Paso 4: Crea un perfil de IAM instancia para tus EC2 instancias de Amazon - AWS CodeDeploy
Crea un perfil de IAM instancia para tus EC2 instancias de Amazon (CLI) Crea un perfil de IAM instancia para tus EC2 instancias de Amazon (consola)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 4: Crea un perfil de IAM instancia para tus EC2 instancias de Amazon

nota

Si utiliza la plataforma informática Amazon ECS o AWS Lambda, omita este paso.

Sus EC2 instancias de Amazon necesitan permiso para acceder a los depósitos o GitHub repositorios de Amazon S3 en los que se almacenan las aplicaciones. Para lanzar EC2 instancias de Amazon compatibles con CodeDeploy, debes crear un IAM rol adicional, un perfil de instancia. Estas instrucciones te muestran cómo crear un perfil de IAM instancia para adjuntarlo a tus EC2 instancias de Amazon. Esta función otorga al CodeDeploy agente permiso para acceder a los GitHub depósitos o repositorios de Amazon S3 en los que se almacenan sus aplicaciones.

Puede crear un perfil de IAM instancia con AWS CLI, la IAM consola o el. IAM APIs

nota

Puedes adjuntar un perfil de IAM instancia a una EC2 instancia de Amazon al lanzarla o a una instancia lanzada anteriormente. Para obtener más información, consulte Perfiles de instancia.

Crea un perfil de IAM instancia para tus EC2 instancias de Amazon (CLI)

En estos pasos suponemos que ya ha seguido las instrucciones de los tres primeros pasos de Empezar con CodeDeploy.

  1. En el equipo de implementación, crea un archivo de texto con el nombre CodeDeployDemo-EC2-Trust.json. Pega el siguiente contenido para que Amazon EC2 pueda trabajar en tu nombre:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  2. En el mismo directorio, cree un archivo de texto con el nombre CodeDeployDemo-EC2-Permissions.json. Pegue el siguiente contenido:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
    nota

    Le recomendamos que restrinja esta política únicamente a los buckets de Amazon S3 a los que deben acceder sus EC2 instancias de Amazon. Asegúrese de dar acceso a los buckets de Amazon S3 que contienen el CodeDeploy agente. De lo contrario, podría producirse un error cuando el CodeDeploy agente esté instalado o actualizado en las instancias. Para conceder al perfil de IAM instancia acceso únicamente a algunos buckets del kit de CodeDeploy recursos en Amazon S3, utilice la siguiente política, pero elimine las líneas de los buckets a los que quiere impedir el acceso:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:Get*",
        "s3:List*"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/*",
        "arn:aws:s3:::aws-codedeploy-us-east-2/*",
        "arn:aws:s3:::aws-codedeploy-us-east-1/*",
        "arn:aws:s3:::aws-codedeploy-us-west-1/*",
        "arn:aws:s3:::aws-codedeploy-us-west-2/*",
        "arn:aws:s3:::aws-codedeploy-ca-central-1/*",
        "arn:aws:s3:::aws-codedeploy-eu-west-1/*",
        "arn:aws:s3:::aws-codedeploy-eu-west-2/*",
        "arn:aws:s3:::aws-codedeploy-eu-west-3/*",
        "arn:aws:s3:::aws-codedeploy-eu-central-1/*",
        "arn:aws:s3:::aws-codedeploy-eu-central-2/*",
        "arn:aws:s3:::aws-codedeploy-eu-north-1/*",
        "arn:aws:s3:::aws-codedeploy-eu-south-1/*",
        "arn:aws:s3:::aws-codedeploy-eu-south-2/*",
        "arn:aws:s3:::aws-codedeploy-il-central-1/*",
        "arn:aws:s3:::aws-codedeploy-ap-east-1/*",
        "arn:aws:s3:::aws-codedeploy-ap-northeast-1/*",
        "arn:aws:s3:::aws-codedeploy-ap-northeast-2/*",
        "arn:aws:s3:::aws-codedeploy-ap-northeast-3/*",
        "arn:aws:s3:::aws-codedeploy-ap-southeast-1/*",        
        "arn:aws:s3:::aws-codedeploy-ap-southeast-2/*",
        "arn:aws:s3:::aws-codedeploy-ap-southeast-3/*",
        "arn:aws:s3:::aws-codedeploy-ap-southeast-4/*",
        "arn:aws:s3:::aws-codedeploy-ap-south-1/*",
        "arn:aws:s3:::aws-codedeploy-ap-south-2/*",
        "arn:aws:s3:::aws-codedeploy-me-central-1/*",
        "arn:aws:s3:::aws-codedeploy-me-south-1/*",
        "arn:aws:s3:::aws-codedeploy-sa-east-1/*"
      ]
    }
  ]
}
    nota

    Si quieres usar la IAMautorización o los puntos de enlace de Amazon Virtual Private Cloud (VPC) con CodeDeploy, tendrás que añadir más permisos. Consulte Uso CodeDeploy con Amazon Virtual Private Cloud para obtener más información.

  3. Desde el mismo directorio, create-role ejecute el comando para crear un IAM rol denominadoCodeDeployDemo-EC2-Instance-Profile, en función de la información del primer archivo:

    importante

    Asegúrese de incluir file:// antes del nombre de archivo. Es obligatorio en este comando.

    aws iam create-role --role-name CodeDeployDemo-EC2-Instance-Profile --assume-role-policy-document file://CodeDeployDemo-EC2-Trust.json

  4. Desde el mismo directorio, llame al comando put-role-policy para conceder al rol CodeDeployDemo-EC2-Instance-Profile los permisos correspondientes a la información del segundo archivo:

    importante

    Asegúrese de incluir file:// antes del nombre de archivo. Es obligatorio en este comando.

    aws iam put-role-policy --role-name CodeDeployDemo-EC2-Instance-Profile --policy-name CodeDeployDemo-EC2-Permissions --policy-document file://CodeDeployDemo-EC2-Permissions.json

  5. Llame al attach-role-policy para conceder al rol los permisos de Amazon EC2 Systems Manager para que SSM pueda instalar el CodeDeploy agente. Esta política no es necesaria si tiene pensado instalar el agente desde el bucket de Amazon S3 público con la línea de comandos. Obtenga más información sobre la instalación del agente de CodeDeploy . 

    aws iam attach-role-policy --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore --role-name CodeDeployDemo-EC2-Instance-Profile

  6. Llama al create-instance-profile comando seguido del add-role-to-instance-profile comando para crear un perfil de IAM instancia con el nombreCodeDeployDemo-EC2-Instance-Profile. El perfil de instancia permite EC2 a Amazon transferir el IAM rol nombrado CodeDeployDemo-EC2-Instance-Profile a una EC2 instancia de Amazon cuando la instancia se lanza por primera vez:

    aws iam create-instance-profile --instance-profile-name CodeDeployDemo-EC2-Instance-Profile
aws iam add-role-to-instance-profile --instance-profile-name CodeDeployDemo-EC2-Instance-Profile --role-name CodeDeployDemo-EC2-Instance-Profile

    Si necesitas obtener el nombre del perfil de la IAM instancia, consulta list-instance-profiles-for-role en la IAM sección de la AWS CLI Referencia.

Ahora has creado un perfil de IAM instancia para adjuntarlo a tus EC2 instancias de Amazon. Para obtener más información, consulta IAMlas funciones de Amazon EC2 en la Guía del EC2 usuario de Amazon.

Crea un perfil de IAM instancia para tus EC2 instancias de Amazon (consola)

  1. Inicia sesión en AWS Management Console y abre la IAM consola en https://console.aws.amazon.com/iam/.

  2. En la IAM consola, en el panel de navegación, selecciona Políticas y, a continuación, selecciona Crear política.

  3. En la página Especificar permisos, elija JSON.

  4. Elimine el código de muestra de JSON.

  5. Pegue el siguiente código:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
    nota

    Le recomendamos que restrinja esta política únicamente a los buckets de Amazon S3 a los que deben acceder sus EC2 instancias de Amazon. Asegúrese de dar acceso a los buckets de Amazon S3 que contienen el CodeDeploy agente. De lo contrario, podría producirse un error cuando el CodeDeploy agente esté instalado o actualizado en las instancias. Para conceder al perfil de IAM instancia acceso únicamente a algunos buckets del kit de CodeDeploy recursos en Amazon S3, utilice la siguiente política, pero elimine las líneas de los buckets a los que quiere impedir el acceso:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:Get*",
        "s3:List*"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/*",
        "arn:aws:s3:::aws-codedeploy-us-east-2/*",
        "arn:aws:s3:::aws-codedeploy-us-east-1/*",
        "arn:aws:s3:::aws-codedeploy-us-west-1/*",
        "arn:aws:s3:::aws-codedeploy-us-west-2/*",
        "arn:aws:s3:::aws-codedeploy-ca-central-1/*",
        "arn:aws:s3:::aws-codedeploy-eu-west-1/*",
        "arn:aws:s3:::aws-codedeploy-eu-west-2/*",
        "arn:aws:s3:::aws-codedeploy-eu-west-3/*",
        "arn:aws:s3:::aws-codedeploy-eu-central-1/*",
        "arn:aws:s3:::aws-codedeploy-eu-central-2/*",
        "arn:aws:s3:::aws-codedeploy-eu-north-1/*",
        "arn:aws:s3:::aws-codedeploy-eu-south-1/*",
        "arn:aws:s3:::aws-codedeploy-eu-south-2/*",
        "arn:aws:s3:::aws-codedeploy-il-central-1/*",
        "arn:aws:s3:::aws-codedeploy-ap-east-1/*",
        "arn:aws:s3:::aws-codedeploy-ap-northeast-1/*",
        "arn:aws:s3:::aws-codedeploy-ap-northeast-2/*",
        "arn:aws:s3:::aws-codedeploy-ap-northeast-3/*",
        "arn:aws:s3:::aws-codedeploy-ap-southeast-1/*",        
        "arn:aws:s3:::aws-codedeploy-ap-southeast-2/*",
        "arn:aws:s3:::aws-codedeploy-ap-southeast-3/*",
        "arn:aws:s3:::aws-codedeploy-ap-southeast-4/*",
        "arn:aws:s3:::aws-codedeploy-ap-south-1/*",
        "arn:aws:s3:::aws-codedeploy-ap-south-2/*",
        "arn:aws:s3:::aws-codedeploy-me-central-1/*",
        "arn:aws:s3:::aws-codedeploy-me-south-1/*",
        "arn:aws:s3:::aws-codedeploy-sa-east-1/*"
      ]
    }
  ]
}
    nota

    Si quieres usar la IAMautorización o los puntos de enlace de Amazon Virtual Private Cloud (VPC) con CodeDeploy, tendrás que añadir más permisos. Consulte Uso CodeDeploy con Amazon Virtual Private Cloud para obtener más información.

  6. Elija Next (Siguiente).

  7. En la página Revisar y crear, en Nombre de la política, escriba CodeDeployDemo-EC2-Permissions.

  8. (Opcional) En Descripción, escriba una descripción para la política.

  9. Elija Crear política.

  10. En el panel de navegación, seleccione Roles y luego seleccione Crear rol.

  11. En Caso de uso, seleccione el caso de EC2uso.

  12. Elija Next (Siguiente).

  13. En la lista de políticas, active la casilla de verificación situada junto a la política que acaba de crear (CodeDeployDemo- EC2 -Permisos). Si es necesario, utilice el cuadro de búsqueda para encontrar la política.

  14. Para usar Systems Manager para instalar o configurar el CodeDeploy agente, seleccione la casilla de verificación situada junto a mazonSSMManaged InstanceCore A. Esta política AWS gestionada permite que una instancia utilice la funcionalidad principal del servicio Systems Manager. Si es necesario, utilice el cuadro de búsqueda para encontrar la política. Esta política no es necesaria si tiene pensado instalar el agente desde el bucket de Amazon S3 público con la línea de comandos. Obtenga más información sobre la instalación del agente de CodeDeploy.

  15. Elija Next (Siguiente).

  16. En la página Asignar nombre, revisar y crear, en Nombre del rol, ingrese un nombre para el rol de servicio (por ejemplo, CodeDeployDemo-EC2-Instance-Profile) y luego elija Crear rol.

    También puede ingresar una descripción para este rol de servicio en el cuadro Descripción del rol.

Ahora has creado un perfil de IAM instancia para adjuntarlo a tus EC2 instancias de Amazon. Para obtener más información, consulta IAMlas funciones de Amazon EC2 en la Guía del EC2 usuario de Amazon.