Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Wie AWS CodeDeploy funktioniert mit IAM
<a name="security_iam_service-with-iam"></a>

Bevor Sie IAM verwenden, um den Zugriff auf zu verwalten CodeDeploy, sollten Sie wissen, mit welchen IAM-Funktionen Sie verwenden können. CodeDeploy Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter [AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).

**Topics**
+ [CodeDeploy identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies)
+ [CodeDeploy ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisierung auf der Grundlage von Tags CodeDeploy](#security_iam_service-with-iam-tags)
+ [CodeDeploy IAM-Rollen](#security_iam_service-with-iam-roles)

## CodeDeploy identitätsbasierte Richtlinien
<a name="security_iam_service-with-iam-id-based-policies"></a>

Mit identitätsbasierten IAM-Richtlinien können Sie zulässige oder verweigerte Aktionen und Ressourcen sowie die Bedingungen angeben, unter denen Aktionen zugelassen oder verweigert werden. CodeDeploy unterstützt Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu den Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie unter [Referenz zu den IAM-JSON-Richtlinienelementen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.

### Aktionen
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.

Bei Richtlinienaktionen wird das `codedeploy:` Präfix vor der Aktion CodeDeploy verwendet. Die `codedeploy:GetApplication`-Berechtigung erteilt dem Benutzer zum Beispiel Berechtigungen zum Ausführen der `GetApplication`-Operation. Richtlinienerklärungen müssen `Action` entweder ein `NotAction` Oder-Element enthalten. CodeDeploy definiert einen eigenen Satz von Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:

```
"Action": [
      "codedeploy:action1",
      "codedeploy:action2"
```

Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie die folgende Aktion zur Angabe aller Aktionen einschließen, die mit dem Wort `Describe` beginnen:

```
"Action": "ec2:Describe*"
```



Eine Liste der CodeDeploy [Aktionen finden Sie AWS CodeDeploy im *IAM-Benutzerhandbuch* unter Definierte Aktionen von](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscodedeploy.html#awscodedeploy-actions-as-permissions).

Eine Tabelle mit einer Liste aller CodeDeploy API-Aktionen und der Ressourcen, für die sie gelten, finden Sie unter[CodeDeploy Referenz zu Berechtigungen](auth-and-access-control-permissions-reference.md).

### Ressourcen
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

```
"Resource": "*"
```



Sie können in Ihrer Anweisung beispielsweise eine Bereitstellungsgruppe (*myDeploymentGroup*) angeben, indem Sie ihren ARN wie folgt verwenden:

```
"Resource": "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:myApplication/myDeploymentGroup"
```

Sie können auch alle Bereitstellungsgruppen angeben, die zu einem Konto gehören, indem Sie das Platzhalterzeichen (\$1) wie folgt verwenden:

```
"Resource": "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*"
```

Um alle Ressourcen anzugeben oder falls eine API-Aktion dies nicht unterstützt ARNs, verwenden Sie das Platzhalterzeichen (\$1) im `Resource` Element wie folgt:

```
"Resource": "*"
```

Einige CodeDeploy API-Aktionen akzeptieren mehrere Ressourcen (z. B.`BatchGetDeploymentGroups`). Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt ARNs durch Kommas:

```
"Resource": ["arn1", "arn2"]
```

CodeDeploy stellt eine Reihe von Operationen für die Arbeit mit den CodeDeploy Ressourcen bereit. Eine Liste der verfügbaren Operationen finden Sie unter [CodeDeploy Referenz zu Berechtigungen](auth-and-access-control-permissions-reference.md).

Eine Liste der CodeDeploy Ressourcentypen und ihrer Eigenschaften ARNs finden Sie unter [Resources Defined by AWS CodeDeploy](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscodedeploy.html) im *IAM-Benutzerhandbuch*. Informationen zu den Aktionen, in denen Sie den ARN jeder Ressource angeben können, finden Sie unter [Aktionen Definiert von AWS CodeDeploy](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscodedeploy.html#awscodedeploy-actions-as-permissions).

#### CodeDeploy Ressourcen und Operationen
<a name="arn-formats"></a>

 CodeDeployIn ist die primäre Ressource eine Bereitstellungsgruppe. In einer Richtlinie verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren, für die die Richtlinie gilt. CodeDeploy unterstützt andere Ressourcen, die mit Bereitstellungsgruppen verwendet werden können, einschließlich Anwendungen, Bereitstellungskonfigurationen und Instances. Diese werden als Unterressourcen bezeichnet. Diesen Ressourcen und Unterressourcen sind eindeutige Merkmale ARNs zugeordnet. Weitere Informationen finden Sie unter [Amazon-Ressourcennamen (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) in der *Allgemeine Amazon Web Services-Referenz*.


| Ressourcentyp | ARN-Format | 
| --- | --- | 
| Bereitstellungsgruppe |  `arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name`  | 
| Anwendung |  `arn:aws:codedeploy:region:account-id:application:application-name`  | 
| Bereitstellungskonfiguration |  `arn:aws:codedeploy:region:account-id:deploymentconfig:deployment-configuration-name`   | 
| Instance |  `arn:aws:codedeploy:region:account-id:instance/instance-ID`  | 
|  Alle CodeDeploy Ressourcen  |  `arn:aws:codedeploy:*`  | 
|  Alle CodeDeploy Ressourcen, die dem angegebenen Konto in der angegebenen Region gehören  |  `arn:aws:codedeploy:region:account-id:*`  | 

**Anmerkung**  
Die meisten Dienste in AWS behandeln einen Doppelpunkt (:) oder einen Schrägstrich (/) als dasselbe Zeichen in ARNs. CodeDeploy Verwendet jedoch eine exakte Übereinstimmung in den Ressourcenmustern und Regeln. Verwenden Sie also die richtigen ARN-Zeichen zum Erstellen von Ereignismustern, sodass sie mit der ARN-Syntax in der Ressource übereinstimmen.

### Bedingungsschlüssel
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

CodeDeploy stellt keine dienstspezifischen Bedingungsschlüssel bereit, unterstützt aber die Verwendung einiger globaler Bedingungsschlüssel. Weitere Informationen finden Sie unter [Globale AWS -Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.



### Beispiele
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Beispiele für CodeDeploy identitätsbasierte Richtlinien finden Sie unter. [AWS CodeDeploy Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)

## CodeDeploy ressourcenbasierte Richtlinien
<a name="security_iam_service-with-iam-resource-based-policies"></a>

CodeDeploy unterstützt keine ressourcenbasierten Richtlinien. Ein Beispiel für eine detaillierte Seite mit ressourcenbasierten Richtlinien finden Sie unter [Verwenden](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) ressourcenbasierter Richtlinien für. AWS Lambda

## Autorisierung auf der Grundlage von Tags CodeDeploy
<a name="security_iam_service-with-iam-tags"></a>

CodeDeploy unterstützt nicht das Markieren von Ressourcen oder das Steuern des Zugriffs auf der Grundlage von Tags.

## CodeDeploy IAM-Rollen
<a name="security_iam_service-with-iam-roles"></a>

Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität in Ihrem AWS Konto, die über bestimmte Berechtigungen verfügt.

### Verwenden temporärer Anmeldeinformationen mit CodeDeploy
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder aufrufen [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html). 

CodeDeploy unterstützt die Verwendung temporärer Anmeldeinformationen. 

### Service-verknüpfte Rollen
<a name="security_iam_service-with-iam-roles-service-linked"></a>

CodeDeploy unterstützt keine dienstbezogenen Rollen.

### Servicerollen
<a name="security_iam_service-with-iam-roles-service"></a>

Dieses Feature ermöglicht einem Service das Annehmen einer [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem AWS Konto angezeigt und gehören dem Konto. Das bedeutet, dass ein Benutzer die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.

CodeDeploy unterstützt Servicerollen. 

### Auswahl einer IAM-Rolle in CodeDeploy
<a name="security_iam_service-with-iam-roles-choose"></a>

Wenn Sie eine Bereitstellungsgruppenressource in erstellen CodeDeploy, müssen Sie eine Rolle auswählen, mit der Sie in Ihrem Namen auf Amazon EC2 zugreifen können CodeDeploy . Wenn Sie zuvor eine Servicerolle oder serviceverknüpfte Rolle erstellt haben, stellt Ihnen CodeDeploy eine Liste mit Rollen bereit, aus denen Sie wählen können. Es ist wichtig, eine Rolle zu wählen, die Zugriff zum Starten und Stoppen von EC2-Instances ermöglicht.