Comment AWS CodeDeploy fonctionne avec IAM - AWS CodeDeploy
CodeDeploypolitiques basées sur l'identitéCodeDeploy politiques basées sur les ressourcesAutorisation basée sur les balises CodeDeploy CodeDeploy IAMrôles

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment AWS CodeDeploy fonctionne avec IAM

Avant d'utiliser IAM pour gérer l'accès à CodeDeploy, vous devez comprendre quelles IAM fonctionnalités sont disponibles CodeDeploy. Pour plus d'informations, consultez la section AWS Services compatibles IAM dans le Guide de IAM l'utilisateur.

CodeDeploypolitiques basées sur l'identité

Avec IAM les politiques basées sur l'identité, vous pouvez spécifier les actions et les ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. CodeDeploy prend en charge les actions, les ressources et les clés de condition. Pour plus d'informations sur les éléments que vous utilisez dans une JSON politique, consultez la référence aux éléments de IAM JSON politique dans le Guide de IAM l'utilisateur.

Actions

Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

L'Actionélément d'une JSON politique décrit les actions que vous pouvez utiliser pour autoriser ou refuser l'accès dans une politique. Les actions de stratégie portent généralement le même nom que l' AWS APIopération associée. Il existe certaines exceptions, telles que les actions avec autorisation uniquement qui n'ont pas d'opération correspondante. API Certaines opérations nécessitent également plusieurs actions dans une politique. Ces actions supplémentaires sont nommées actions dépendantes.

Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.

Les actions de politique en CodeDeploy cours utilisent le codedeploy: préfixe avant l'action. Par exemple, l'autorisation codedeploy:GetApplication accorde à l'utilisateur l'autorisation d'effectuer l'opération GetApplication. Les déclarations de politique doivent inclure un NotAction élément Action ou. CodeDeploy définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.

Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :

"Action": [
      "codedeploy:action1",
      "codedeploy:action2"

Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (*). Par exemple, incluez l'action suivante pour spécifier toutes les actions qui commencent par le mot Describe :

"Action": "ec2:Describe*"

Pour obtenir la liste des CodeDeploy actions, reportez-vous à la section Actions définies par AWS CodeDeploy dans le guide de IAM l'utilisateur.

Pour un tableau répertoriant toutes les CodeDeploy API actions et les ressources auxquelles elles s'appliquent, consultezRéférence des autorisations CodeDeploy.

Ressources

Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

L'élément Resource JSON de stratégie indique le ou les objets auxquels s'applique l'action. Les instructions doivent inclure un élément Resource ou NotResource. Il est recommandé de spécifier une ressource en utilisant son Amazon Resource Name (ARN). Vous pouvez le faire pour des actions qui prennent en charge un type de ressource spécifique, connu sous la dénomination autorisations de niveau ressource.

Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, telles que les opérations de liste, utilisez un caractère générique (*) afin d’indiquer que l’instruction s’applique à toutes les ressources.

"Resource": "*"

Par exemple, vous pouvez indiquer un groupe de déploiement (myDeploymentGroup) dans votre déclaration en utilisant ARN le code suivant :

"Resource": "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:myApplication/myDeploymentGroup"

Vous pouvez également spécifier tous les groupes de déploiement appartenant à un compte en utilisant le caractère générique (*) comme suit :

"Resource": "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*"

Pour spécifier toutes les ressources, ou si une API action n'est pas compatibleARNs, utilisez le caractère générique (*) dans l'Resourceélément comme suit :

"Resource": "*"

Certaines CodeDeploy API actions acceptent plusieurs ressources (par exemple,BatchGetDeploymentGroups). Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules, comme suit :

"Resource": ["arn1", "arn2"]

CodeDeploy fournit un ensemble d'opérations permettant de travailler avec les CodeDeploy ressources. Pour obtenir la liste des opérations disponibles, consultez Référence des autorisations CodeDeploy.

Pour une liste des types de CodeDeploy ressources et de leurs ARNs caractéristiques, voir Ressources définies par AWS CodeDeploy dans le guide de IAM l'utilisateur. Pour plus d'informations sur les actions dans lesquelles vous pouvez spécifier la valeur ARN de chaque ressource, consultez la section Actions définies par AWS CodeDeploy.

CodeDeploy ressources et opérations

Dans CodeDeploy, la ressource principale est un groupe de déploiement. Dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. CodeDeploy prend en charge d'autres ressources qui peuvent être utilisées avec les groupes de déploiement, notamment les applications, les configurations de déploiement et les instances. Celles-ci sont appelées sous-ressources. Ces ressources et sous-ressources sont ARNs associées à des éléments uniques. Pour plus d'informations, consultez les noms des ressources Amazon (ARNs) dans le Référence générale d'Amazon Web Services.

Type de ressource ARNformat
Groupe de déploiement

arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name
Application

arn:aws:codedeploy:region:account-id:application:application-name
Configuration de déploiement

arn:aws:codedeploy:region:account-id:deploymentconfig:deployment-configuration-name

Instance

arn:aws:codedeploy:region:account-id:instance/instance-ID

Toutes les CodeDeploy ressources

arn:aws:codedeploy:*

Toutes les CodeDeploy ressources détenues par le compte spécifié dans la région spécifiée

arn:aws:codedeploy:region:account-id:*
Note

La plupart des services AWS traitent deux points (:)) ou une barre oblique (/) comme le même caractère dansARNs. Cependant, CodeDeploy utilise une correspondance exacte dans les modèles de ressources et les règles. Veillez à utiliser les bons ARN caractères lorsque vous créez des modèles d'événements afin qu'ils correspondent à la ARN syntaxe de la ressource.

Clés de condition

CodeDeploy ne fournit aucune clé de condition spécifique au service, mais il prend en charge l'utilisation de certaines clés de condition globales. Pour plus d'informations, consultez la section Clés contextuelles des conditions AWS globales dans le Guide de IAM l'utilisateur.

Exemples

Pour consulter des exemples de politiques CodeDeploy basées sur l'identité, consultez. Exemples de politiques basées sur l’identité AWS CodeDeploy

CodeDeploy politiques basées sur les ressources

CodeDeploy ne prend pas en charge les politiques basées sur les ressources. Pour consulter un exemple de page de stratégie basée sur les ressources détaillée, consultez la section Utilisation de politiques basées sur les ressources pour. AWS Lambda

Autorisation basée sur les balises CodeDeploy

CodeDeploy ne prend pas en charge le balisage des ressources ni le contrôle de l'accès en fonction des balises.

CodeDeploy IAMrôles

Un IAMrôle est une entité de votre AWS compte dotée d'autorisations spécifiques.

Utilisation d'informations d'identification temporaires avec CodeDeploy

Vous pouvez utiliser des informations d'identification temporaires pour vous connecter à la fédération, assumer un IAM rôle ou assumer un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelant AWS STS API des opérations telles que AssumeRoleou GetFederationToken.

CodeDeploy prend en charge l'utilisation d'informations d'identification temporaires.

Rôles liés à un service

CodeDeploy ne prend pas en charge les rôles liés à un service.

Rôles de service

Cette fonction permet à un service d’endosser une fonction du service en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service apparaissent dans votre AWS compte et sont détenus par le compte. Cela signifie qu'un utilisateur peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.

CodeDeploy prend en charge les rôles de service.

Choisir un IAM rôle dans CodeDeploy

Lorsque vous créez une ressource de groupe de déploiement dans CodeDeploy, vous devez choisir un rôle pour autoriser CodeDeploy l'accès à Amazon EC2 en votre nom. Si vous avez déjà créé un rôle de service ou un rôle lié à un service, vous CodeDeploy propose une liste de rôles parmi lesquels choisir. Il est important de choisir un rôle qui autorise l'accès au démarrage et à l'arrêt EC2 des instances.