.
+ Zum Abrufen von Informationen über CloudWatch Alarme, um die Alarmüberwachung für Bereitstellungen einzurichten.
Weitere Informationen finden Sie unter [Schritt 2: Erstellen Sie eine Servicerolle für CodeDeploy](getting-started-create-service-role.md).
Sie können auch benutzerdefinierte IAM-Richtlinien erstellen, um Berechtigungen für CodeDeploy Aktionen und Ressourcen zu erteilen. Sie fügen diese benutzerdefinierten Richtlinien den IAM-Rollen hinzu und weisen die Rollen dann Benutzern oder Gruppen zu, die die Berechtigungen benötigen.
## CodeDeploy verwaltete Richtlinien und Benachrichtigungen
CodeDeploy unterstützt Benachrichtigungen, um Benutzer über wichtige Änderungen an Bereitstellungen zu informieren. Zu den verwalteten Richtlinien CodeDeploy gehören auch Richtlinienerklärungen für die Benachrichtigungsfunktion. Weitere Informationen finden Sie unter [Was sind Benachrichtigungen?](https://docs.aws.amazon.com/codestar-notifications/latest/userguide/welcome.html).
### Berechtigungen für Benachrichtigungen in verwalteten Richtlinien mit vollem Zugriff
Die von `AWSCodeDeployFullAccess` verwaltete Richtlinie enthält die folgenden Anweisungen, um den vollständigen Zugriff auf Benachrichtigungen zu ermöglichen. Benutzer, für die diese verwaltete Richtlinie gilt, können auch Amazon SNS SNS-Themen für Benachrichtigungen erstellen und verwalten, Themen für Benutzer abonnieren und abbestellen und Themen auflisten, die als Ziele für Benachrichtigungsregeln ausgewählt werden können.
```
{
"Sid": "CodeStarNotificationsReadWriteAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:DeleteNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe"
],
"Resource": "*",
"Condition" : {
"ArnLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codedeploy:*:*:application:*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource"
],
"Resource": "*"
},
{
"Sid": "CodeStarNotificationsSNSTopicCreateAccess",
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:SetTopicAttributes"
],
"Resource": "arn:aws:sns:*:*:codestar-notifications*"
},
{
"Sid" : "CodeStarNotificationsChatbotAccess",
"Effect" : "Allow",
"Action" : [
"chatbot:DescribeSlackChannelConfigurations"
],
"Resource" : "*"
},
{
"Sid": "SNSTopicListAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
}
```
### Berechtigungen für Benachrichtigungen in schreibgeschützten verwalteten Richtlinien
Die verwaltete Richtlinie `AWSCodeDeployReadOnlyAccess` enthält die folgenden Anweisungen, um schreibgeschützten Zugriff auf Benachrichtigungen zu ermöglichen. Benutzer mit dieser verwalteten Richtlinie können Benachrichtigungen für Ressourcen anzeigen, sie können sie jedoch nicht erstellen, verwalten oder abonnieren.
```
{
"Sid": "CodeStarNotificationsPowerUserAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:DescribeNotificationRule"
],
"Resource": "*",
"Condition" : {
"ArnLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codedeploy:*:*:application:*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules"
],
"Resource": "*"
}
```
### Berechtigungen für Benachrichtigungen in anderen verwalteten Richtlinien
Die `AWSCodeDeployDeployerAccess` verwaltete Richtlinie umfasst die folgenden Anweisungen, die es Benutzern ermöglichen, Benachrichtigungen für Ressourcen zu erstellen, zu aktualisieren, zu abonnieren und anzuzeigen, diese jedoch nicht zu löschen. Benutzer, für die diese verwaltete Richtlinie gilt, können auch Amazon SNS SNS-Themen für Benachrichtigungen erstellen und verwalten.
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `codestar-notifications:CreateNotificationRule`— Ermöglicht Prinzipalen das Erstellen von Benachrichtigungen.
+ `codestar-notifications:DescribeNotificationRule`— Ermöglicht Prinzipalen das Abrufen von Informationen über Benachrichtigungen.
+ `codestar-notifications:UpdateNotificationRule`— Ermöglicht Prinzipalen, Benachrichtigungen zu aktualisieren.
+ `codestar-notifications:Subscribe`— Ermöglicht Prinzipalen, Benachrichtigungsaktualisierungen zu abonnieren.
+ `codestar-notifications:Unsubscribe`— Ermöglicht Prinzipalen das Abbestellen von Benachrichtigungsaktualisierungen.
+ `codestar-notifications:ListNotificationRules`— Ermöglicht Prinzipalen das Abrufen der Liste der Benachrichtigungsregeln.
+ `codestar-notifications:ListTargets`— Ermöglicht Prinzipalen das Abrufen der Zielliste.
+ `codestar-notifications:ListTagsforResource`— Ermöglicht es den Prinzipalen, die Liste der Tags abzurufen.
+ `codestar-notifications:ListEventTypes`— Ermöglicht es den Prinzipalen, die Liste der Ereignistypen abzurufen.
+ `chatbot:DescribeSlackChannelConfiguration`— Ermöglicht Prinzipalen das Abrufen von Informationen über Slack-Channel-Konfigurationen.
+ `sns:ListTopics`— Ermöglicht Principals, die Liste der Amazon SNS SNS-Themen für Benachrichtigungen abzurufen.
```
{
"Sid" : "CodeStarNotificationsReadWriteAccess",
"Effect" : "Allow",
"Action" : [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe"
],
"Resource" : "*",
"Condition" : {
"ArnLike" : {
"codestar-notifications:NotificationsForResource" : "arn:aws:codedeploy:*:*:application:*"
}
}
},
{
"Sid" : "CodeStarNotificationsListAccess",
"Effect" : "Allow",
"Action" : [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource",
"codestar-notifications:ListEventTypes"
],
"Resource" : "*"
},
{
"Sid" : "CodeStarNotificationsChatbotAccess",
"Effect" : "Allow",
"Action" : [
"chatbot:DescribeSlackChannelConfigurations"
],
"Resource" : "*"
},
{
"Sid" : "SNSTopicListAccess",
"Effect" : "Allow",
"Action" : [
"sns:ListTopics"
],
"Resource" : "*"
}
```
Weitere Informationen finden Sie unter [Identitäts- und Zugriffsmanagement für CodeStar AWS-Benachrichtigungen](https://docs.aws.amazon.com/codestar-notifications/latest/userguide/security-iam.html).
# CodeDeploy Aktualisierungen der AWS verwalteten Richtlinien
Zeigt Details zu Aktualisierungen der AWS verwalteten Richtlinien an, die CodeDeploy seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Um automatische Warnungen über Änderungen an dieser Seite erhalten, abonnieren Sie den RSS-Feed auf CodeDeploy [Dokumentverlauf](document-history.md).
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| `AWSCodeDeployDeployerAccess`verwaltete Richtlinie — Aktualisierungen vorhandener Richtlinien | Die `codestar-notifications:NotificationsForResource` Aktion wurde aktualisiert, um Änderungen der IAM-Richtlinienvalidierung zu unterstützen. Die ursprüngliche Ressource `arn:aws:codedeploy:*` wurde auf `arn:aws:codedeploy:*:*:application:*` aktualisiert. Weitere Informationen zu dieser Richtlinie finden Sie unter [Berechtigungen für Benachrichtigungen in anderen verwalteten Richtlinien](managed-policies.md#notifications-deployer). | 16. Dezember 2024 |
| `AWSCodeDeployReadOnlyAccess`verwaltete Richtlinie — Aktualisierungen der bestehenden Richtlinie | Die `codestar-notifications:NotificationsForResource` Aktion wurde aktualisiert, um Änderungen der IAM-Richtlinienvalidierung zu unterstützen. Die ursprüngliche Ressource `arn:aws:codedeploy:*` wurde auf `arn:aws:codedeploy:*:*:application:*` aktualisiert. Weitere Informationen zu dieser Richtlinie finden Sie unter [Berechtigungen für Benachrichtigungen in schreibgeschützten verwalteten Richtlinien](managed-policies.md#notifications-readonly). | 16. Dezember 2024 |
| `AWSCodeDeployFullAccess`verwaltete Richtlinie — Aktualisierungen der bestehenden Richtlinie | Die `codestar-notifications:NotificationsForResource` Aktion wurde aktualisiert, um Änderungen der IAM-Richtlinienvalidierung zu unterstützen. Die ursprüngliche Ressource `arn:aws:codedeploy:*` wurde auf `arn:aws:codedeploy:*:*:application:*` aktualisiert. Weitere Informationen zu dieser Richtlinie finden Sie unter [Berechtigungen für Benachrichtigungen in verwalteten Richtlinien mit vollem Zugriff](managed-policies.md#notifications-fullaccess). | 16. Dezember 2024 |
| `AWSCodeDeployRole`verwaltete Richtlinie — Aktualisierungen der bestehenden Richtlinie | Der Richtlinienerklärung wurden die `elasticloadbalancing:DescribeTargetGroupAttributes` Aktionen `elasticloadbalancing:DescribeLoadBalancerAttributes` und hinzugefügt, um Elastic Load Balancing Balancing-Änderungen zu unterstützen. Weitere Informationen zu dieser Richtlinie finden Sie unter [AWSCodeDeployRole](managed-policies.md#ACD-policy). | 16. August 2023 |
| `AWSCodeDeployFullAccess`verwaltete Richtlinie — Aktualisierungen der bestehenden Richtlinie | Die `chatbot:ListMicrosoftTeamsChannelConfigurations` Aktion wurde zur Richtlinienerklärung hinzugefügt, um Benachrichtigungsänderungen zu unterstützen. Weitere Informationen zu dieser Richtlinie finden Sie unter [AWSCodeDeployRole](managed-policies.md#ACD-policy). | 11. Mai 2023 |
| `AWSCodeDeployRole`verwaltete Richtlinie — Aktualisierungen der bestehenden Richtlinie | Die ` autoscaling:CreateOrUpdateTags` Aktion wurde zur Richtlinienerklärung hinzugefügt, um Amazon EC2 Auto Scaling Scaling-Autorisierungsänderungen zu unterstützen. Weitere Informationen zu dieser Richtlinie finden Sie unter [AWSCodeDeployRole](managed-policies.md#ACD-policy). | 3. Februar 2023 |
| `AmazonEC2RoleforAWSCodeDeployLimited`verwaltete Richtlinie — Aktualisierungen der bestehenden Richtlinie | Die `s3:ListBucket` Aktion, die die `s3:ExistingObjectTag/UseWithCodeDeploy` Bedingung enthält, wurde aus der Richtlinienerklärung entfernt. Weitere Informationen zu dieser Richtlinie finden Sie unter [AmazonEC2RoleforAWSCodeDeployLimited](managed-policies.md#EC2-policy). | 22. November 2021 |
| `AWSCodeDeployRole`verwaltete Richtlinie — Aktualisierungen der vorhandenen Richtlinie | Die `autoscaling:PutWarmPool` Aktion zur Unterstützung des [Hinzufügens von warmen Pools zu Amazon EC2 Auto Scaling Scaling-Gruppen](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-warm-pools.html#add-warm-pool-console/ec2/userguide/ec2-auto-scaling-warm-pools.html#add-warm-pool-console) für blaue/grüne Bereitstellungen wurde hinzugefügt. Unnötige doppelte Aktionen wurden entfernt. | 18. Mai 2021 |
| CodeDeploy hat begonnen, Änderungen zu verfolgen | CodeDeploy hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. | 18. Mai 2021 |
# AWS CodeDeploy Beispiele für identitätsbasierte Richtlinien
Standardmäßig sind Benutzer nicht berechtigt, Ressourcen zu erstellen oder zu ändern CodeDeploy. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Sie müssen IAM-Richtlinien erstellen, die IAM-Rollen die Erlaubnis gewähren, API-Operationen auf den angegebenen Ressourcen auszuführen, die sie benötigen. Anschließend müssen Sie diese IAM-Rollen Benutzern oder Gruppen zuordnen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
In werden identitätsbasierte Richtlinien verwendet CodeDeploy, um die Berechtigungen für die verschiedenen Ressourcen im Zusammenhang mit dem Bereitstellungsprozess zu verwalten. Sie können den Zugriff auf die folgenden Ressourcentypen steuern:
+ Anwendungen und Anwendungsrevisionen
+ Bereitstellungen
+ Bereitstellungskonfigurationen
+ Instances und lokale Instances
Die von Ressourcenrichtlinien gesteuerten Funktionen variieren je nach Ressourcentyp, wie in der folgenden Tabelle dargestellt:
****
| Ressourcentypen | Capabilities |
| --- | --- |
| Alle | Anzeigen und Auflisten von Details zu Ressourcen |
| Anwendungen Bereitstellungskonfigurationen Bereitstellungsgruppen | Erstellen von -Ressourcen Löschen von Ressourcen |
| Bereitstellungen | Erstellen von Bereitstellungen Stoppen von Bereitstellungen |
| Anwendungsrevisionen | Registrieren von Anwendungsrevisionen |
| Anwendungen Bereitstellungsgruppen | Aktualisieren von Ressourcen |
| On-Premises-Instances | Hinzufügen von Tags zu Instances Entfernen von Tags zu Instances Registrieren von Instances Abmelden von Instances |
Das folgende Beispiel zeigt eine Berechtigungsrichtlinie, die es einem Benutzer gestattet, die Bereitstellungsgruppe mit dem Namen **WordPress\$1DepGroup** zu löschen, die der Anwendung **WordPress\$1App** in der Region **us-west-2** zugeordnet ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"codedeploy:DeleteDeploymentGroup"
],
"Resource" : [
"arn:aws:codedeploy:us-west-2:111122223333:deploymentgroup:WordPress_App/WordPress_DepGroup"
]
}
]
}
```
------
**Topics**
+ [Beispiele für vom Kunden verwaltete Richtlinien](#customer-managed-policies)
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Konsole CodeDeploy](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
## Beispiele für vom Kunden verwaltete Richtlinien
In diesem Abschnitt finden Sie Beispielrichtlinien, die Berechtigungen für verschiedene CodeDeploy Aktionen gewähren. Diese Richtlinien funktionieren, wenn Sie die CodeDeploy API oder AWS SDKs die verwenden AWS CLI. Sie müssen zusätzliche Berechtigungen für Aktionen erteilen, die Sie in der Konsole ausführen. Weitere Informationen zum Erteilen von Konsolenberechtigungen finden Sie unter [Verwenden der Konsole CodeDeploy](#security_iam_id-based-policy-examples-console).
**Anmerkung**
Alle Beispiele verwenden die Region USA West (Oregon) (`us-west-2`) und enthalten ein fiktives Konto. IDs
**Beispiele**
+ [Beispiel 1: Erlauben Sie die Erlaubnis, CodeDeploy Operationen in einer einzelnen Region durchzuführen](#identity-based-policies-example-1)
+ [Beispiel 2: Erlauben Sie die Erlaubnis, Revisionen für eine einzelne Anwendung zu registrieren](#identity-based-policies-example-2)
+ [Beispiel 3: Erlauben Sie die Erlaubnis, Bereitstellungen für eine einzelne Bereitstellungsgruppe zu erstellen](#identity-based-policies-example-3)
### Beispiel 1: Erlauben Sie die Erlaubnis, CodeDeploy Operationen in einer einzelnen Region durchzuführen
Das folgende Beispiel gewährt Berechtigungen zur Durchführung von CodeDeploy Vorgängen nur in der **us-west-2** Region:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"codedeploy:*"
],
"Resource" : [
"arn:aws:codedeploy:us-west-2:111122223333:*"
]
}
]
}
```
------
### Beispiel 2: Erlauben Sie die Erlaubnis, Revisionen für eine einzelne Anwendung zu registrieren
Das folgende Beispiel erteilt Berechtigungen zum Registrieren von Anwendungsrevisionen für alle Anwendungen, die mit **Test** in der Region **us-west-2** beginnen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"codedeploy:RegisterApplicationRevision"
],
"Resource" : [
"arn:aws:codedeploy:us-west-2:111122223333:application:Test*"
]
}
]
}
```
------
### Beispiel 3: Erlauben Sie die Erlaubnis, Bereitstellungen für eine einzelne Bereitstellungsgruppe zu erstellen
Das folgende Beispiel gewährt die Berechtigung zum Erstellen von Bereitstellungen für die angegebene Bereitstellungsgruppe, die mit der genannten Anwendung **WordPress\$1DepGroup** verknüpft ist**WordPress\$1App**, für die angegebene benutzerdefinierte Bereitstellungskonfiguration und für alle Anwendungsversionen**ThreeQuartersHealthy**, die mit der genannten Anwendung verknüpft sind. **WordPress\$1App** Alle diese Ressourcen befinden sich in der Region **us-west-2**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"codedeploy:CreateDeployment"
],
"Resource" : [
"arn:aws:codedeploy:us-west-2:111122223333:deploymentgroup:WordPress_App/WordPress_DepGroup"
]
},
{
"Effect" : "Allow",
"Action" : [
"codedeploy:GetDeploymentConfig"
],
"Resource" : [
"arn:aws:codedeploy:us-west-2:111122223333:deploymentconfig:ThreeQuartersHealthy"
]
},
{
"Effect" : "Allow",
"Action" : [
"codedeploy:GetApplicationRevision"
],
"Resource" : [
"arn:aws:codedeploy:us-west-2:111122223333:application:WordPress_App"
]
}
]
}
```
------
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand CodeDeploy Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Konsole CodeDeploy
Wenn Sie die CodeDeploy Konsole verwenden, müssen Sie über Mindestberechtigungen verfügen, die es Ihnen ermöglichen, andere AWS Ressourcen für Ihr AWS Konto zu beschreiben. Für die Verwendung CodeDeploy in der CodeDeploy Konsole benötigen Sie Berechtigungen für die folgenden Dienste:
+ Amazon EC2 Auto Scaling
+ AWS CodeDeploy
+ Amazon Elastic Compute Cloud
+ Elastic Load Balancing
+ AWS Identity and Access Management
+ Amazon Simple Storage Service
+ Amazon Simple Notification Service
+ Amazon CloudWatch
Wenn Sie eine IAM-Richtlinie erstellen, die restriktiver ist als die erforderlichen Mindestberechtigungen, funktioniert die Konsole für Benutzer, die eine Rolle mit dieser IAM-Richtlinie haben, nicht wie vorgesehen. Um sicherzustellen, dass diese Benutzer die CodeDeploy Konsole weiterhin verwenden können, fügen Sie die `AWSCodeDeployReadOnlyAccess` verwaltete Richtlinie auch der Rolle hinzu, die dem Benutzer zugewiesen wurde, wie unter beschrieben. [AWS verwaltete (vordefinierte) Richtlinien für CodeDeploy](managed-policies.md)
Sie müssen Benutzern, die nur die API AWS CLI oder die CodeDeploy API aufrufen, keine Mindestberechtigungen für die Konsole gewähren.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Problembehandlung bei AWS CodeDeploy Identität und Zugriff
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit CodeDeploy und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, IAM durchzuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine CodeDeploy Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, IAM durchzuführen: PassRole
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zum Durchführen der `iam:PassRole`-Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an CodeDeploy übergeben zu können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in CodeDeploy auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine CodeDeploy Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob diese Funktionen CodeDeploy unterstützt werden, finden Sie unter. [Wie AWS CodeDeploy funktioniert mit IAM](security_iam_service-with-iam.md)
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# CodeDeploy Referenz zu Berechtigungen
Verwenden Sie die folgende Tabelle, wenn Sie Zugriffs- und Schreibberechtigungsrichtlinien einrichten, die Sie einer IAM-Identität zuordnen können (identitätsbasierte Richtlinien). In der Tabelle sind die einzelnen CodeDeploy API-Operationen, die Aktionen, für die Sie Berechtigungen zur Ausführung der Aktion gewähren können, und das Format des Ressourcen-ARN aufgeführt, der für die Erteilung von Berechtigungen verwendet werden soll. Sie geben die Aktionen im Feld `Action` der Richtlinie an. Sie geben einen ARN mit oder ohne Platzhalterzeichen (\$1) als Ressourcenwert im Feld `Resource` der Richtlinie an.
Sie können in Ihren CodeDeploy Richtlinien AWS Bedingungsschlüssel für alle Bereiche verwenden, um Bedingungen auszudrücken. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie unter [Verfügbare Schlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) im *IAM-Benutzerhandbuch*.
Um eine Aktion anzugeben, verwenden Sie das Präfix `codedeploy:` gefolgt vom Namen der API-Operation (z. B. `codedeploy:GetApplication` und `codedeploy:CreateApplication`). Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Komma (z. B. `"Action": ["codedeploy:action1", "codedeploy:action2"]`).
**Verwenden von Platzhalterzeichen**
Sie können ein Platzhalterzeichen (\$1) in dem ARN verwenden, um mehrere Aktionen oder Ressourcen anzugeben. `codedeploy:*`Gibt beispielsweise alle Aktionen an und gibt alle CodeDeploy Aktionen `codedeploy:Get*` an, die mit dem Wort beginnen. CodeDeploy `Get` Im folgenden Beispiel wird Zugriff auf alle Bereitstellungsgruppen mit Namen gewährt, die mit `West` beginnen und im Zusammenhang mit Anwendungen stehen, deren Namen mit `Test` beginnen.
```
arn:aws:codedeploy:us-west-2:444455556666:deploymentgroup:Test*/West*
```
Sie können Platzhalterzeichen für die in der folgenden Tabelle aufgeführten Ressourcen verwenden:
+ *application-name*
+ *deployment-group-name*
+ *deployment-configuration-name*
+ *instance-ID*
Platzhalter können nicht zusammen mit *region* oder *account-id* verwendet werden. Weitere Informationen zu Platzhaltern finden Sie unter [IAM Identifiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) im *Benutzerhandbuch von IAM*.
**Anmerkung**
Im ARN folgt bei jeder Aktion nach der Ressource ein Doppelpunkt (:). Sie können die Ressource auch mit einem Schrägstrich (/) verfolgen. Weitere Informationen finden Sie im [CodeDeployBeispiel ARNs](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-codedeploy).
Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.
**CodeDeploy API-Operationen und erforderliche Berechtigungen für Aktionen**
| CodeDeploy API-Operationen | Erforderliche Berechtigungen (API-Aktionen) | Ressourcen |
| --- | --- | --- |
| [AddTagsToOnPremisesInstances](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_AddTagsToOnPremisesInstances.html) | `codedeploy:AddTagsToOnPremisesInstances` Tags müssen zu einer oder mehreren lokalen Instances hinzugefügt werden. | arn:aws:codedeploy: ::instance/ *region* *account-id* *instance-ID* |
| [BatchGetApplicationRevisions](https://docs.aws.amazon.com/codedeploy/latest/APIReference/BatchGetApplicationRevisions.html) | `codedeploy:BatchGetApplicationRevisions` Informationen zu mehreren Anwendungsrevisionen im Zusammenhang mit dem -Benutzer müssen abgerufen werden. | arn:aws:codedeploy: *region* *account-id* ::Anwendung: *application-name* |
| [BatchGetApplications](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_BatchGetApplications.html) | `codedeploy:BatchGetApplications` Informationen zu mehreren Anwendungen im Zusammenhang mit dem -Benutzer müssen abgerufen werden. | arn:aws:codedeploy: *region* ::anwendung: \$1 *account-id* |
| [BatchGetDeploymentGroups](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_BatchGetDeploymentGroups.html) | `codedeploy:BatchGetDeploymentGroups` Informationen über mehrere Bereitstellungsgruppen im Zusammenhang mit dem -Benutzer müssen abgerufen werden. | arn:aws:codedeploy: *region* ::deploymentgroup*account-id*:/*application-name**deployment-group-name* |
| [BatchGetDeploymentInstances](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_BatchGetDeploymentInstances.html) | codedeploy:BatchGetDeploymentInstancesEs müssen Informationen über eine oder mehrere Instances in einer Bereitstellungsgruppe abgerufen werden. | arn:aws:codedeploy: *region* *account-id* ::deploymentgroup:/*application-name**deployment-group-name* |
| [BatchGetDeployments](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_BatchGetDeployments.html) | `codedeploy:BatchGetDeployments` Informationen über mehrere Bereitstellungen im Zusammenhang mit dem -Benutzer müssen abgerufen werden. | arn:aws:codedeploy: *region* *account-id* ::deploymentgroup:/*application-name**deployment-group-name* |
| [BatchGetOnPremisesInstances](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_BatchGetOnPremisesInstances.html) | `codedeploy:BatchGetOnPremisesInstances` Informationen über eine oder mehrere lokale Instances müssen abgerufen werden. | arn:aws:codedeploy:*region*:: \$1 *account-id* |
| [ContinueDeployment](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_ContinueDeployment.html) | `codedeploy:ContinueDeployment` Wird während einer blue/green Bereitstellung benötigt, um den Prozess der Registrierung von Instances in einer Ersatzumgebung mit einem Elastic Load Balancing Load Balancer zu starten. | arn:aws:codedeploy: ::deploymentgroup:/*region**account-id**application-name**deployment-group-name* |
| [CreateApplication](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_CreateApplication.html) | `codedeploy:CreateApplication` Es muss eine Anwendung im Zusammenhang mit dem -Benutzer erstellt werden. | arn:aws:codedeploy: *region* ::anwendung: *account-id* *application-name* |
| [CreateDeployment](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_CreateDeployment.html)¹ | `codedeploy:CreateDeployment` Es muss eine Bereitstellung für eine Anwendung im Zusammenhang mit dem -Benutzer erstellt werden. | arn:aws:codedeploy: ::deploymentgroup:/*region**account-id**application-name**deployment-group-name* |
| [CreateDeploymentConfig](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_CreateDeploymentConfig.html) | `codedeploy:CreateDeploymentConfig` Es muss eine benutzerdefinierte Bereitstellungskonfiguration im Zusammenhang mit dem -Benutzer erstellt werden. | arn:aws:codedeploy: *region* *account-id* ::deploymentconfig: *deployment-configuration-name* |
| [CreateDeploymentGroup](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_CreateDeploymentGroup.html) | `codedeploy:CreateDeploymentGroup` Es muss eine Bereitstellungsgruppe für eine Anwendung im Zusammenhang mit dem -Benutzer erstellt werden. | arn:aws:codedeploy: *region* *account-id* ::deploymentgroup:/*application-name**deployment-group-name* |
| [DeleteApplication](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_DeleteApplication.html) | `codedeploy:DeleteApplication` Es muss eine Anwendung im Zusammenhang mit dem -Benutzer gelöscht werden. | arn:aws:codedeploy: *region* ::anwendung: *account-id* *application-name* |
| [DeleteDeploymentConfig](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_DeleteDeploymentConfig.html) | `codedeploy:DeleteDeploymentConfig` Es muss eine benutzerdefinierte Bereitstellungskonfiguration im Zusammenhang mit dem -Benutzer gelöscht werden. | arn:aws:codedeploy: *region* ::deploymentconfig: *account-id* *deployment-configuration-name* |
| [DeleteDeploymentGroup](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_DeleteDeploymentGroup.html) | `codedeploy:DeleteDeploymentGroup` Es muss eine Bereitstellungsgruppe für eine Anwendung im Zusammenhang mit dem -Benutzer gelöscht werden. | arn:aws:codedeploy: *region* *account-id* ::deploymentgroup:/*application-name**deployment-group-name* |
| [DeregisterOnPremisesInstance](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_DeregisterOnPremisesInstance.html) | `codedeploy:DeregisterOnPremisesInstance` Eine lokale Instance muss abgemeldet werden. | arn:aws:codedeploy: *region* ::instance/ *account-id* *instance-ID* |
| [GetApplication](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_GetApplication.html) | `codedeploy:GetApplication` Informationen zu einer einzelnen Anwendung im Zusammenhang mit dem -Benutzer müssen abgerufen werden. | arn:aws:codedeploy: *region* *account-id* ::Anwendung: *application-name* |
| [GetApplicationRevision](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_GetApplicationRevision.html) | `codedeploy:GetApplicationRevision` Informationen über eine einzelne Anwendungsrevision für eine Anwendung im Zusammenhang mit dem -Benutzer müssen abgerufen werden. | arn:aws:codedeploy: *region* ::anwendung: *account-id* *application-name* |
| [GetDeployment](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_GetDeployment.html) | `codedeploy:GetDeployment` Informationen über eine einzelne Bereitstellung in einer Bereitstellungsgruppe für eine Anwendung im Zusammenhang mit dem -Benutzer müssen abgerufen werden. | arn:aws:codedeploy: *region* ::deploymentgroup:/*account-id**application-name**deployment-group-name* |
| [GetDeploymentConfig](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_GetDeploymentConfig.html) | `codedeploy:GetDeploymentConfig` Informationen zu einer einzelnen Bereitstellungskonfiguration im Zusammenhang mit dem -Benutzer müssen abgerufen werden. | arn:aws:codedeploy: *region* *account-id* ::deploymentconfig: *deployment-configuration-name* |
| [GetDeploymentGroup](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_GetDeploymentGroup.html) | `codedeploy:GetDeploymentGroup` Informationen über eine einzelne Bereitstellungsgruppe für eine Anwendung im Zusammenhang mit dem -Benutzer müssen abgerufen werden. | arn:aws:codedeploy: *region* *account-id* ::deploymentgroup:/*application-name**deployment-group-name* |
| [GetDeploymentInstance](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_GetDeploymentInstance.html) | `codedeploy:GetDeploymentInstance` Informationen zu einer einzelnen Instance in einer Bereitstellung im Zusammenhang mit dem -Benutzer müssen abgerufen werden. | arn:aws:codedeploy: *region* *account-id* ::deploymentgroup:/*application-name**deployment-group-name* |
| [GetDeploymentTarget](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_GetDeploymentTarget.html) | `codedeploy:GetDeploymentTarget` Informationen zu einem Ziel in einer Bereitstellung im Zusammenhang mit dem -Benutzer müssen abgerufen werden. | arn:aws:codedeploy: *region* *account-id* ::deploymentgroup:/*application-name**deployment-group-name* |
| [GetOnPremisesInstance](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_GetOnPremisesInstance.html) | `codedeploy:GetOnPremisesInstance` Informationen über eine einzelne lokale Instance müssen abgerufen werden. | arn:aws:codedeploy: *region* ::instance/ *account-id* *instance-ID* |
| [ListApplicationRevisions](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_ListApplicationRevisions.html) | `codedeploy:ListApplicationRevisions` Informationen über alle Anwendungsrevisionen für eine Anwendung im Zusammenhang mit dem -Benutzer müssen abgerufen werden. | arn:aws:codedeploy: *region* ::anwendung*account-id*: \$1 |
| [ListApplications](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_ListApplications.html) | `codedeploy:ListApplications` Informationen zu allen Anwendungen im Zusammenhang mit dem -Benutzer müssen abgerufen werden. | arn:aws:codedeploy: *region* ::anwendung*account-id*: \$1 |
| [ListDeploymentConfigs](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_ListDeploymentConfigs.html) | `codedeploy:ListDeploymentConfigs` Informationen zu allen Bereitstellungskonfiguration im Zusammenhang mit dem -Benutzer müssen abgerufen werden. | arn:aws:codedeploy: *region* ::deploymentconfig*account-id*: \$1 |
| [ListDeploymentGroups](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_ListDeploymentGroups.html) | `codedeploy:ListDeploymentGroups` Informationen über alle Bereitstellungsgruppen für eine Anwendung im Zusammenhang mit dem -Benutzer müssen abgerufen werden. | arn:aws:codedeploy: *region* *account-id* ::deploymentgroup: /\$1 *application-name* |
| [ListDeploymentInstances](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_ListDeploymentInstances.html) | `codedeploy:ListDeploymentInstances` Erforderlich, um Informationen über alle Instanzen in einer Bereitstellung abzurufen, die dem Benutzer oder Konto zugeordnet sind. AWS | arn:aws:codedeploy: ::deploymentgroup:/*region**account-id**application-name**deployment-group-name* |
| [ListDeployments](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_ListDeployments.html) | `codedeploy:ListDeployments` Erforderlich, um Informationen über alle Bereitstellungen in einer Bereitstellungsgruppe abzurufen, die dem Benutzer zugeordnet ist, oder um alle Bereitstellungen abzurufen, die dem Benutzer zugeordnet sind. | arn:aws:codedeploy: ::deploymentgroup:/*region**account-id**application-name**deployment-group-name* |
| [ListDeploymentTargets](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_ListDeploymentTargets.html) | `codedeploy:ListDeploymentTargets` Erforderlich, um Informationen über alle Ziele in einer Bereitstellung abzurufen, die dem Benutzer zugeordnet sind. | arn:aws:codedeploy: ::deploymentgroup:/*region**account-id**application-name**deployment-group-name* |
| [ListGitHubAccountTokenNames](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_ListGitHubAccountTokenNames.html) | `codedeploy:ListGitHubAccountTokenNames` Erforderlich, um eine Liste der Namen der gespeicherten Verbindungen zu Konten abzurufen. GitHub | arn:aws:codedeploy::: \$1 *region* *account-id* |
| [ListOnPremisesInstances](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_ListOnPremisesInstances.html) | `codedeploy:ListOnPremisesInstances` Es muss eine Liste einer oder mehrerer Instance-Namen abgerufen werden. | arn:aws:codedeploy::: \$1 *region* *account-id* |
| PutLifecycleEventHookExecutionStatus | `codedeploy:PutLifecycleEventHookExecutionStatus` Erforderlich, um eine Benachrichtigung über den Ausführungsstatus eines Lebenszyklus-Hook-Ereignisses bereitzustellen. | arn:aws:codedeploy: ::deploymentgroup:/*region**account-id**application-name**deployment-group-name* |
| [RegisterApplicationRevision](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_RegisterApplicationRevision.html) | `codedeploy:RegisterApplicationRevision` Informationen über eine Anwendungsrevision für eine Anwendung im Zusammenhang mit dem -Benutzer müssen registriert werden. | arn:aws:codedeploy: *region* ::anwendung: *account-id* *application-name* |
| [RegisterOnPremisesInstance](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_RegisterOnPremisesInstance.html) | `codedeploy:RegisterOnPremisesInstance` Es muss eine lokale Instance bei CodeDeploy registriert werden. | arn:aws:codedeploy: *region* ::instance/ *account-id* *instance-ID* |
| [RemoveTagsFromOnPremisesInstances](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_RemoveTagsFromOnPremisesInstances.html) | `codedeploy:RemoveTagsFromOnPremisesInstances` Tags müssen aus einer oder mehreren lokalen Instances entfernt werden. | arn:aws:codedeploy: *region* ::instance/ *account-id* *instance-ID* |
| [SkipWaitTimeForInstanceTermination](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_SkipWaitTimeForInstanceTermination.html) | `codedeploy:SkipWaitTimeForInstanceTermination` In einer blue/green Bereitstellung erforderlich, um eine angegebene Wartezeit zu überschreiben und sofort mit dem Beenden von Instanzen in der ursprünglichen Umgebung zu beginnen. | arn:aws:codedeploy: ::instance/ *region* *account-id* *instance-ID* |
| [StopDeployment](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_StopDeployment.html) | `codedeploy:StopDeployment` Eine laufende Bereitstellung in einer Bereitstellungsgruppe für eine Anwendung im Zusammenhang mit dem -Benutzer muss gestoppt werden. | arn:aws:codedeploy: *region* ::deploymentgroup*account-id*:/*application-name**deployment-group-name* |
| [UpdateApplication](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_UpdateApplication.html)³ | `codedeploy:UpdateApplication` Informationen zu einer Anwendung im Zusammenhang mit dem -Benutzer müssen geändert werden. | arn:aws:codedeploy: ::anwendung: *region* *account-id* *application-name* |
| [UpdateDeploymentGroup](https://docs.aws.amazon.com/codedeploy/latest/APIReference/API_UpdateDeploymentGroup.html)³ | `codedeploy:UpdateDeploymentGroup` Informationen über eine einzelne Bereitstellungsgruppe für eine Anwendung im Zusammenhang mit dem -Benutzer müssen geändert werden. | arn:aws:codedeploy: ::deploymentgroup:/*region**account-id**application-name**deployment-group-name* |
| ¹ Wenn Sie `CreateDeployment` Berechtigungen angeben, müssen Sie auch Berechtigungen für die Bereitstellungskonfiguration und/oder `GetDeploymentConfig` Berechtigungen für die Anwendungsversion angeben. `GetApplicationRevision` `RegisterApplicationRevision` Wenn Sie den `overrideAlarmConfiguration` Parameter in Ihren `CreateDeployment` API-Aufruf aufnehmen, müssen Sie außerdem die `UpdateDeploymentGroup` Berechtigung angeben. ² Gilt für `ListDeployments` die Angabe einer bestimmten Bereitstellungsgruppe, jedoch nicht für die Auflistung aller Bereitstellungen, die dem Benutzer zugeordnet sind. ³ Für`UpdateApplication`, Sie müssen über `UpdateApplication` Berechtigungen sowohl für den alten als auch für den neuen Anwendungsnamen verfügen. Für `UpdateDeploymentGroup`-Aktionen, bei denen der Name einer Bereitstellungsgruppe geändert werden muss, müssen Sie über `UpdateDeploymentGroup`-Berechtigungen für den alten und den neuen Namen der Bereitstellungsgruppe verfügen. |
# Serviceübergreifende Confused-Deputy-Prävention
Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, die Aktion auszuführen. In AWS kann ein dienstübergreifendes Identitätswechsels zu einem Problem mit dem verwirrten Stellvertreter führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der Anruf-Dienst) einen anderen Dienst anruft (den aufgerufenen Dienst). Der Anruf-Dienst kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um dies zu verhindern, AWS bietet Tools, mit denen Sie Ihre Daten für alle Dienste mit Dienstprinzipalen schützen können, denen Zugriff auf Ressourcen in Ihrem Konto gewährt wurde.
Wir empfehlen die Verwendung der SourceAccount globalen Bedingungsschlüssel [aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) [und aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) in Ressourcenrichtlinien, um die Berechtigungen einzuschränken, die CodeDeploy der Ressource einen anderen Dienst gewähren. Wenn Sie beide globale Bedingungskontextschlüssel verwenden und der `aws:SourceArn`-Wert die Konto-ID enthält, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in der gleichen Richtlinienanweisung verwendet wird. Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie diese Option, `aws:SourceAccount` wenn Sie möchten, dass Ressourcen in diesem Konto mit der dienstübergreifenden Nutzung verknüpft werden.
Für EC2/On-Premise-, AWS Lambda- und reguläre Amazon ECS-Bereitstellungen `aws:SourceArn` sollte der Wert von den ARN der CodeDeploy Bereitstellungsgruppe enthalten, mit der die IAM-Rolle CodeDeploy übernommen werden darf.
Bei [Blue/Green-Bereitstellungen von Amazon ECS CloudFormation, die durch erstellt wurden](deployments-create-ecs-cfn.md), `aws:SourceArn` sollte der Wert von den CloudFormation Stack-ARN enthalten, mit dem die CodeDeploy IAM-Rolle übernommen werden darf.
Der effektivste Weg, sich vor dem Problem des verwirrten Stellvertreters zu schützen, besteht darin, den `aws:SourceArn` Schlüssel mit dem vollständigen ARN der Ressource zu verwenden. Wenn Sie den vollständigen ARN nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie Platzhalterzeichen (\$1) für die unbekannten Teile.
Sie könnten beispielsweise die folgende Vertrauensrichtlinie für eine EC2/On-Premise-, AWS Lambda- oder reguläre Amazon ECS-Bereitstellung verwenden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "codedeploy.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:codedeploy:us-east-1:111122223333:deploymentgroup:myApplication/*"
}
}
}
]
}
```
------
Für eine [blaue/grüne Amazon ECS-Bereitstellung, die über erstellt wurde CloudFormation](deployments-create-ecs-cfn.md), könnten Sie Folgendes verwenden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "codedeploy.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:cloudformation:us-east-1:111122223333:stack/MyCloudFormationStackName/*"
}
}
}
]
}
```
------
# Anmeldung und Überwachung CodeDeploy
Dieser Abschnitt bietet eine Übersicht über die Überwachung, Protokollierung und Reaktion auf Vorfälle in CodeDeploy.
## Prüfung aller Interaktionen mit CodeDeploy
CodeDeploy ist CodeDeploy in einen Dienst integriert AWS CloudTrail, der API-Aufrufe erfasst, die von oder im Namen Ihres AWS Kontos getätigt wurden, und die Protokolldateien an einen von Ihnen angegebenen S3-Bucket übermittelt. CloudTrail erfasst API-Aufrufe von der CodeDeploy Konsole, von CodeDeploy Befehlen über die AWS CLI oder CodeDeploy APIs direkt von. Anhand der von gesammelten Informationen können Sie feststellen CloudTrail, an welche Adresse die Anfrage gestellt wurde CodeDeploy, von welcher Quell-IP-Adresse die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde usw. Weitere Informationen CloudTrail dazu finden Sie unter [Arbeiten mit CloudTrail Protokolldateien](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html) im *AWS CloudTrail Benutzerhandbuch*.
Sie können die durch eine CodeDeploy Bereitstellung erstellten Protokolldaten anzeigen, indem Sie den CloudWatch Amazon-Agenten so einrichten, dass er aggregierte Daten in der CloudWatch Konsole anzeigt, oder indem Sie sich bei einer Instance anmelden, um die Protokolldatei zu überprüfen. Weitere Informationen finden Sie unter [CodeDeploy Agentenprotokolle senden an CloudWatch](codedeploy-agent-operations-cloudwatch-agent.md).
## Alarmierungs- und Vorfallmanagement
Sie können Amazon CloudWatch Events verwenden, um Änderungen im Status einer Instance oder einer Bereitstellung (eines *Ereignisses*) in Ihrem CodeDeploy Betrieb zu erkennen und darauf zu reagieren. Auf der Grundlage der von Ihnen erstellten Regeln ruft CloudWatch Events dann eine oder mehrere Zielaktionen auf, wenn eine Bereitstellung oder Instance in den Zustand übergeht, den Sie in einer Regel angeben. Abhängig von der Statusänderung können Sie Benachrichtigungen versenden, Statusinformationen erfassen, Korrekturmaßnahmen ausführen, Ereignisse auslösen oder andere Aktionen ausführen. Sie können die folgenden Zieltypen auswählen, wenn Sie CloudWatch Ereignisse als Teil Ihrer CodeDeploy Operationen verwenden:
+ AWS Lambda Funktionen
+ Kinesis-Streams
+ Amazon SQS SQS-Warteschlangen
+ Integrierte Ziele (Alarmaktionen) CloudWatch
+ Amazon-SNS-Themen
Nachfolgend finden Sie einige Anwendungsfälle:
+ Verwenden Sie eine Lambda-Funktion, um eine Benachrichtigung an einen Slack-Kanal zu senden, wenn eine Bereitstellung fehlschlägt.
+ Push-Daten über Bereitstellungen oder Instances in einem Kinesis Stream unterstützen die umfassende Echtzeit-Statusüberwachung.
+ Verwenden Sie CloudWatch Alarmaktionen, um EC2-Instances automatisch zu stoppen, zu beenden, neu zu starten oder wiederherzustellen, wenn ein von Ihnen festgelegtes Bereitstellungs- oder Instance-Ereignis eintritt.
Weitere Informationen finden Sie unter [Was ist Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatchEvents.html) im * CloudWatch Amazon-Benutzerhandbuch*.
# Überprüfung der Einhaltung der Vorschriften für AWS CodeDeploy
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Resilienz in AWS CodeDeploy
Die AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. AWS Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
# Sicherheit der Infrastruktur in AWS CodeDeploy
Als verwalteter Service AWS CodeDeploy ist er durch die AWS globalen Netzwerksicherheitsverfahren geschützt, die im Whitepaper [Amazon Web Services: Sicherheitsprozesse im Überblick](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) beschrieben sind.
Sie verwenden AWS veröffentlichte API-Aufrufe, um CodeDeploy über das Netzwerk darauf zuzugreifen. Clients müssen Transport Layer Security (TLS) 1.2 oder höher unterstützen. Wir empfehlen TLS 1.3 oder höher. Clients müssen außerdem Cipher Suites mit PFS (Perfect Forward Secrecy) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) unterstützen. Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Anforderungen müssen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der mit einem IAM-Prinzipal verknüpft ist. Alternativ können Sie mit [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.