Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Empezar con CodeDeploy
**Topics**
+ [Paso 1: Configurar](getting-started-setting-up.md)
+ [Paso 2: Crear un rol de servicio para CodeDeploy](getting-started-create-service-role.md)
+ [Paso 3: Limitar los permisos del CodeDeploy usuario](getting-started-policy.md)
+ [Paso 4: Crear un perfil de instancia de IAM para las instancias de Amazon EC2](getting-started-create-iam-instance-profile.md)
# Paso 1: Configurar
Antes de usarlo AWS CodeDeploy por primera vez, debe completar los pasos de configuración. Los pasos incluyen la creación de una AWS cuenta (si aún no tiene una) y un usuario administrativo con acceso programático.
En esta guía, el usuario administrativo se denomina **usuario CodeDeploy administrativo**.
## Inscríbase en un Cuenta de AWS
Si no tiene uno Cuenta de AWS, complete los siguientes pasos para crearlo.
**Para suscribirte a una Cuenta de AWS**
1. Abrir [https://portal.aws.amazon.com/billing/registro](https://portal.aws.amazon.com/billing/signup).
1. Siga las instrucciones que se le indiquen.
Parte del procedimiento de registro consiste en recibir una llamada telefónica o mensaje de texto e indicar un código de verificación en el teclado del teléfono.
Cuando te registras en un Cuenta de AWS, *Usuario raíz de la cuenta de AWS*se crea un. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario y utilice únicamente el usuario raíz para realizar [Tareas que requieren acceso de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS te envía un correo electrónico de confirmación una vez finalizado el proceso de registro. En cualquier momento, puede ver la actividad de su cuenta actual y administrarla accediendo a [https://aws.amazon.com/](https://aws.amazon.com/)y seleccionando **Mi cuenta**.
## Creación de un usuario con acceso administrativo
Después de crear un usuario administrativo Cuenta de AWS, asegúrelo Usuario raíz de la cuenta de AWS AWS IAM Identity Center, habilite y cree un usuario administrativo para no usar el usuario root en las tareas diarias.
**Proteja su Usuario raíz de la cuenta de AWS**
1. Inicie sesión [Consola de administración de AWS](https://console.aws.amazon.com/)como propietario de la cuenta seleccionando el **usuario root** e introduciendo su dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña.
Para obtener ayuda para iniciar sesión con el usuario raíz, consulte [Iniciar sesión como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) en la *Guía del usuario de AWS Sign-In *.
1. Active la autenticación multifactor (MFA) para el usuario raíz.
Para obtener instrucciones, consulte [Habilitar un dispositivo MFA virtual para el usuario Cuenta de AWS raíz (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) en la Guía del usuario de *IAM*.
**Creación de un usuario con acceso administrativo**
1. Activar IAM Identity Center.
Consulte las instrucciones en [Activar AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) en la *Guía del usuario de AWS IAM Identity Center *.
1. En IAM Identity Center, conceda acceso administrativo a un usuario.
Para ver un tutorial sobre su uso Directorio de IAM Identity Center como fuente de identidad, consulte [Configurar el acceso de los usuarios con la configuración predeterminada Directorio de IAM Identity Center en la](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) Guía del *AWS IAM Identity Center usuario*.
**Inicio de sesión como usuario con acceso de administrador**
+ Para iniciar sesión con el usuario de IAM Identity Center, use la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario de IAM Identity Center.
Para obtener ayuda para iniciar sesión con un usuario del Centro de identidades de IAM, consulte [Iniciar sesión en el portal de AWS acceso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) en la *Guía del AWS Sign-In usuario*.
**Concesión de acceso a usuarios adicionales**
1. En IAM Identity Center, cree un conjunto de permisos que siga la práctica recomendada de aplicar permisos de privilegios mínimos.
Para conocer las instrucciones, consulte [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) en la *Guía del usuario de AWS IAM Identity Center *.
1. Asigne usuarios a un grupo y, a continuación, asigne el acceso de inicio de sesión único al grupo.
Para conocer las instrucciones, consulte [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) en la *Guía del usuario de AWS IAM Identity Center *.
Ahora ha creado e iniciado sesión como **usuario CodeDeploy administrativo**.
## Concesión de acceso programático
Los usuarios necesitan acceso programático si quieren interactuar con personas AWS ajenas a. Consola de administración de AWS La forma de conceder el acceso programático depende del tipo de usuario que acceda. AWS
Para conceder acceso programático a los usuarios, elija una de las siguientes opciones.
****
| ¿Qué usuario necesita acceso programático? | Para | Mediante |
| --- | --- | --- |
| IAM | (Recomendado) Utilice las credenciales de la consola como credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o. AWS APIs | Siga las instrucciones de la interfaz que desea utilizar: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/codedeploy/latest/userguide/getting-started-setting-up.html) |
| Identidad del personal (Usuarios administrados en el IAM Identity Center) | Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI, AWS SDKs, o AWS APIs. | Siga las instrucciones de la interfaz que desea utilizar: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/codedeploy/latest/userguide/getting-started-setting-up.html) |
| IAM | Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o. AWS APIs | Siga las instrucciones de [Uso de credenciales temporales con AWS recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) de la Guía del usuario de IAM. |
| IAM | (No recomendado)Utilice credenciales de larga duración para firmar las solicitudes programáticas dirigidas al AWS CLI, AWS SDKs, o. AWS APIs | Siga las instrucciones de la interfaz que desea utilizar: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/codedeploy/latest/userguide/getting-started-setting-up.html) |
**importante**
Le recomendamos encarecidamente que configure el usuario CodeDeploy administrativo como una identidad de personal (un usuario gestionado en el Centro de Identidad de IAM) con. AWS CLI Muchos de los procedimientos de esta guía dan por sentado que se utiliza AWS CLI para realizar las configuraciones.
**importante**
Si configura el AWS CLI, es posible que se le pida que especifique una AWS región. Especifique una de las regiones admitidas que se encuentran en la lista de [Regiones y puntos de conexión](https://docs.aws.amazon.com/general/latest/gr/rande.html#codedeploy_region) de la *Referencia general de AWS*.
# Paso 2: Crear un rol de servicio para CodeDeploy
En AWS, las funciones de servicio se utilizan para conceder permisos a un AWS servicio para que pueda acceder a AWS los recursos. Las políticas que adjunte al rol de servicio determinarán a qué recursos de tendrá acceso el servicio y qué puede hacer con esos recursos.
El rol de servicio para el que cree CodeDeploy debe tener los permisos necesarios para su plataforma de cómputo. Si implementa más de una plataforma de informática, cree un rol de servicio para cada una. Para añadir permisos, adjunta una o más de las siguientes políticas AWS proporcionadas:
Para las implementaciones de EC2/en las instalaciones, adjunte la política **AWSCodeDeployRole**. Proporciona los permisos necesarios para que su rol de servicio:
+ Leer las etiquetas en sus instancias o identificar sus instancias de Amazon EC2 mediante nombres de grupo de Amazon EC2 Auto Scaling.
+ Leer, crear, actualizar y eliminar grupos de Amazon EC2 Auto Scaling, enlaces de ciclo de vida y políticas de escalado.
+ Publicar información para temas de Amazon SNS.
+ Recupere información sobre CloudWatch las alarmas.
+ Leer y actualizar Elastic Load Balancing.
**nota**
Si crea un grupo de escalado automático con una plantilla de inicio, debe añadir los siguientes permisos:
`ec2:RunInstances`
`ec2:CreateTags`
`iam:PassRole`
Para obtener más información, consulte [Paso 2: Crear un rol de servicio](#getting-started-create-service-role), [Creación de una plantilla de lanzamiento para un grupo de escalado automático](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html) y [Compatibilidad con las plantillas de lanzamiento](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-launch-template-permissions.html) en la *Guía del usuario de Amazon EC2 Auto Scaling*.
En las implementaciones de Amazon ECS, si desea obtener acceso total a los servicios de soporte técnico, asocie la política **AWSCodeDeployRoleForECS**. Proporciona los permisos necesarios para que su rol de servicio:
+ Leer, actualizar y eliminar conjuntos de tareas de Amazon ECS.
+ Actualizar grupos de destino de Elastic Load Balancing, oyentes y reglas.
+ Invoque AWS Lambda funciones.
+ Acceder a archivos de revisión en buckets de Amazon S3.
+ Recupere información sobre CloudWatch las alarmas.
+ Publicar información para temas de Amazon SNS.
En las implementaciones de Amazon ECS, si desea obtener acceso limitado a los servicios de soporte técnico, asocie la política **AWSCodeDeployRoleForECSLimited**. Proporciona los permisos necesarios para que su rol de servicio:
+ Leer, actualizar y eliminar conjuntos de tareas de Amazon ECS.
+ Recupera información sobre CloudWatch las alarmas.
+ Publicar información para temas de Amazon SNS.
Para las implementaciones de AWS Lambda, si desea permitir la publicación en Amazon SNS, adjunte la política. **AWSCodeDeployRoleForLambda** Proporciona los permisos necesarios para que su rol de servicio:
+ Lea, actualice e invoque funciones y alias AWS Lambda .
+ Acceder a archivos de revisión en buckets de Amazon S3.
+ Recupere información sobre CloudWatch las alarmas.
+ Publicar información para temas de Amazon SNS.
Para las implementaciones de AWS Lambda, si desea limitar el acceso a Amazon SNS, adjunte la política. **AWSCodeDeployRoleForLambdaLimited** Proporciona los permisos necesarios para que su rol de servicio:
+ Lea, actualice e invoque funciones y alias AWS Lambda .
+ Acceder a archivos de revisión en buckets de Amazon S3.
+ Recupere información sobre CloudWatch las alarmas.
Como parte de la configuración del rol de servicio, también actualizará su relación de confianza para especificar a qué puntos de enlace desea concederle acceso.
Puede crear un rol de servicio con la consola de IAM AWS CLI, el o el APIs IAM.
**Topics**
+ [Creación de un rol de servicio (consola)](#getting-started-create-service-role-console)
+ [Creación de un rol de servicio (CLI)](#getting-started-create-service-role-cli)
+ [Obtención del ARN del rol de servicio (consola)](#getting-started-get-service-role-console)
+ [Obtención del ARN del rol de servicio (CLI)](#getting-started-get-service-role-cli)
## Creación de un rol de servicio (consola)
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación, seleccione **Roles** y luego seleccione **Crear rol**.
1. Elija el **AWS servicio** y, en **Caso de uso**, elija **CodeDeploy**en la lista desplegable.
1. Elija su caso de uso:
+ Para las implementaciones de EC2/on-premise, elija. **CodeDeploy**
+ **Para las implementaciones de AWS Lambda, elija Lambda. CodeDeploy **
+ Para las implementaciones de Amazon ECS, elija **CodeDeploy - ECS.**
1. Elija **Siguiente**.
1. En la página **Añadir permisos**, se muestra la política de permisos correcta para cada caso de uso. Elija **Siguiente**.
1. En la página **Asignar nombre, revisar y crear**, en **Nombre del rol**, ingrese un nombre para el rol de servicio (por ejemplo, **CodeDeployServiceRole**) y luego elija **Crear rol**.
También puede ingresar una descripción para este rol de servicio en el cuadro **Descripción del rol**.
1. Si desea que este rol de servicio tenga permiso de acceso a todos los puntos de enlace contemplados actualmente, ya ha terminado con este procedimiento.
Para restringir el acceso de este rol de servicio a algunos puntos de conexión, continúe con los pasos restantes de este procedimiento.
1. En la lista de roles, busque y seleccione el rol que acaba de crear (`CodeDeployServiceRole`).
1. Seleccione la pestaña **Relaciones de confianza**.
1. Elija **Editar la política de confianza**.
Debe aparecer la siguiente política, que concede al rol de servicio el permiso de acceso a todos los puntos de enlace compatibles:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
Para conceder acceso al rol de servicio a solo algunos puntos de conexión admitidos, reemplace el contenido del recuadro de texto de la política con la política siguiente. Quite las líneas de los puntos de conexión a los que desea evitar el acceso y, a continuación, elija **Actualizar política**.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.us-east-1.amazonaws.com",
"codedeploy.us-east-2.amazonaws.com",
"codedeploy.us-west-1.amazonaws.com",
"codedeploy.us-west-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.ap-east-1.amazonaws.com",
"codedeploy.ap-northeast-1.amazonaws.com",
"codedeploy.ap-northeast-2.amazonaws.com",
"codedeploy.ap-northeast-3.amazonaws.com",
"codedeploy.ap-southeast-1.amazonaws.com",
"codedeploy.ap-southeast-2.amazonaws.com",
"codedeploy.ap-southeast-3.amazonaws.com",
"codedeploy.ap-southeast-4.amazonaws.com",
"codedeploy.ap-south-1.amazonaws.com",
"codedeploy.ap-south-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.eu-west-1.amazonaws.com",
"codedeploy.eu-west-2.amazonaws.com",
"codedeploy.eu-west-3.amazonaws.com",
"codedeploy.eu-central-1.amazonaws.com",
"codedeploy.eu-central-2.amazonaws.com",
"codedeploy.eu-north-1.amazonaws.com",
"codedeploy.eu-south-1.amazonaws.com",
"codedeploy.eu-south-2.amazonaws.com",
"codedeploy.il-central-1.amazonaws.com",
"codedeploy.me-central-1.amazonaws.com",
"codedeploy.me-south-1.amazonaws.com",
"codedeploy.sa-east-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
Para obtener más información sobre la creación de funciones de servicio, consulte [Creación de una función para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-creatingrole-service.html) en la Guía del *usuario de IAM*.
## Creación de un rol de servicio (CLI)
1. En el equipo de implementación, crea un archivo de texto con un nombre, como por ejemplo, `CodeDeployDemo-Trust.json`. Este archivo se utiliza para permitir a CodeDeploy trabajar en su nombre.
Realice una de las siguientes acciones:
+ Para conceder el acceso a todas AWS las regiones compatibles, guarde el siguiente contenido en el archivo:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
+ Para conceder acceso solo a algunas regiones, escriba el siguiente contenido en el archivo y elimine las líneas de las regiones a las que no desee conceder acceso:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.us-east-1.amazonaws.com",
"codedeploy.us-east-2.amazonaws.com",
"codedeploy.us-west-1.amazonaws.com",
"codedeploy.us-west-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.ap-east-1.amazonaws.com",
"codedeploy.ap-northeast-1.amazonaws.com",
"codedeploy.ap-northeast-2.amazonaws.com",
"codedeploy.ap-northeast-3.amazonaws.com",
"codedeploy.ap-southeast-1.amazonaws.com",
"codedeploy.ap-southeast-2.amazonaws.com",
"codedeploy.ap-southeast-3.amazonaws.com",
"codedeploy.ap-southeast-4.amazonaws.com",
"codedeploy.ap-south-1.amazonaws.com",
"codedeploy.ap-south-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.eu-west-1.amazonaws.com",
"codedeploy.eu-west-2.amazonaws.com",
"codedeploy.eu-west-3.amazonaws.com",
"codedeploy.eu-central-1.amazonaws.com",
"codedeploy.eu-central-2.amazonaws.com",
"codedeploy.eu-north-1.amazonaws.com",
"codedeploy.eu-south-1.amazonaws.com",
"codedeploy.eu-south-2.amazonaws.com",
"codedeploy.il-central-1.amazonaws.com",
"codedeploy.me-central-1.amazonaws.com",
"codedeploy.me-south-1.amazonaws.com",
"codedeploy.sa-east-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
**nota**
No incluya una coma después del último punto de enlace de la lista.
1. Desde el mismo directorio, ejecute el comando **create-role** para crear un rol de servicio con el nombre **CodeDeployServiceRole** basado en la información del archivo de texto que acaba de crear:
```
aws iam create-role --role-name CodeDeployServiceRole --assume-role-policy-document file://CodeDeployDemo-Trust.json
```
**importante**
Asegúrese de incluir `file://` antes del nombre de archivo. Es obligatorio en este comando.
En la salida del comando, anote el valor de la entrada `Arn` para el objeto `Role`. Lo necesitará más adelante al crear grupos de implementaciones. Si no recuerda el valor, siga las instrucciones indicadas en [Obtención del ARN del rol de servicio (CLI)](#getting-started-get-service-role-cli).
1. La política administrada que utilice dependerá de la plataforma de informática.
+ Para una implementación en una plataforma de informática de EC2/en las instalaciones:
Llame al comando **attach-role-policy** para conceder al rol de servicio **CodeDeployServiceRole** los permisos correspondientes a la política administrada de IAM denominada **AWSCodeDeployRole**. Por ejemplo:
```
aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSCodeDeployRole
```
+ Si su implementación se realiza en una plataforma de procesamiento AWS Lambda:
Llame al comando **attach-role-policy** para conceder al rol de servicio **CodeDeployServiceRole** los permisos correspondientes a la política administrada de IAM denominada **AWSCodeDeployRoleForLambda** o **AWSCodeDeployRoleForLambdaLimited**. Por ejemplo:
```
aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSCodeDeployRoleForLambda
```
+ Si su implementación se realiza en una plataforma de informática de Amazon ECS:
Llame al comando **attach-role-policy** para conceder al rol de servicio **CodeDeployServiceRole** los permisos correspondientes a la política administrada de IAM denominada **AWSCodeDeployRoleForECS** o **AWSCodeDeployRoleForECSLimited**. Por ejemplo:
```
aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/AWSCodeDeployRoleForECS
```
Para obtener más información sobre la creación de funciones de servicio, consulte [Creación de una función para un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/create-role-xacct.html) en la Guía del *usuario de IAM*.
## Obtención del ARN del rol de servicio (consola)
Para obtener el ARN del rol de servicio con la consola de IAM:
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Seleccione **Roles** en el panel de navegación.
1. En el cuadro **Filter (Filtro)**, escriba **CodeDeployServiceRole** y, a continuación, pulse Intro.
1. Elija **CodeDeployServiceRole**.
1. Anote el valor del campo **Role ARN (ARN de rol)**.
## Obtención del ARN del rol de servicio (CLI)
Para usar el AWS CLI para obtener el ARN del rol de servicio, llame al **get-role** comando contra el rol de servicio denominado: **CodeDeployServiceRole**
```
aws iam get-role --role-name CodeDeployServiceRole --query "Role.Arn" --output text
```
El valor devuelto es el ARN del rol de servicio.
# Paso 3: Limitar los permisos del CodeDeploy usuario
Por motivos de seguridad, le recomendamos que limite los permisos del usuario administrativo que creó [Paso 1: Configurar](getting-started-setting-up.md) a solo los necesarios para crear y gestionar las implementaciones en CodeDeploy él.
Utilice la siguiente serie de procedimientos para limitar los permisos del usuario CodeDeploy administrativo.
**Antes de empezar**
+ Asegúrese de haber creado un usuario CodeDeploy administrativo en el Centro de identidades de IAM siguiendo las instrucciones que se indican en[Paso 1: Configurar](getting-started-setting-up.md).
**Creación de un conjunto de permisos**
Asignará este conjunto de permisos al usuario CodeDeploy administrativo más adelante.
1. Inicie sesión en Consola de administración de AWS y abra la AWS IAM Identity Center consola en [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).
1. En el panel de navegación, elija **Conjuntos de permisos** y, a continuación, elija **Crear conjunto de permisos**.
1. Elija **Conjunto de permisos personalizado**.
1. Elija **Siguiente**.
1. Elija **Política insertada**.
1. Elimine el código de muestra.
1. Añada el código de política siguiente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CodeDeployAccessPolicy",
"Effect": "Allow",
"Action": [
"autoscaling:*",
"codedeploy:*",
"ec2:*",
"lambda:*",
"ecs:*",
"elasticloadbalancing:*",
"iam:AddRoleToInstanceProfile",
"iam:AttachRolePolicy",
"iam:CreateInstanceProfile",
"iam:CreateRole",
"iam:DeleteInstanceProfile",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:GetInstanceProfile",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListInstanceProfilesForRole",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:PutRolePolicy",
"iam:RemoveRoleFromInstanceProfile",
"s3:*",
"ssm:*"
],
"Resource": "*"
},
{
"Sid": "CodeDeployRolePolicy",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/CodeDeployServiceRole"
}
]
}
```
------
En esta política, *arn:aws:iam::account-ID:role/CodeDeployServiceRole* sustitúyalo por el valor ARN del rol de CodeDeploy servicio en el que lo creaste. [Paso 2: Crear un rol de servicio para CodeDeploy](getting-started-create-service-role.md) Puede encontrar el valor del ARN en la página de detalles del rol de servicio en la consola de IAM.
La política anterior le permite implementar una aplicación en una plataforma de informática de AWS Lambda, una plataforma de informática de EC2/en las instalaciones y una plataforma de informática de Amazon ECS.
Puede utilizar las CloudFormation plantillas que se proporcionan en esta documentación para lanzar instancias de Amazon EC2 que sean compatibles con. CodeDeploy Para usar CloudFormation plantillas para crear aplicaciones, grupos de despliegues o configuraciones de despliegues, debe proporcionar acceso a CloudFormation(y a AWS los servicios y acciones que CloudFormation dependan de ellos) añadiendo el `cloudformation:*` permiso a la política de permisos del usuario CodeDeploy administrativo, de la siguiente manera:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
------
1. Elija **Siguiente**.
1. En **Nombre del conjunto de permisos**, introduzca:
```
CodeDeployUserPermissionSet
```
1. Elija **Siguiente**.
1. En la página **Revisión**, revise la información y, a continuación, elija **Crear grupo**.
**Para asignar el conjunto de permisos al usuario administrativo CodeDeploy**
1. En el panel de navegación, elija y **Cuentas de AWS**, a continuación, active la casilla de verificación situada junto a la casilla en la Cuenta de AWS que ha iniciado sesión actualmente.
1. Seleccione el botón **Asignar usuarios o grupos**.
1. Elija la pestaña **Usuarios**.
1. Seleccione la casilla de verificación situada junto al usuario CodeDeploy administrativo.
1. Elija **Siguiente**.
1. Seleccione la casilla situada junto a `CodeDeployUserPermissionSet`.
1. Elija **Siguiente**.
1. Revise la información y seleccione **Enviar**.
Ahora ha asignado el usuario CodeDeploy administrativo y `CodeDeployUserPermissionSet` el suyo Cuenta de AWS, uniéndolos.
**Para cerrar sesión y volver a iniciarla como usuario CodeDeploy administrativo**
1. Antes de cerrar sesión, asegúrese de tener la URL del portal de AWS acceso y el nombre de usuario y la contraseña de un solo uso del usuario CodeDeploy administrativo.
**nota**
Si no dispone de esta información, vaya a la página de detalles del usuario CodeDeploy administrativo del Centro de Identidad de IAM, seleccione **Restablecer la contraseña, Generar una contraseña** **de un** solo uso [...] y vuelva a **restablecer la contraseña** para que aparezca la información en la pantalla.
1. Cerrar sesión en AWS.
1. Pegue la URL del portal de AWS acceso en la barra de direcciones del navegador.
1. Inicie sesión como CodeDeploy usuario administrativo.
Aparece un cuadro de **Cuenta de AWS** en la pantalla.
1. Elija y **Cuenta de AWS**, Cuenta de AWS a continuación, elija el nombre del usuario CodeDeploy administrativo y el conjunto de permisos.
1. Junto a `CodeDeployUserPermissionSet`, seleccione **Consola de administración**.
Aparece el Consola de administración de AWS . Ahora ha iniciado sesión como usuario CodeDeploy administrativo con los permisos limitados. Ahora puede realizar operaciones CodeDeploy relacionadas, y *solo* operaciones CodeDeploy relacionadas, como este usuario.
# Paso 4: Crear un perfil de instancia de IAM para las instancias de Amazon EC2
**nota**
Si utiliza la plataforma informática Amazon ECS o AWS Lambda, omita este paso.
Sus instancias de Amazon EC2 necesitan permiso para acceder a los GitHub depósitos o repositorios de Amazon S3 en los que se almacenan las aplicaciones. *Para lanzar instancias de Amazon EC2 compatibles con CodeDeploy, debe crear una función de IAM adicional, un perfil de instancia.* Estas instrucciones le indicarán cómo crear un perfil de instancia de IAM para asociarlo a las instancias Amazon EC2. Esta función otorga al CodeDeploy agente permiso para acceder a los GitHub depósitos o repositorios de Amazon S3 en los que se almacenan sus aplicaciones.
Puede crear un perfil de instancia de IAM con la AWS CLI consola de IAM o con el IAM. APIs
**nota**
Puede adjuntar un perfil de instancias de IAM a una instancia de Amazon EC2 en el momento de lanzarla, o bien, adjuntarlo a una instancia ya lanzada anteriormente. Para obtener más información, consulte [Perfiles de instancia](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-usingrole-instanceprofile.html).
**Topics**
+ [Creación de un perfil de instancia de IAM para las instancias de Amazon EC2 (CLI)](#getting-started-create-iam-instance-profile-cli)
+ [Creación de un perfil de instancia de IAM para las instancias de Amazon EC2 (consola)](#getting-started-create-iam-instance-profile-console)
## Creación de un perfil de instancia de IAM para las instancias de Amazon EC2 (CLI)
En estos pasos suponemos que ya ha seguido las instrucciones de los tres primeros pasos de [Empezar con CodeDeploy](getting-started-codedeploy.md).
1. En el equipo de implementación, crea un archivo de texto con el nombre `CodeDeployDemo-EC2-Trust.json`. Pegue el contenido siguiente, que permite a Amazon EC2 actuar en su nombre:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"ec2.cn-north-1.amazonaws.com",
"ec2.cn-northwest-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. En el mismo directorio, cree un archivo de texto con el nombre `CodeDeployDemo-EC2-Permissions.json`. Pegue el siguiente contenido:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:Get*",
"s3:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**nota**
Le recomendamos que restrinja esta política únicamente a los buckets de Amazon S3 a los que las instancias de Amazon EC2 deban tener acceso. Asegúrese de dar acceso a los buckets de Amazon S3 que contienen el CodeDeploy agente. De lo contrario, podría producirse un error cuando el CodeDeploy agente esté instalado o actualizado en las instancias. Para conceder al perfil de instancia de IAM acceso únicamente a algunos buckets del kit de CodeDeploy recursos de Amazon S3, utilice la siguiente política, pero elimine las líneas de los buckets a los que desee impedir el acceso:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::aws-codedeploy-us-east-2/*",
"arn:aws:s3:::aws-codedeploy-us-east-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-2/*",
"arn:aws:s3:::aws-codedeploy-ca-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-2/*",
"arn:aws:s3:::aws-codedeploy-eu-west-3/*",
"arn:aws:s3:::aws-codedeploy-eu-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-central-2/*",
"arn:aws:s3:::aws-codedeploy-eu-north-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-2/*",
"arn:aws:s3:::aws-codedeploy-il-central-1/*",
"arn:aws:s3:::aws-codedeploy-ap-east-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-4/*",
"arn:aws:s3:::aws-codedeploy-ap-south-1/*",
"arn:aws:s3:::aws-codedeploy-ap-south-2/*",
"arn:aws:s3:::aws-codedeploy-me-central-1/*",
"arn:aws:s3:::aws-codedeploy-me-south-1/*",
"arn:aws:s3:::aws-codedeploy-sa-east-1/*"
]
}
]
}
```
**nota**
Si quieres utilizar la [autorización de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization) o los puntos de enlace de Amazon Virtual Private Cloud (VPC) CodeDeploy, tendrás que añadir más permisos. Consulte [Uso CodeDeploy con Amazon Virtual Private Cloud](https://docs.aws.amazon.com/codedeploy/latest/userguide/vpc-endpoints) para obtener más información.
1. Desde el mismo directorio, llame al comando **create-role** para crear un rol de IAM denominado **CodeDeployDemo-EC2-Instance-Profile**, basado en la información del primer archivo:
**importante**
Asegúrese de incluir `file://` antes del nombre de archivo. Es obligatorio en este comando.
```
aws iam create-role --role-name CodeDeployDemo-EC2-Instance-Profile --assume-role-policy-document file://CodeDeployDemo-EC2-Trust.json
```
1. Desde el mismo directorio, llame al comando **put-role-policy** para conceder al rol **CodeDeployDemo-EC2-Instance-Profile** los permisos correspondientes a la información del segundo archivo:
**importante**
Asegúrese de incluir `file://` antes del nombre de archivo. Es obligatorio en este comando.
```
aws iam put-role-policy --role-name CodeDeployDemo-EC2-Instance-Profile --policy-name CodeDeployDemo-EC2-Permissions --policy-document file://CodeDeployDemo-EC2-Permissions.json
```
1. Llame al **attach-role-policy** para conceder al rol permisos de Amazon EC2 Systems Manager para que SSM pueda instalar CodeDeploy el agente. Esta política no es necesaria si tiene pensado instalar el agente desde el bucket de Amazon S3 público con la línea de comandos. Obtenga más información sobre la [instalación del agente de CodeDeploy ](https://docs.aws.amazon.com/codedeploy/latest/userguide/codedeploy-agent-operations-install.html).
```
aws iam attach-role-policy --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore --role-name CodeDeployDemo-EC2-Instance-Profile
```
1. Ejecute el comando **create-instance-profile** seguido del comando **add-role-to-instance-profile** para crear un perfil de instancia de IAM denominado **CodeDeployDemo-EC2-Instance-Profile**. El perfil de instancia permite a Amazon EC2 pasar el rol de IAM denominado **CodeDeployDemo-EC2-Instance-Profile** a una instancia de Amazon EC2 en el momento de lanzarla por primera vez:
```
aws iam create-instance-profile --instance-profile-name CodeDeployDemo-EC2-Instance-Profile
aws iam add-role-to-instance-profile --instance-profile-name CodeDeployDemo-EC2-Instance-Profile --role-name CodeDeployDemo-EC2-Instance-Profile
```
*Si necesita obtener el nombre del perfil de la instancia de IAM, consulte [list-instance-profiles-for-role](https://docs.aws.amazon.com/cli/latest/reference/iam/list-instance-profiles-for-role.html) en la sección IAM de la Referencia.AWS CLI *
Ya ha creado un perfil de instancia de IAM para asociarlo a las instancias de Amazon EC2. Para obtener más información, consulte [Roles de IAM para Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) en la *Guía del usuario de Amazon EC2*.
## Creación de un perfil de instancia de IAM para las instancias de Amazon EC2 (consola)
1. Inicie sesión en la consola de Consola de administración de AWS IAM y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación de la consola de IAM, elija **Políticas** y después **Crear política**.
1. En la página **Especificar permisos**, seleccione **JSON**.
1. Elimine el código de muestra de `JSON`.
1. Pegue el siguiente código:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:Get*",
"s3:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**nota**
Le recomendamos que restrinja esta política únicamente a los buckets de Amazon S3 a los que las instancias de Amazon EC2 deban tener acceso. Asegúrese de dar acceso a los buckets de Amazon S3 que contienen el CodeDeploy agente. De lo contrario, podría producirse un error cuando el CodeDeploy agente esté instalado o actualizado en las instancias. Para conceder al perfil de instancia de IAM acceso únicamente a algunos buckets del kit de CodeDeploy recursos de Amazon S3, utilice la siguiente política, pero elimine las líneas de los buckets a los que desee impedir el acceso:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::aws-codedeploy-us-east-2/*",
"arn:aws:s3:::aws-codedeploy-us-east-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-2/*",
"arn:aws:s3:::aws-codedeploy-ca-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-2/*",
"arn:aws:s3:::aws-codedeploy-eu-west-3/*",
"arn:aws:s3:::aws-codedeploy-eu-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-central-2/*",
"arn:aws:s3:::aws-codedeploy-eu-north-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-2/*",
"arn:aws:s3:::aws-codedeploy-il-central-1/*",
"arn:aws:s3:::aws-codedeploy-ap-east-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-4/*",
"arn:aws:s3:::aws-codedeploy-ap-south-1/*",
"arn:aws:s3:::aws-codedeploy-ap-south-2/*",
"arn:aws:s3:::aws-codedeploy-me-central-1/*",
"arn:aws:s3:::aws-codedeploy-me-south-1/*",
"arn:aws:s3:::aws-codedeploy-sa-east-1/*"
]
}
]
}
```
**nota**
Si quieres utilizar la [autorización de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization) o los puntos de enlace de Amazon Virtual Private Cloud (VPC) CodeDeploy, tendrás que añadir más permisos. Consulte [Uso CodeDeploy con Amazon Virtual Private Cloud](https://docs.aws.amazon.com/codedeploy/latest/userguide/vpc-endpoints) para obtener más información.
1. Elija **Siguiente**.
1. En la página **Revisar y crear**, en **Nombre de la política**, escriba **CodeDeployDemo-EC2-Permissions**.
1. (Opcional) En **Descripción**, escriba una descripción para la política.
1. Elija **Crear política**.
1. En el panel de navegación, seleccione **Roles** y luego seleccione **Crear rol**.
1. En **Caso de uso**, elija el caso de uso **EC2**.
1. Elija **Siguiente**.
1. En la lista de políticas, seleccione la casilla de verificación situada junto a la política que acaba de crear (**CodeDeployDemo-EC2-Permissions**). Si es necesario, utilice el cuadro de búsqueda para encontrar la política.
1. Para usar Systems Manager para instalar o configurar el CodeDeploy agente, seleccione la casilla de verificación situada junto a **Amazon SSMManaged InstanceCore**. Esta política AWS gestionada permite que una instancia utilice la funcionalidad principal del servicio Systems Manager. Si es necesario, utilice el cuadro de búsqueda para encontrar la política. Esta política no es necesaria si tiene pensado instalar el agente desde el bucket de Amazon S3 público con la línea de comandos. Obtenga más información sobre la [instalación del agente de CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/codedeploy-agent-operations-install.html).
1. Elija **Siguiente**.
1. En la página **Asignar nombre, revisar y crear**, en **Nombre del rol**, ingrese un nombre para el rol de servicio (por ejemplo, **CodeDeployDemo-EC2-Instance-Profile**) y luego elija **Crear rol**.
También puede ingresar una descripción para este rol de servicio en el cuadro **Descripción del rol**.
Ya ha creado un perfil de instancia de IAM para asociarlo a las instancias de Amazon EC2. Para obtener más información, consulte [Roles de IAM para Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) en la *Guía del usuario de Amazon EC2*.