Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Gérer le rôle CodePipeline de service

PDF
RSS
Mode de mise au point
Gérer le rôle CodePipeline de service - AWS CodePipeline
Suppression d'autorisations du rôle de service CodePipelineAjout d'autorisations au rôle de service CodePipelineAutorisations relatives aux rôles de service : CodeCommit actionAutorisations relatives aux rôles de service : AWS OpsWorks actionAutorisations relatives aux rôles de service : AWS CloudFormation actionAutorisations relatives aux rôles de service : CodeBuild actionAutorisations relatives aux rôles de service : AWS Device Farm actionAutorisations relatives aux rôles de service : action Service CatalogAutorisations relatives aux rôles de service : action Amazon ECRAutorisations relatives aux rôles de service : action standard d'Amazon ECSAutorisations relatives aux rôles de service : CodeDeployToECS actionAutorisations relatives aux rôles de service : CodeConnections actionAutorisations relatives aux rôles de service : StepFunctions actionAutorisations relatives aux rôles de service : AppConfig actionAutorisations relatives aux rôles de service : prise CodeBuild en charge des actions pour les builds par lotsAutorisations relatives aux rôles de service : CloudFormationStackSet actionAutorisations relatives aux rôles de service : CloudFormationStackInstances actionAutorisations relatives aux rôles de service : prise CodeCommit en charge des actions pour le clonage completAutorisations relatives aux rôles de service : action de ElasticBeanstalk déploiementAutorisations relatives aux rôles de service : CloudWatch journalise l'actionAutorisations relatives aux rôles de service : Commands actionAutorisations relatives aux rôles de service : ECRBuildAndPublish actionAutorisations relatives aux rôles de service : InspectorScan action

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Le rôle de CodePipeline service est configuré avec une ou plusieurs politiques qui contrôlent l'accès aux AWS ressources utilisées par le pipeline. Vous souhaiterez peut-être associer d'autres politiques à ce rôle, modifier la politique attachée au rôle ou configurer des politiques pour d'autres rôles de service dans AWS. Vous pouvez également attacher une stratégie à un rôle lorsque vous configurez l'accès entre comptes à votre pipeline.

Important

Le fait de modifier une déclaration de stratégie ou d'associer une autre stratégie au rôle peut nuire au fonctionnement de vos pipelines. Assurez-vous de bien comprendre les implications avant de modifier le rôle de service de quelque CodePipeline manière que ce soit. Veillez à tester vos pipelines après avoir modifié le rôle de service.

Note

Dans la console, les rôles de service créés avant septembre 2018 sont créés avec le nom oneClick_AWS-CodePipeline-Service_ID-Number.

Les rôles de service créés après septembre 2018 utilisent le format de nom de rôle de service AWSCodePipelineServiceRole-Region-Pipeline_Name. Par exemple, pour un pipeline nommé MyFirstPipeline danseu-west-2, la console nomme le rôle et la politiqueAWSCodePipelineServiceRole-eu-west-2-MyFirstPipeline.

Suppression d'autorisations du rôle de service CodePipeline

Vous pouvez modifier la déclaration du rôle de service pour supprimer l'accès aux ressources que vous n'utilisez pas. Par exemple, si aucun de vos pipelines n'inclut Elastic Beanstalk, vous pouvez modifier la déclaration de politique afin de supprimer la section qui autorise l'accès aux ressources Elastic Beanstalk.

De même, si aucun de vos pipelines ne l'inclut CodeDeploy, vous pouvez modifier la déclaration de politique pour supprimer la section qui accorde l'accès aux CodeDeploy ressources :

    {
    "Action": [
        "codedeploy:CreateDeployment",
        "codedeploy:GetApplicationRevision",
        "codedeploy:GetDeployment",
        "codedeploy:GetDeploymentConfig",
        "codedeploy:RegisterApplicationRevision"
    ],
    "Resource": "*",
    "Effect": "Allow"
},

Ajout d'autorisations au rôle de service CodePipeline

Vous devez mettre à jour votre déclaration de politique de rôle de service avec des autorisations pour une déclaration de politique de rôle de service qui n'est Service AWS pas déjà incluse dans la déclaration de politique de rôle de service par défaut avant de pouvoir l'utiliser dans vos pipelines.

Cela est particulièrement important si le rôle de service que vous utilisez pour vos pipelines a été créé avant que le support ne soit ajouté CodePipeline à un Service AWS.

Le tableau suivant indique à quel moment le support a été ajouté pour les autres Services AWS.

Service AWS CodePipeline date de support
EC2support d'action ajouté. Consultez Politique des rôles de service et autorisations pour l'action de EC2 déploiement. 21 février 2025
CodePipeline le support d'action invoque a été ajouté. Consultez Politique des rôles de service et autorisations pour l' CodePipeline action d'appel. 14 mars 2025
EKSsupport d'action ajouté. Consultez Autorisations de politique des rôles de service. 20 février 2025
La prise en charge des ECRBuildAndPublish actions Amazon Elastic Container Registry a été ajoutée. Consultez Autorisations relatives aux rôles de service : ECRBuildAndPublish action. 22 novembre 2024
La prise en charge des InspectorScan actions Amazon Inspector a été ajoutée. Consultez Autorisations relatives aux rôles de service : InspectorScan action. 22 novembre 2024
Ajout du support d'action des commandes. Consultez Autorisations relatives aux rôles de service : Commands action. 03 octobre 2024
AWS CloudFormation support d'action ajouté. Consultez Autorisations relatives aux rôles de service : CloudFormationStackSet action et Autorisations relatives aux rôles de service : CloudFormationStackInstances action. 30 décembre 2020
CodeCommit support d'action complet au format d'artefact de sortie par clone ajouté. Consultez Autorisations relatives aux rôles de service : prise CodeCommit en charge des actions pour le clonage complet. 11 novembre 2020
CodeBuild Ajout d'un support d'action pour les builds par lots. Consultez Autorisations relatives aux rôles de service : prise CodeBuild en charge des actions pour les builds par lots. 30 juillet 2020
AWS AppConfigsupport d'action ajouté. Consultez Autorisations relatives aux rôles de service : AppConfig action. 22 juin 2020
AWS Step Functions support d'action ajouté. Consultez Autorisations relatives aux rôles de service : StepFunctions action. 27 mai 2020
AWS CodeStar Ajout de la prise en charge des actions de connexion. Consultez Autorisations relatives aux rôles de service : CodeConnections action. 18 décembre 2019
Le support CodeDeployToECS d'action a été ajouté. Consultez Autorisations relatives aux rôles de service : CodeDeployToECS action. 27 novembre 2018
Ajout de la prise en charge des actions Amazon ECR. Consultez Autorisations relatives aux rôles de service : action Amazon ECR. 27 novembre 2018
La prise en charge des actions du Service Catalog a été ajoutée. Consultez Autorisations relatives aux rôles de service : action Service Catalog. 16 octobre 2018
AWS Device Farm support d'action ajouté. Consultez Autorisations relatives aux rôles de service : AWS Device Farm action. 19 juillet 2018
Le support d'action Amazon ECS a été ajouté. Consultez Autorisations relatives aux rôles de service : action standard d'Amazon ECS. 12 décembre 2017/ Mise à jour concernant l'acceptation de l'autorisation de marquage le 21 juillet 2017
CodeCommitsupport d'action ajouté. Consultez Autorisations relatives aux rôles de service : CodeCommit action. 18 avril 2016
AWS OpsWorks support d'action ajouté. Consultez Autorisations relatives aux rôles de service : AWS OpsWorks action. 2 juin 2016
AWS CloudFormation support d'action ajouté. Consultez Autorisations relatives aux rôles de service : AWS CloudFormation action. 3 novembre 2016
AWS CodeBuild support d'action ajouté. Consultez Autorisations relatives aux rôles de service : CodeBuild action. 1er décembre 2016
Ajout du support d'action Elastic Beanstalk. Consultez Autorisations relatives aux rôles de service : action de ElasticBeanstalk déploiement. Lancement initial du service

Procédez comme suit pour ajouter des autorisations pour un service pris en charge :

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le volet de navigation de la console IAM, sélectionnez Rôles, puis choisissez votre AWS-CodePipeline-Service rôle dans la liste des rôles.

  3. Dans l'onglet Autorisations, dans Politiques intégrées, dans la ligne correspondant à votre politique de rôle de service, choisissez Modifier la politique.

  4. Ajoutez les autorisations requises dans la zone du document de politique.

    Note

    Lorsque vous créez des politiques IAM, suivez les conseils de sécurité standard qui consistent à accorder le moindre privilège, c'est-à-dire à n'accorder que les autorisations nécessaires à l'exécution d'une tâche. Certains appels d'API prennent en charge les autorisations basées sur les ressources et autorisent la limitation d'accès. Par exemple, dans ce cas, pour limiter les autorisations lors de l'appel de DescribeTasks et de ListTasks, vous pouvez remplacer le caractère générique (*) par un ARN de ressource ou par un ARN de ressource contenant un caractère générique (*). Pour plus d'informations sur la création d'une politique accordant un accès avec le moindre privilège, consultez. https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege

  5. Choisissez Examiner une stratégie afin de vérifier que la stratégie ne contient aucune erreur. Lorsque la politique est exempte d'erreurs, choisissez Appliquer la politique.

Autorisations relatives aux rôles de service : CodeCommit action

Par exemple, pour obtenir de l' CodeCommit aide, ajoutez ce qui suit à votre déclaration de politique :

{
  "Effect": "Allow",
  "Action": [  
      "codecommit:GetBranch",
      "codecommit:GetCommit",
      "codecommit:UploadArchive",
      "codecommit:GetUploadArchiveStatus",      
      "codecommit:CancelUploadArchive"
            ],
  "Resource": "resource_ARN"
},

Pour plus d'informations sur cette action, consultezCodeCommit référence d'action source.

Autorisations relatives aux rôles de service : AWS OpsWorks action

Pour obtenir de l' AWS OpsWorks aide, ajoutez ce qui suit à votre déclaration de politique :

{
    "Effect": "Allow",
    "Action": [
        "opsworks:CreateDeployment",
        "opsworks:DescribeApps",
        "opsworks:DescribeCommands",
        "opsworks:DescribeDeployments",
        "opsworks:DescribeInstances",
        "opsworks:DescribeStacks",
        "opsworks:UpdateApp",
        "opsworks:UpdateStack"
    ],
    "Resource": "resource_ARN"
},

Autorisations relatives aux rôles de service : AWS CloudFormation action

Pour obtenir de l' AWS CloudFormation aide, ajoutez ce qui suit à votre déclaration de politique :

{
    "Effect": "Allow",
    "Action": [
        "cloudformation:CreateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeStacks",
        "cloudformation:UpdateStack",
        "cloudformation:CreateChangeSet",
        "cloudformation:DeleteChangeSet",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:SetStackPolicy",
        "cloudformation:ValidateTemplate",
        "iam:PassRole"
    ],
    "Resource": "resource_ARN"
},

Notez que l'cloudformation:DescribeStackEventsautorisation est facultative. Cela permet à l' AWS CloudFormation action d'afficher un message d'erreur plus détaillé. Cette autorisation peut être révoquée pour le rôle IAM si vous ne souhaitez pas que les détails des ressources apparaissent dans les messages d'erreur du pipeline. Pour de plus amples informations, veuillez consulter AWS CloudFormation référence d'action de déploiement.

Note

Support pour les compilations par lots a été ajouté ultérieurement. Consultez l'étape 11 pour les autorisations à ajouter au rôle de service pour les builds par lots.

Autorisations relatives aux rôles de service : CodeBuild action

Pour obtenir de l' CodeBuild aide, ajoutez ce qui suit à votre déclaration de politique :

{
    "Effect": "Allow",
    "Action": [
        "codebuild:BatchGetBuilds",
        "codebuild:StartBuild"
    ],
    "Resource": "resource_ARN"
},
Note

Support pour les compilations par lots a été ajouté ultérieurement. Consultez l'étape 11 pour les autorisations à ajouter au rôle de service pour les builds par lots.

Pour plus d'informations sur cette action, consultezAWS CodeBuild créer et tester une référence d'action.

Autorisations relatives aux rôles de service : AWS Device Farm action

Pour obtenir de l' AWS Device Farm aide, ajoutez ce qui suit à votre déclaration de politique :

{
    "Effect": "Allow",
    "Action": [
        "devicefarm:ListProjects",
        "devicefarm:ListDevicePools",
        "devicefarm:GetRun",
        "devicefarm:GetUpload",
        "devicefarm:CreateUpload",
        "devicefarm:ScheduleRun"
    ],
    "Resource": "resource_ARN"
},

Pour plus d'informations sur cette action, consultezAWS Device Farm référence d'action de test.

Autorisations relatives aux rôles de service : action Service Catalog

Pour l'assistance de Service Catalog, ajoutez ce qui suit à votre déclaration de politique :

{
    "Effect": "Allow",
    "Action": [
        "servicecatalog:ListProvisioningArtifacts",
        "servicecatalog:CreateProvisioningArtifact",
        "servicecatalog:DescribeProvisioningArtifact",
        "servicecatalog:DeleteProvisioningArtifact",
        "servicecatalog:UpdateProduct"
    ],
    "Resource": "resource_ARN"
},
{
    "Effect": "Allow",
    "Action": [
        "cloudformation:ValidateTemplate"
    ],
    "Resource": "resource_ARN"
}

Autorisations relatives aux rôles de service : action Amazon ECR

Pour le support Amazon ECR, ajoutez ce qui suit à votre déclaration de politique :

{
    "Effect": "Allow",
    "Action": [
        "ecr:DescribeImages"
    ],
    "Resource": "resource_ARN"
},

Pour plus d'informations sur cette action, consultezRéférence d'action source Amazon ECR.

Autorisations relatives aux rôles de service : action standard d'Amazon ECS

Pour Amazon ECS, les autorisations minimales requises pour créer des pipelines avec une action de déploiement Amazon ECS sont les suivantes.

{
    "Effect": "Allow",
    "Action": [
        "ecs:DescribeServices",
        "ecs:DescribeTaskDefinition",
        "ecs:DescribeTasks",
        "ecs:ListTasks",
        "ecs:RegisterTaskDefinition",
        "ecs:TagResource",
        "ecs:UpdateService"
    ],
    "Resource": "resource_ARN"
},

Vous pouvez choisir d'utiliser l'autorisation de balisage dans Amazon ECS. En vous inscrivant, vous devez accorder les autorisations suivantes :ecs:TagResource. Pour plus d'informations sur la procédure d'inscription et pour déterminer si l'autorisation est requise et si l'autorisation des balises est appliquée, consultez la chronologie des autorisations de balisage dans le manuel Amazon Elastic Container Service Developer Guide.

Vous devez également ajouter les iam:PassRole autorisations permettant d'utiliser les rôles IAM pour les tâches. Pour plus d'informations, consultez le rôle IAM d'exécution des tâches Amazon ECS et les rôles IAM pour les tâches. Utilisez le texte de politique suivant.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::aws_account_ID:role/ecsTaskExecutionRole_or_TaskRole_name"
            ]
        }
    ]
}

Pour plus d'informations sur cette action, consultezRéférence des actions de déploiement d'Amazon Elastic Container Service.

Autorisations relatives aux rôles de service : CodeDeployToECS action

Pour l'CodeDeployToECSaction (action blue/green deployments), the following are the minimum permissions needed to create pipelines with a CodeDeploy to Amazon ECS blue/green de déploiement).

{
    "Effect": "Allow",
    "Action": [
        "codedeploy:CreateDeployment",
        "codedeploy:GetDeployment",
        "codedeploy:GetApplication",
        "codedeploy:GetApplicationRevision",
        "codedeploy:RegisterApplicationRevision",
        "codedeploy:GetDeploymentConfig",
        "ecs:RegisterTaskDefinition",
        "ecs:TagResource"
    ],
    "Resource": "resource_ARN"
},

Vous pouvez choisir d'utiliser l'autorisation de balisage dans Amazon ECS. En vous inscrivant, vous devez accorder les autorisations suivantes :ecs:TagResource. Pour plus d'informations sur la procédure d'inscription et pour déterminer si l'autorisation est requise et si l'autorisation des balises est appliquée, consultez la chronologie des autorisations de balisage dans le manuel Amazon Elastic Container Service Developer Guide.

Vous devez également ajouter les iam:PassRole autorisations permettant d'utiliser les rôles IAM pour les tâches. Pour plus d'informations, consultez le rôle IAM d'exécution des tâches Amazon ECS et les rôles IAM pour les tâches. Utilisez le texte de politique suivant.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::aws_account_ID:role/ecsTaskExecutionRole_or_TaskRole_name"
            ]
        }
    ]
}

Vous pouvez également l'ajouter ecs-tasks.amazonaws.com à la liste des services soumis à cette iam:PassedToService condition, comme indiqué dans cet exemple.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "resource_ARN",
            "Condition": {
                "StringEqualsIfExists": {
                    "iam:PassedToService": [
                        "cloudformation.amazonaws.com",
                        "elasticbeanstalk.amazonaws.com",
                        "ec2.amazonaws.com",
                        "ecs-tasks.amazonaws.com"
                    ]
                }
            }
        },

Pour plus d'informations sur cette action, consultezAmazon Elastic Container Service et référence CodeDeploy sur les actions de déploiement bleu-vert.

Autorisations relatives aux rôles de service : CodeConnections action

En CodeConnections effet, l'autorisation suivante est requise pour créer des pipelines avec une source utilisant une connexion, telle que Bitbucket Cloud.

{
    "Effect": "Allow",
    "Action": [
        "codeconnections:UseConnection"
    ],
    "Resource": "resource_ARN"
},

Pour plus d'informations sur les autorisations IAM pour les connexions, consultez la section Référence des autorisations de connexions.

Pour plus d'informations sur cette action, consultezCodeStarSourceConnection pour Bitbucket Cloud GitHub, GitHub Enterprise Server, GitLab .com et les actions GitLab autogérées.

Autorisations relatives aux rôles de service : StepFunctions action

En ce qui StepFunctions concerne l'action, les autorisations minimales requises pour créer des pipelines avec une action d'appel Step Functions sont les suivantes.

{
    "Effect": "Allow",
    "Action": [
        "states:DescribeStateMachine",
        "states:DescribeExecution",
        "states:StartExecution"
    ],
    "Resource": "resource_ARN"
},

Pour plus d'informations sur cette action, consultezAWS Step Functions invoquer une référence d'action.

Autorisations relatives aux rôles de service : AppConfig action

Pour l'AppConfigaction, les autorisations minimales requises pour créer des pipelines avec une action d' AWS AppConfig appel sont les suivantes.

{
    "Effect": "Allow",
    "Action": [
        "appconfig:StartDeployment",
        "appconfig:GetDeployment",
        "appconfig:StopDeployment"
    ],
    "Resource": "resource_ARN"
},

Pour plus d'informations sur cette action, consultezAWS AppConfig référence d'action de déploiement.

Autorisations relatives aux rôles de service : prise CodeBuild en charge des actions pour les builds par lots

Pour la CodeBuild prise en charge des compilations par lots, ajoutez ce qui suit à votre déclaration de politique :

{
    "Effect": "Allow",
    "Action": [
        "codebuild:BatchGetBuildBatches",
        "codebuild:StartBuildBatch"
    ],
    "Resource": "resource_ARN"
},

Pour plus d'informations sur cette action, consultezAWS CodeBuild créer et tester une référence d'action.

Autorisations relatives aux rôles de service : CloudFormationStackSet action

Pour AWS CloudFormation StackSets les actions, les autorisations minimales suivantes sont requises.

Pour l'CloudFormationStackSetaction, ajoutez ce qui suit à votre déclaration de politique :

{
    "Effect": "Allow",
    "Action": [
        "cloudformation:CreateStackSet",
        "cloudformation:UpdateStackSet",
        "cloudformation:CreateStackInstances",
        "cloudformation:DescribeStackSetOperation",
        "cloudformation:DescribeStackSet",
        "cloudformation:ListStackInstances"
    ],
    "Resource": "resource_ARN"
},

Pour plus d'informations sur cette action, consultezAWS CloudFormation StackSets référence d'action de déploiement.

Autorisations relatives aux rôles de service : CloudFormationStackInstances action

Pour l'CloudFormationStackInstancesaction, ajoutez ce qui suit à votre déclaration de politique :

{
    "Effect": "Allow",
    "Action": [
        "cloudformation:CreateStackInstances",
        "cloudformation:DescribeStackSetOperation"
    ],
    "Resource": "resource_ARN"
},

Pour plus d'informations sur cette action, consultezAWS CloudFormation StackSets référence d'action de déploiement.

Autorisations relatives aux rôles de service : prise CodeCommit en charge des actions pour le clonage complet

Pour bénéficier de la prise en CodeCommit charge de l'option de clonage complet, ajoutez ce qui suit à votre déclaration de politique :

{
    "Effect": "Allow",
    "Action": [
        "codecommit:GetRepository"
    ],
    "Resource": "resource_ARN"
},
Note

Pour vous assurer que votre CodeBuild action peut utiliser l'option de clonage complet avec une CodeCommit source, vous devez également ajouter l'codecommit:GitPullautorisation à la déclaration de politique concernant le rôle de CodeBuild service de votre projet.

Pour plus d'informations sur cette action, consultezCodeCommit référence d'action source.

Autorisations relatives aux rôles de service : action de ElasticBeanstalk déploiement

Pour Elastic Beanstalk, les autorisations minimales requises pour créer des pipelines avec une action de déploiement sont les suivantes. ElasticBeanstalk

{
    "Effect": "Allow",
    "Action": [
        "elasticbeanstalk:*",
        "ec2:*",
        "elasticloadbalancing:*",
        "autoscaling:*",
        "cloudwatch:*",
        "s3:*",
        "sns:*",
        "cloudformation:*",
        "rds:*",
        "sqs:*",
        "ecs:*"
    ],
    "Resource": "resource_ARN"
},
Note

Vous devez remplacer les caractères génériques dans la politique de ressources par les ressources du compte auquel vous souhaitez limiter l'accès. Pour plus d'informations sur la création d'une politique accordant un accès avec le moindre privilège, consultez. https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege

Autorisations relatives aux rôles de service : CloudWatch journalise l'action

Pour un pipeline que vous souhaitez configurer pour les CloudWatch journaux, les autorisations minimales que vous devez ajouter au rôle de CodePipeline service sont les suivantes.

{
    "Effect": "Allow",
    "Action": [
        "logs:DescribeLogGroups",
        "logs:PutRetentionPolicy"
    ],
    "Resource": "resource_ARN"
},
Note

Vous devez remplacer les caractères génériques dans la politique de ressources par les ressources du compte auquel vous souhaitez limiter l'accès. Pour plus d'informations sur la création d'une politique accordant un accès avec le moindre privilège, consultez. https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege

Autorisations relatives aux rôles de service : Commands action

Pour le support des actions Commandes, ajoutez ce qui suit à votre déclaration de politique :

{
    "Effect": "Allow",
    "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
    ],
    "Resource": [
        "arn:aws:logs:*:YOUR_AWS_ACCOUNT_ID:log-group:/aws/codepipeline/YOUR_PIPELINE_NAME",
        "arn:aws:logs:*:YOUR_AWS_ACCOUNT_ID:log-group:/aws/codepipeline/YOUR_PIPELINE_NAME:*"
   ]
}
Note

Réduisez les autorisations au niveau des ressources du pipeline en utilisant les autorisations basées sur les ressources dans la déclaration de politique relative aux rôles de service. Pour plus d'informations, consultez l'exemple de stratégie dansAutorisations relatives à la politique des rôles de.

Pour plus d'informations sur cette action, consultezRéférence d'action des commandes.

Autorisations relatives aux rôles de service : ECRBuildAndPublish action

Pour le soutien à l'ECRBuildAndPublishaction, ajoutez ce qui suit à votre déclaration de politique :

{
    "Statement": [
         {
            "Sid": "ECRRepositoryAllResourcePolicy",
            "Effect": "Allow",
            "Action": [
                "ecr:DescribeRepositories",
                "ecr:GetAuthorizationToken",
                "ecr-public:DescribeRepositories",
                "ecr-public:GetAuthorizationToken"
            ],
        "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchCheckLayerAvailability"
            ],
            "Resource": "PrivateECR_Resource_ARN"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr-public:GetAuthorizationToken",
                "ecr-public:DescribeRepositories",
                "ecr-public:InitiateLayerUpload",
                "ecr-public:UploadLayerPart",
                "ecr-public:CompleteLayerUpload",
                "ecr-public:PutImage",
                "ecr-public:BatchCheckLayerAvailability",
                "sts:GetServiceBearerToken"
            ],
            "Resource": "PublicECR_Resource_ARN"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sts:GetServiceBearerToken"
            ],
            "Resource": "*"
        }
    ]
}

En outre, si elles ne sont pas déjà ajoutées pour l'Commandsaction, ajoutez les autorisations suivantes à votre rôle de service afin de consulter CloudWatch les journaux.

{
    "Effect": "Allow",
    "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream", 
        "logs:PutLogEvents"
    ],
    "Resource": "resource_ARN"
},
Note

Réduisez les autorisations au niveau des ressources du pipeline en utilisant les autorisations basées sur les ressources dans la déclaration de politique relative aux rôles de service.

Pour plus d'informations sur cette action, consultezECRBuildAndPublishcréer une référence d'action.

Autorisations relatives aux rôles de service : InspectorScan action

Pour le soutien à l'InspectorScanaction, ajoutez ce qui suit à votre déclaration de politique :

{
        "Effect": "Allow",
        "Action": "inspector-scan:ScanSbom",
        "Resource": "*"
    },
    {
        "Effect": "Allow",
        "Action": [
            "ecr:GetDownloadUrlForLayer",
            "ecr:BatchGetImage",
            "ecr:BatchCheckLayerAvailability"
        ],
        "Resource": "resource_ARN"
    },

En outre, si elles ne sont pas déjà ajoutées pour l'action Commandes, ajoutez les autorisations suivantes à votre rôle de service afin de consulter CloudWatch les journaux.

{
    "Effect": "Allow",
    "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream", 
        "logs:PutLogEvents"
    ],
    "Resource": "resource_ARN"
},
Note

Réduisez les autorisations au niveau des ressources du pipeline en utilisant les autorisations basées sur les ressources dans la déclaration de politique relative aux rôles de service.

Pour plus d'informations sur cette action, consultezAmazon Inspector InspectorScan invoque une référence d'action.

Sur cette page

Related resources

AWS CodePipeline Référence d'API
AWS CLI commandes pour AWS CodePipeline
SDKs et outils 

Related resources

AWS CodePipeline Référence d'API
AWS CLI commandes pour AWS CodePipeline
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.