Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Paso 3: Limitar los permisos del CodeDeploy usuario
Por motivos de seguridad, le recomendamos que limite los permisos del usuario administrativo que creó Paso 1: Configurar a solo los necesarios para crear y administrar las implementaciones en CodeDeploy él.
Utilice la siguiente serie de procedimientos para limitar los permisos del usuario CodeDeploy administrativo.
Antes de empezar
-
Asegúrese de haber creado un usuario CodeDeploy administrativo en IAM Identity Center siguiendo las instrucciones que se indican enPaso 1: Configurar.
Para crear un conjunto de permisos
Asignará este conjunto de permisos al usuario CodeDeploy administrativo más adelante.
Inicie sesión en AWS Management Console y abra la AWS IAM Identity Center consola en https://console.aws.amazon.com/singlesignon/
. -
En el panel de navegación, elija Conjuntos de permisos y, a continuación, elija Crear conjunto de permisos.
-
Elija Conjunto de permisos personalizado.
-
Elija Siguiente.
-
Elija Política insertada.
-
Elimine el código de muestra.
-
Añada el código de política siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CodeDeployAccessPolicy", "Effect": "Allow", "Action": [ "autoscaling:*", "codedeploy:*", "ec2:*", "lambda:*", "ecs:*", "elasticloadbalancing:*", "iam:AddRoleToInstanceProfile", "iam:AttachRolePolicy", "iam:CreateInstanceProfile", "iam:CreateRole", "iam:DeleteInstanceProfile", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:GetInstanceProfile", "iam:GetRole", "iam:GetRolePolicy", "iam:ListInstanceProfilesForRole", "iam:ListRolePolicies", "iam:ListRoles", "iam:PutRolePolicy", "iam:RemoveRoleFromInstanceProfile", "s3:*", "ssm:*" ], "Resource": "*" }, { "Sid": "CodeDeployRolePolicy", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "
arn:aws:iam::account-ID:role/CodeDeployServiceRole
" } ] }En esta política, sustituya
arn:aws:iam::account-ID:role/CodeDeployServiceRole
por el ARN valor del rol de CodeDeploy servicio en el que lo creóPaso 2: Crear un rol de servicio para CodeDeploy. Puede encontrar el ARN valor en la página de detalles del rol de servicio de la IAM consola.La política anterior le permite implementar una aplicación en una plataforma informática AWS Lambda, una plataforma informática EC2 /On-Premises y una plataforma informática Amazon. ECS
Puedes usar las AWS CloudFormation plantillas que se proporcionan en esta documentación para lanzar EC2 instancias de Amazon que sean compatibles con CodeDeploy. Para usar AWS CloudFormation plantillas para crear aplicaciones, grupos de despliegues o configuraciones de despliegues, debes proporcionar acceso a AWS CloudFormation(y AWS los servicios y acciones que AWS CloudFormation dependan de ellos) añadiendo el
cloudformation:*
permiso a la política de permisos del usuario CodeDeploy administrativo, de la siguiente manera:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ ... "cloudformation:*" ], "Resource": "*" } ] }
-
Elija Next (Siguiente).
-
En Nombre del conjunto de permisos, introduzca:
CodeDeployUserPermissionSet
-
Elija Next (Siguiente).
-
En la página Revisión, revise la información y, a continuación, elija Crear grupo.
Para asignar el conjunto de permisos al usuario administrativo CodeDeploy
-
En el panel de navegación, elija y Cuentas de AWS, a continuación, active la casilla de verificación situada junto a la casilla en la Cuenta de AWS que ha iniciado sesión actualmente.
-
Seleccione el botón Asignar usuarios o grupos.
-
Elija la pestaña Usuarios.
-
Seleccione la casilla de verificación situada junto al usuario CodeDeploy administrativo.
-
Elija Next (Siguiente).
-
Seleccione la casilla situada junto a
CodeDeployUserPermissionSet
. -
Elija Next (Siguiente).
-
Revise la información y seleccione Enviar.
Ahora ha asignado el usuario CodeDeploy administrativo y
CodeDeployUserPermissionSet
el suyo Cuenta de AWS, uniéndolos.
Para cerrar sesión y volver a iniciarla como usuario CodeDeploy administrativo
-
Antes de cerrar sesión, asegúrese de tener el portal de AWS acceso y el nombre de usuario URL y la contraseña de un solo uso del usuario CodeDeploy administrativo.
nota
Si no dispone de esta información, vaya a la página de detalles del usuario CodeDeploy administrativo en IAM Identity Center, seleccione Restablecer contraseña, Generar una contraseña de un solo uso [...] y vuelva a restablecer la contraseña para que aparezca la información en la pantalla.
-
Cerrar sesión en AWS.
-
Pegue el portal de AWS acceso URL en la barra de direcciones de su navegador.
-
Inicie sesión como CodeDeploy usuario administrativo.
Aparece un cuadro de Cuenta de AWS en la pantalla.
-
Elija y Cuenta de AWS, Cuenta de AWS a continuación, elija el nombre del usuario CodeDeploy administrativo y el conjunto de permisos.
-
Junto a
CodeDeployUserPermissionSet
, seleccione Consola de administración.Aparece el AWS Management Console . Ahora ha iniciado sesión como usuario CodeDeploy administrativo con los permisos limitados. Ahora puede realizar operaciones CodeDeploy relacionadas, y solo operaciones CodeDeploy relacionadas, como este usuario.