Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Commencer avec CodeDeploy
**Topics**
+ [Étape 1 : Configuration](getting-started-setting-up.md)
+ [Étape 2 : créer un rôle de service pour CodeDeploy](getting-started-create-service-role.md)
+ [Étape 3 : Limiter les autorisations de l' CodeDeploy utilisateur](getting-started-policy.md)
+ [Étape 4 : Création d'un profil d'instance IAM pour vos instances Amazon EC2](getting-started-create-iam-instance-profile.md)
# Étape 1 : Configuration
Avant de l'utiliser AWS CodeDeploy pour la première fois, vous devez suivre les étapes de configuration. Les étapes consistent à créer un AWS compte (si vous n'en avez pas déjà un) et un utilisateur administratif doté d'un accès programmatique.
Dans ce guide, l'utilisateur administratif est appelé **utilisateur CodeDeploy administratif**.
## Inscrivez-vous pour un Compte AWS
Si vous n'en avez pas Compte AWS, procédez comme suit pour en créer un.
**Pour vous inscrire à un Compte AWS**
1. Ouvrez l'[https://portal.aws.amazon.com/billing/inscription.](https://portal.aws.amazon.com/billing/signup)
1. Suivez les instructions en ligne.
Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique ou un SMS et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.
Lorsque vous vous inscrivez à un Compte AWS, un *Utilisateur racine d'un compte AWS*est créé. Par défaut, seul l’utilisateur racine a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l’utilisateur racine pour effectuer les [tâches nécessitant un accès utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. À tout moment, vous pouvez consulter l'activité actuelle de votre compte et gérer votre compte en accédant à [https://aws.amazon.com/](https://aws.amazon.com/)et en choisissant **Mon compte**.
## Création d’un utilisateur doté d’un accès administratif
Une fois que vous vous êtes inscrit à un utilisateur administratif Compte AWS, que vous Utilisateur racine d'un compte AWS l'avez sécurisé AWS IAM Identity Center, que vous l'avez activé et que vous en avez créé un, afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.
**Sécurisez votre Utilisateur racine d'un compte AWS**
1. Connectez-vous en [AWS Management Console](https://console.aws.amazon.com/)tant que propriétaire du compte en choisissant **Utilisateur root** et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.
Pour obtenir de l’aide pour vous connecter en utilisant l’utilisateur racine, consultez [Connexion en tant qu’utilisateur racine](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) dans le *Guide de l’utilisateur Connexion à AWS *.
1. Activez l’authentification multifactorielle (MFA) pour votre utilisateur racine.
Pour obtenir des instructions, consultez la section [Activer un périphérique MFA virtuel pour votre utilisateur Compte AWS root (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) dans le guide de l'utilisateur *IAM*.
**Création d’un utilisateur doté d’un accès administratif**
1. Activez IAM Identity Center.
Pour obtenir des instructions, consultez [Activation d’ AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
1. Dans IAM Identity Center, octroyez un accès administratif à un utilisateur.
Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir [Configurer l'accès utilisateur par défaut Répertoire IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) dans le *Guide de AWS IAM Identity Center l'utilisateur*.
**Connexion en tant qu’utilisateur doté d’un accès administratif**
+ Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l’URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l’utilisateur IAM Identity Center.
Pour obtenir de l'aide pour vous connecter en utilisant un utilisateur d'IAM Identity Center, consultez la section [Connexion au portail AWS d'accès](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) dans le *guide de l'Connexion à AWS utilisateur*.
**Attribution d’un accès à d’autres utilisateurs**
1. Dans IAM Identity Center, créez un ensemble d’autorisations qui respecte la bonne pratique consistant à appliquer les autorisations de moindre privilège.
Pour obtenir des instructions, consultez [Création d’un ensemble d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
1. Attribuez des utilisateurs à un groupe, puis attribuez un accès par authentification unique au groupe.
Pour obtenir des instructions, consultez [Ajout de groupes](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
Vous avez maintenant créé et connecté en tant qu'**utilisateur CodeDeploy administratif**.
## Octroi d’un accès par programmation
Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui y accède AWS.
Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.
****
| Quel utilisateur a besoin d’un accès programmatique ? | À | Méthode |
| --- | --- | --- |
| IAM | (Recommandé) Utilisez les informations d'identification de la console comme informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/codedeploy/latest/userguide/getting-started-setting-up.html) |
| Identité de la main-d’œuvre (Utilisateurs gérés dans IAM Identity Center) | Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/codedeploy/latest/userguide/getting-started-setting-up.html) |
| IAM | Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de la section [Utilisation d'informations d'identification temporaires avec AWS les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) du Guide de l'utilisateur IAM. |
| IAM | (Non recommandé)Utilisez des informations d'identification à long terme pour signer des demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/codedeploy/latest/userguide/getting-started-setting-up.html) |
**Important**
Nous vous recommandons vivement de configurer l'utilisateur CodeDeploy administratif en tant qu'identité du personnel (un utilisateur géré dans IAM Identity Center) avec le. AWS CLI La plupart des procédures décrites dans ce guide supposent que vous utilisez le AWS CLI pour effectuer des configurations.
**Important**
Si vous configurez le AWS CLI, vous serez peut-être invité à spécifier une AWS région. Choisissez l'une des régions prises en charge répertoriées dans [Région et les points de terminaison](https://docs.aws.amazon.com/general/latest/gr/rande.html#codedeploy_region) dans le *Références générales AWS*.
# Étape 2 : créer un rôle de service pour CodeDeploy
Dans AWS, les rôles de service sont utilisés pour accorder des autorisations à un AWS service afin qu'il puisse accéder aux AWS ressources. Les politiques que vous attachez au rôle de service déterminent les ressources auxquelles le service peut accéder et ce qu'il peut faire avec ces ressources.
Le rôle de service pour lequel vous créez CodeDeploy doit disposer des autorisations requises pour votre plate-forme de calcul. Si vous déployez sur plusieurs plateformes informatiques, créez un rôle de service pour chacune d'entre elles. Pour ajouter des autorisations, joignez une ou plusieurs des politiques AWS fournies suivantes :
Pour les déploiements EC2/sur site, joignez la politique. **AWSCodeDeployRole** Elle fournit les autorisations requises pour que votre rôle de service puisse :
+ Lisez les balises de vos instances ou identifiez vos instances Amazon EC2 par les noms de groupes Amazon EC2 Auto Scaling.
+ Lisez, créez, mettez à jour et supprimez les groupes Amazon EC2 Auto Scaling, les hooks de cycle de vie et les politiques de dimensionnement.
+ Publiez des informations dans les rubriques Amazon SNS.
+ Récupérez des informations sur les CloudWatch alarmes.
+ Lisez et mettez à jour Elastic Load Balancing.
**Note**
Si vous créez votre groupe Auto Scaling avec un modèle de lancement, vous devez ajouter les autorisations suivantes :
`ec2:RunInstances`
`ec2:CreateTags`
`iam:PassRole`
Pour plus d'informations[Étape 2 : créer un rôle de service](#getting-started-create-service-role), consultez les sections [Création d'un modèle de lancement pour un groupe Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html) et [prise en charge des modèles de lancement](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-launch-template-permissions.html) dans le guide de l'*utilisateur Amazon EC2 Auto Scaling*.
Pour les déploiements Amazon ECS, si vous souhaitez un accès complet aux services de support, joignez la **AWSCodeDeployRoleForECS** politique. Elle fournit les autorisations requises pour que votre rôle de service puisse :
+ Lisez, mettez à jour et supprimez des ensembles de tâches Amazon ECS.
+ Mettez à jour les groupes cibles, les auditeurs et les règles d'Elastic Load Balancing.
+ Invoquez AWS Lambda des fonctions.
+ Accédez aux fichiers de révision dans les compartiments Amazon S3.
+ Récupérez des informations sur les CloudWatch alarmes.
+ Publiez des informations dans les rubriques Amazon SNS.
Pour les déploiements Amazon ECS, si vous souhaitez un accès limité aux services de support, joignez la **AWSCodeDeployRoleForECSLimited** politique. Elle fournit les autorisations requises pour que votre rôle de service puisse :
+ Lisez, mettez à jour et supprimez des ensembles de tâches Amazon ECS.
+ Récupérez des informations sur les CloudWatch alarmes.
+ Publiez des informations dans les rubriques Amazon SNS.
Pour les déploiements AWS Lambda, si vous souhaitez autoriser la publication sur Amazon SNS, joignez la politique. **AWSCodeDeployRoleForLambda** Elle fournit les autorisations requises pour que votre rôle de service puisse :
+ Lisez, mettez à jour et invoquez AWS Lambda des fonctions et des alias.
+ Accédez aux fichiers de révision dans les compartiments Amazon S3.
+ Récupérez des informations sur les CloudWatch alarmes.
+ Publiez des informations dans les rubriques Amazon SNS.
Pour les déploiements AWS Lambda, si vous souhaitez limiter l'accès à Amazon SNS, joignez la politique. **AWSCodeDeployRoleForLambdaLimited** Elle fournit les autorisations requises pour que votre rôle de service puisse :
+ Lisez, mettez à jour et invoquez AWS Lambda des fonctions et des alias.
+ Accédez aux fichiers de révision dans les compartiments Amazon S3.
+ Récupérez des informations sur les CloudWatch alarmes.
Dans le cadre de la configuration du rôle de service, vous mettez à jour également sa relation d'approbation pour spécifier les points de terminaison auxquels vous souhaitez lui accorder l'accès.
Vous pouvez créer un rôle de service avec la console IAM AWS CLI, le ou l' APIsIAM.
**Topics**
+ [Création d'un rôle de service (console)](#getting-started-create-service-role-console)
+ [Création d'un rôle de service (CLI)](#getting-started-create-service-role-cli)
+ [Obtenir l'ARN du rôle de service (console)](#getting-started-get-service-role-console)
+ [Obtenez l'ARN du rôle de service (CLI)](#getting-started-get-service-role-cli)
## Création d'un rôle de service (console)
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.
1. Choisissez le **AWS service**, puis sous **Cas d'utilisation**, dans la liste déroulante, sélectionnez **CodeDeploy**.
1. Choisissez votre cas d'utilisation :
+ Pour les déploiements EC2/sur site, choisissez. **CodeDeploy**
+ **Pour les déploiements AWS Lambda, choisissez Lambda. CodeDeploy **
+ Pour les déploiements Amazon ECS, choisissez **CodeDeploy - ECS.**
1. Choisissez **Suivant**.
1. Sur la page **Ajouter des autorisations**, la politique d'autorisation adaptée au cas d'utilisation est affichée. Choisissez **Suivant**.
1. Sur la page **Nom, révision et création**, dans **Nom du rôle**, entrez le nom du rôle de service (par exemple,**CodeDeployServiceRole**), puis choisissez **Créer un rôle**.
Vous pouvez également saisir une description de ce rôle de service dans **Description du rôle**.
1. Si vous souhaitez que ce rôle de service ait l'autorisation d'accéder à tous les points de terminaison actuellement pris en charge, vous avez terminé cette procédure.
Pour empêcher ce rôle de service d'accéder à certains points de terminaison, poursuivez les étapes restantes de cette procédure.
1. Dans la liste des rôles, recherchez et choisissez le rôle que vous venez de créer (`CodeDeployServiceRole`).
1. Choisissez l’onglet **Relations de confiance**.
1. Choisissez **Modifier la politique d’approbation**.
Vous devriez voir la stratégie suivante, qui fournit au rôle de service l'autorisation d'accéder à tous les points de terminaison pris en charge :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
Pour accorder au rôle de service l'accès à certains points de terminaison pris en charge uniquement, remplacez le contenu de la zone de texte de la politique de confiance par la politique suivante. Supprimez les lignes correspondant aux points de terminaison auxquels vous souhaitez empêcher l'accès, puis choisissez **Mettre à jour la politique**.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.us-east-1.amazonaws.com",
"codedeploy.us-east-2.amazonaws.com",
"codedeploy.us-west-1.amazonaws.com",
"codedeploy.us-west-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.ap-east-1.amazonaws.com",
"codedeploy.ap-northeast-1.amazonaws.com",
"codedeploy.ap-northeast-2.amazonaws.com",
"codedeploy.ap-northeast-3.amazonaws.com",
"codedeploy.ap-southeast-1.amazonaws.com",
"codedeploy.ap-southeast-2.amazonaws.com",
"codedeploy.ap-southeast-3.amazonaws.com",
"codedeploy.ap-southeast-4.amazonaws.com",
"codedeploy.ap-south-1.amazonaws.com",
"codedeploy.ap-south-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.eu-west-1.amazonaws.com",
"codedeploy.eu-west-2.amazonaws.com",
"codedeploy.eu-west-3.amazonaws.com",
"codedeploy.eu-central-1.amazonaws.com",
"codedeploy.eu-central-2.amazonaws.com",
"codedeploy.eu-north-1.amazonaws.com",
"codedeploy.eu-south-1.amazonaws.com",
"codedeploy.eu-south-2.amazonaws.com",
"codedeploy.il-central-1.amazonaws.com",
"codedeploy.me-central-1.amazonaws.com",
"codedeploy.me-south-1.amazonaws.com",
"codedeploy.sa-east-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
Pour plus d'informations sur la création de rôles de service, consultez la section [Création d'un rôle pour déléguer des autorisations à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-creatingrole-service.html) dans le *Guide de l'utilisateur IAM*.
## Création d'un rôle de service (CLI)
1. Sur votre machine de développement, créez un fichier texte nommé, par exemple, `CodeDeployDemo-Trust.json`. Ce fichier est utilisé pour permettre à CodeDeploy de travailler en votre nom.
Effectuez l’une des actions suivantes :
+ Pour accorder l'accès à toutes les AWS régions prises en charge, enregistrez le contenu suivant dans le fichier :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
+ Pour accorder l'accès à certaines régions prises en charge seulement, tapez le contenu suivant dans le fichier et supprimez les lignes pour les régions auxquelles vous souhaitez exclure l'accès :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.us-east-1.amazonaws.com",
"codedeploy.us-east-2.amazonaws.com",
"codedeploy.us-west-1.amazonaws.com",
"codedeploy.us-west-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.ap-east-1.amazonaws.com",
"codedeploy.ap-northeast-1.amazonaws.com",
"codedeploy.ap-northeast-2.amazonaws.com",
"codedeploy.ap-northeast-3.amazonaws.com",
"codedeploy.ap-southeast-1.amazonaws.com",
"codedeploy.ap-southeast-2.amazonaws.com",
"codedeploy.ap-southeast-3.amazonaws.com",
"codedeploy.ap-southeast-4.amazonaws.com",
"codedeploy.ap-south-1.amazonaws.com",
"codedeploy.ap-south-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.eu-west-1.amazonaws.com",
"codedeploy.eu-west-2.amazonaws.com",
"codedeploy.eu-west-3.amazonaws.com",
"codedeploy.eu-central-1.amazonaws.com",
"codedeploy.eu-central-2.amazonaws.com",
"codedeploy.eu-north-1.amazonaws.com",
"codedeploy.eu-south-1.amazonaws.com",
"codedeploy.eu-south-2.amazonaws.com",
"codedeploy.il-central-1.amazonaws.com",
"codedeploy.me-central-1.amazonaws.com",
"codedeploy.me-south-1.amazonaws.com",
"codedeploy.sa-east-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
**Note**
N'utilisez pas de virgule après le dernier point de terminaison de la liste.
1. Dans le même répertoire, appelez la commande **create-role** pour créer un rôle de service nommé **CodeDeployServiceRole** sur la base des informations figurant dans le fichier texte que vous venez de créer :
```
aws iam create-role --role-name CodeDeployServiceRole --assume-role-policy-document file://CodeDeployDemo-Trust.json
```
**Important**
N'oubliez pas d'inclure `file://` devant le nom du fichier. Il est nécessaire dans cette commande.
Dans la sortie de la commande, notez la valeur de l'entrée `Arn` sous l'objet `Role`. Vous en aurez besoin plus tard pour créer des groupes de déploiement. Si vous oubliez cette valeur, suivez les instructions fournies dans la section [Obtenez l'ARN du rôle de service (CLI)](#getting-started-get-service-role-cli).
1. La politique gérée que vous utilisez dépend de la plateforme de calcul.
+ Si votre déploiement concerne une plate-forme informatique EC2/sur site :
Appelez la **attach-role-policy** commande pour donner au rôle de service nommé **CodeDeployServiceRole** les autorisations en fonction de la politique gérée IAM nommée**AWSCodeDeployRole**. Par exemple :
```
aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSCodeDeployRole
```
+ Si votre déploiement concerne une plate-forme de calcul AWS Lambda :
Appelez la **attach-role-policy** commande pour donner au rôle de service nommé **CodeDeployServiceRole** les autorisations en fonction de la politique gérée par IAM nommée **AWSCodeDeployRoleForLambda** ou**AWSCodeDeployRoleForLambdaLimited**. Par exemple :
```
aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSCodeDeployRoleForLambda
```
+ Si votre déploiement concerne une plateforme de calcul Amazon ECS :
Appelez la **attach-role-policy** commande pour donner au rôle de service nommé **CodeDeployServiceRole** les autorisations en fonction de la politique gérée par IAM nommée **AWSCodeDeployRoleForECS** ou**AWSCodeDeployRoleForECSLimited**. Par exemple :
```
aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/AWSCodeDeployRoleForECS
```
Pour plus d'informations sur la création de rôles de service, consultez la section [Création d'un rôle pour un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/create-role-xacct.html) dans le *Guide de l'utilisateur IAM*.
## Obtenir l'ARN du rôle de service (console)
Pour utiliser la console IAM afin d'obtenir l'ARN du rôle de service :
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Dans la zone de texte **Filtre**, entrez **CodeDeployServiceRole**, puis appuyez sur Entrée.
1. Sélectionnez **CodeDeployServiceRole**.
1. Notez la valeur du champ **Role ARN**.
## Obtenez l'ARN du rôle de service (CLI)
Pour utiliser le AWS CLI pour obtenir l'ARN du rôle de service, appelez la **get-role** commande en fonction du rôle de service nommé **CodeDeployServiceRole** :
```
aws iam get-role --role-name CodeDeployServiceRole --query "Role.Arn" --output text
```
La valeur retournée correspond au nom ARN du rôle de service.
# Étape 3 : Limiter les autorisations de l' CodeDeploy utilisateur
Pour des raisons de sécurité, nous vous recommandons de limiter les autorisations de l'utilisateur administratif que vous avez créé [Étape 1 : Configuration](getting-started-setting-up.md) à celles requises pour créer et gérer des déploiements dans CodeDeploy.
Utilisez la série de procédures suivante pour limiter les autorisations de l'utilisateur CodeDeploy administratif.
**Avant de commencer**
+ Assurez-vous d'avoir créé un utilisateur CodeDeploy administratif dans IAM Identity Center en [Étape 1 : Configuration](getting-started-setting-up.md) suivant les instructions de.
**Pour créer un jeu d'autorisations**
Vous attribuerez cet ensemble d'autorisations à l'utilisateur CodeDeploy administratif ultérieurement.
1. Connectez-vous à la AWS IAM Identity Center console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).
1. Dans le volet de navigation, choisissez **Ensembles d'autorisations**, puis choisissez **Créer un ensemble d'autorisations**.
1. Choisissez **Ensemble d'autorisations personnalisé**.
1. Choisissez **Suivant**.
1. Choisissez **Inline policy**.
1. Supprimez l'exemple de code.
1. Ajoutez le code de politique suivant :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CodeDeployAccessPolicy",
"Effect": "Allow",
"Action": [
"autoscaling:*",
"codedeploy:*",
"ec2:*",
"lambda:*",
"ecs:*",
"elasticloadbalancing:*",
"iam:AddRoleToInstanceProfile",
"iam:AttachRolePolicy",
"iam:CreateInstanceProfile",
"iam:CreateRole",
"iam:DeleteInstanceProfile",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:GetInstanceProfile",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListInstanceProfilesForRole",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:PutRolePolicy",
"iam:RemoveRoleFromInstanceProfile",
"s3:*",
"ssm:*"
],
"Resource": "*"
},
{
"Sid": "CodeDeployRolePolicy",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/CodeDeployServiceRole"
}
]
}
```
------
Dans cette politique, remplacez *arn:aws:iam::account-ID:role/CodeDeployServiceRole* par la valeur ARN du rôle de CodeDeploy service dans lequel vous l'avez créé[Étape 2 : créer un rôle de service pour CodeDeploy](getting-started-create-service-role.md). Vous trouverez la valeur ARN sur la page de détails du rôle de service de la console IAM.
La politique précédente vous permet de déployer une application sur une plate-forme de calcul AWS Lambda, une plate-forme de calcul EC2/sur site et une plate-forme de calcul Amazon ECS.
Vous pouvez utiliser les CloudFormation modèles fournis dans cette documentation pour lancer des instances Amazon EC2 compatibles avec. CodeDeploy Pour utiliser des CloudFormation modèles pour créer des applications, des groupes de déploiement ou des configurations de déploiement, vous devez fournir un CloudFormation accès aux AWS services et aux actions qui en CloudFormation dépendent en ajoutant l'`cloudformation:*`autorisation à la politique d'autorisation de l'utilisateur CodeDeploy administratif, comme suit :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
------
1. Choisissez **Suivant**.
1. Dans **Nom du jeu d'autorisations**, entrez :
```
CodeDeployUserPermissionSet
```
1. Choisissez **Suivant**.
1. Sur la page **Réviser et créer**, passez en revue les informations et choisissez **Créer**.
**Pour attribuer l'ensemble d'autorisations à l'utilisateur CodeDeploy administratif**
1. Dans le volet de navigation, choisissez **Comptes AWS**, puis cochez la case à côté de Compte AWS celle à laquelle vous êtes actuellement connecté.
1. Cliquez sur le bouton **Attribuer des utilisateurs ou des groupes**.
1. Sélectionnez l’onglet **Utilisateurs**.
1. Cochez la case à côté de l'utilisateur CodeDeploy administratif.
1. Choisissez **Suivant**.
1. Cochez la case à côté de`CodeDeployUserPermissionSet`.
1. Choisissez **Suivant**.
1. Vérifiez les informations et choisissez **Soumettre**.
Vous avez maintenant attribué l'utilisateur CodeDeploy administratif et `CodeDeployUserPermissionSet` à votre Compte AWS, en les liant ensemble.
**Pour vous déconnecter et vous reconnecter en tant qu'utilisateur CodeDeploy administratif**
1. Avant de vous déconnecter, assurez-vous d'avoir l'URL du portail AWS d'accès ainsi que le nom d'utilisateur et le mot de passe à usage unique de l'utilisateur CodeDeploy administratif.
**Note**
Si vous ne disposez pas de ces informations, rendez-vous sur la page des informations de l'utilisateur CodeDeploy administratif dans IAM Identity Center, choisissez **Réinitialiser le mot de passe, Générer un mot de passe** **à usage unique [...]** , et **Réinitialisez à nouveau le mot** de passe pour afficher les informations à l'écran.
1. Déconnectez-vous de AWS.
1. Collez l'URL du portail d' AWS accès dans la barre d'adresse de votre navigateur.
1. Connectez-vous en tant qu' CodeDeploy utilisateur administratif.
Une **Compte AWS**boîte apparaît à l'écran.
1. Choisissez **Compte AWS**, puis choisissez le nom auquel vous avez attribué l'utilisateur CodeDeploy administratif et le jeu d'autorisations. Compte AWS
1. À côté de`CodeDeployUserPermissionSet`, choisissez **Console de gestion**.
Le AWS Management Console apparaît. Vous êtes maintenant connecté en tant qu'utilisateur CodeDeploy administratif avec les autorisations limitées. Vous pouvez désormais effectuer des CodeDeploy opérations connexes, et *uniquement* des CodeDeploy opérations connexes, en tant que cet utilisateur.
# Étape 4 : Création d'un profil d'instance IAM pour vos instances Amazon EC2
**Note**
Si vous utilisez la plateforme de calcul Amazon ECS ou AWS Lambda, ignorez cette étape.
Vos instances Amazon EC2 ont besoin d'une autorisation pour accéder aux compartiments ou aux GitHub référentiels Amazon S3 dans lesquels les applications sont stockées. *Pour lancer des instances Amazon EC2 compatibles avec CodeDeploy, vous devez créer un rôle IAM supplémentaire, un profil d'instance.* Ces instructions vous montrent comment créer un profil d'instance IAM à associer à vos instances Amazon EC2. Ce rôle donne à l' CodeDeploy agent l'autorisation d'accéder aux compartiments ou aux GitHub référentiels Amazon S3 où sont stockées vos applications.
Vous pouvez créer un profil d'instance IAM à l'aide de la AWS CLI console IAM ou de l'IAM. APIs
**Note**
Vous pouvez attacher un profil d'instance IAM à une instance Amazon EC2 lorsque vous la lancez ou à une instance préalablement lancée. Pour plus d'informations, consultez la section [Profils d'instance](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-usingrole-instanceprofile.html).
**Topics**
+ [Créez un profil d'instance IAM pour vos instances Amazon EC2 (CLI)](#getting-started-create-iam-instance-profile-cli)
+ [Création d'un profil d'instance IAM pour vos instances Amazon EC2 (console)](#getting-started-create-iam-instance-profile-console)
## Créez un profil d'instance IAM pour vos instances Amazon EC2 (CLI)
Dans ces étapes, nous supposons que vous avez déjà suivi les instructions fournies dans les trois premières étapes de [Commencer avec CodeDeploy](getting-started-codedeploy.md).
1. Sur votre machine de développement, créez un fichier texte nommé `CodeDeployDemo-EC2-Trust.json`. Collez le contenu suivant, qui permet à Amazon EC2 de travailler en votre nom :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"ec2.cn-north-1.amazonaws.com",
"ec2.cn-northwest-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Dans le même répertoire, créez un fichier texte nommé `CodeDeployDemo-EC2-Permissions.json`. Collez le contenu suivant :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:Get*",
"s3:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**Note**
Nous vous recommandons de limiter cette politique aux seuls compartiments Amazon S3 auxquels vos instances Amazon EC2 doivent accéder. Assurez-vous de donner accès aux compartiments Amazon S3 qui contiennent l' CodeDeploy agent. Dans le cas contraire, une erreur peut se produire lors de l'installation ou de la mise à jour de l' CodeDeploy agent sur les instances. Pour accorder au profil d'instance IAM l'accès à certains compartiments du kit de CodeDeploy ressources uniquement dans Amazon S3, appliquez la politique suivante, mais supprimez les lignes relatives aux compartiments auxquels vous souhaitez empêcher l'accès :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::aws-codedeploy-us-east-2/*",
"arn:aws:s3:::aws-codedeploy-us-east-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-2/*",
"arn:aws:s3:::aws-codedeploy-ca-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-2/*",
"arn:aws:s3:::aws-codedeploy-eu-west-3/*",
"arn:aws:s3:::aws-codedeploy-eu-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-central-2/*",
"arn:aws:s3:::aws-codedeploy-eu-north-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-2/*",
"arn:aws:s3:::aws-codedeploy-il-central-1/*",
"arn:aws:s3:::aws-codedeploy-ap-east-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-4/*",
"arn:aws:s3:::aws-codedeploy-ap-south-1/*",
"arn:aws:s3:::aws-codedeploy-ap-south-2/*",
"arn:aws:s3:::aws-codedeploy-me-central-1/*",
"arn:aws:s3:::aws-codedeploy-me-south-1/*",
"arn:aws:s3:::aws-codedeploy-sa-east-1/*"
]
}
]
}
```
**Note**
Si vous souhaitez utiliser l'[autorisation IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization) ou les points de terminaison Amazon Virtual Private Cloud (VPC) avec CodeDeploy, vous devez ajouter des autorisations supplémentaires. Consultez [Utiliser CodeDeploy avec Amazon Virtual Private Cloud](https://docs.aws.amazon.com/codedeploy/latest/userguide/vpc-endpoints) pour plus d'informations.
1. À partir du même répertoire, appelez la **create-role** commande pour créer un rôle IAM nommé**CodeDeployDemo-EC2-Instance-Profile**, en fonction des informations contenues dans le premier fichier :
**Important**
N'oubliez pas d'inclure `file://` devant le nom du fichier. Il est nécessaire dans cette commande.
```
aws iam create-role --role-name CodeDeployDemo-EC2-Instance-Profile --assume-role-policy-document file://CodeDeployDemo-EC2-Trust.json
```
1. À partir du même répertoire, appelez la commande **put-role-policy** pour donner au rôle nommé **CodeDeployDemo-EC2-Instance-Profile** les permissions basées sur les informations figurant dans le second fichier :
**Important**
N'oubliez pas d'inclure `file://` devant le nom du fichier. Il est nécessaire dans cette commande.
```
aws iam put-role-policy --role-name CodeDeployDemo-EC2-Instance-Profile --policy-name CodeDeployDemo-EC2-Permissions --policy-document file://CodeDeployDemo-EC2-Permissions.json
```
1. Appelez le **attach-role-policy** pour accorder au rôle Amazon EC2 Systems Manager des autorisations afin que SSM puisse installer CodeDeploy l'agent. Cette politique n'est pas nécessaire si vous prévoyez d'installer l'agent depuis le compartiment public Amazon S3 à l'aide de la ligne de commande. En savoir plus sur [ l'installation de l'agent CodeDeploy ](https://docs.aws.amazon.com/codedeploy/latest/userguide/codedeploy-agent-operations-install.html).
```
aws iam attach-role-policy --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore --role-name CodeDeployDemo-EC2-Instance-Profile
```
1. Appelez la **create-instance-profile** commande suivie de la **add-role-to-instance-profile** commande pour créer un profil d'instance IAM nommé**CodeDeployDemo-EC2-Instance-Profile**. Le profil d'instance permet à Amazon EC2 de transmettre le rôle IAM nommé **CodeDeployDemo-EC2-Instance-Profile** à une instance Amazon EC2 lorsque celle-ci est lancée pour la première fois :
```
aws iam create-instance-profile --instance-profile-name CodeDeployDemo-EC2-Instance-Profile
aws iam add-role-to-instance-profile --instance-profile-name CodeDeployDemo-EC2-Instance-Profile --role-name CodeDeployDemo-EC2-Instance-Profile
```
*Si vous avez besoin du nom du profil d'instance IAM, consultez [list-instance-profiles-for-role](https://docs.aws.amazon.com/cli/latest/reference/iam/list-instance-profiles-for-role.html) dans la section IAM de la référence.AWS CLI *
Vous avez maintenant créé un profil d'instance IAM à associer à vos instances Amazon EC2. Pour de plus amples informations sur les rôles IAM, consultez [Rôles IAM pour Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) dans le *Guide de l’utilisateur Amazon EC2*.
## Création d'un profil d'instance IAM pour vos instances Amazon EC2 (console)
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation de la console IAM, sélectionnez **Policies**, puis **Create policy**.
1. Sur la page **Spécifier les autorisations**, choisissez **JSON**.
1. Supprimez l'exemple `JSON` de code.
1. Collez le code suivant :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:Get*",
"s3:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**Note**
Nous vous recommandons de limiter cette politique aux seuls compartiments Amazon S3 auxquels vos instances Amazon EC2 doivent accéder. Assurez-vous de donner accès aux compartiments Amazon S3 qui contiennent l' CodeDeploy agent. Dans le cas contraire, une erreur peut se produire lors de l'installation ou de la mise à jour de l' CodeDeploy agent sur les instances. Pour accorder au profil d'instance IAM l'accès à certains compartiments du kit de CodeDeploy ressources uniquement dans Amazon S3, appliquez la politique suivante, mais supprimez les lignes relatives aux compartiments auxquels vous souhaitez empêcher l'accès :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::aws-codedeploy-us-east-2/*",
"arn:aws:s3:::aws-codedeploy-us-east-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-2/*",
"arn:aws:s3:::aws-codedeploy-ca-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-2/*",
"arn:aws:s3:::aws-codedeploy-eu-west-3/*",
"arn:aws:s3:::aws-codedeploy-eu-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-central-2/*",
"arn:aws:s3:::aws-codedeploy-eu-north-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-2/*",
"arn:aws:s3:::aws-codedeploy-il-central-1/*",
"arn:aws:s3:::aws-codedeploy-ap-east-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-4/*",
"arn:aws:s3:::aws-codedeploy-ap-south-1/*",
"arn:aws:s3:::aws-codedeploy-ap-south-2/*",
"arn:aws:s3:::aws-codedeploy-me-central-1/*",
"arn:aws:s3:::aws-codedeploy-me-south-1/*",
"arn:aws:s3:::aws-codedeploy-sa-east-1/*"
]
}
]
}
```
**Note**
Si vous souhaitez utiliser l'[autorisation IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization) ou les points de terminaison Amazon Virtual Private Cloud (VPC) avec CodeDeploy, vous devez ajouter des autorisations supplémentaires. Consultez [Utiliser CodeDeploy avec Amazon Virtual Private Cloud](https://docs.aws.amazon.com/codedeploy/latest/userguide/vpc-endpoints) pour plus d'informations.
1. Choisissez **Suivant**.
1. Sur la page **Réviser et créer**, dans la zone **Nom de la politique**, tapez**CodeDeployDemo-EC2-Permissions**.
1. (Facultatif) Dans le champ **description**, saisissez une description de la politique.
1. Sélectionnez **Créer une politique**.
1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.
1. Sous **Cas d'utilisation, choisissez le cas** d'utilisation **EC2**.
1. Choisissez **Suivant**.
1. Dans la liste des politiques, cochez la case à côté de la politique que vous venez de créer (**CodeDeployDemo-EC2-Permissions**). Si nécessaire, utilisez la zone de recherche pour trouver la politique.
1. Pour utiliser Systems Manager afin d'installer ou de configurer l' CodeDeploy agent, cochez la case à côté d'**Amazon SSMManaged InstanceCore**. Cette politique AWS gérée permet à une instance d'utiliser les fonctionnalités principales du service Systems Manager. Si nécessaire, utilisez la zone de recherche pour trouver la politique. Cette politique n'est pas nécessaire si vous prévoyez d'installer l'agent depuis le compartiment public Amazon S3 à l'aide de la ligne de commande. En savoir plus sur [ l'installation de l'agent CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/codedeploy-agent-operations-install.html).
1. Choisissez **Suivant**.
1. Sur la page **Nom, révision et création**, dans **Nom du rôle**, entrez le nom du rôle de service (par exemple,**CodeDeployDemo-EC2-Instance-Profile**), puis choisissez **Créer un rôle**.
Vous pouvez également saisir une description de ce rôle de service dans **Description du rôle**.
Vous avez maintenant créé un profil d'instance IAM à associer à vos instances Amazon EC2. Pour de plus amples informations sur les rôles IAM, consultez [Rôles IAM pour Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) dans le *Guide de l’utilisateur Amazon EC2*.