ECS CodeDeploy IAMPeran Amazon - Amazon Elastic Container Service
Menciptakan CodeDeploy peran

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

ECS CodeDeploy IAMPeran Amazon

Sebelum Anda dapat menggunakan jenis penyebaran CodeDeploy biru/hijau dengan AmazonECS, layanan ini memerlukan izin untuk memperbarui CodeDeploy ECS layanan Amazon Anda atas nama Anda. Izin ini disediakan oleh CodeDeploy IAM role (ecsCodeDeployRole).

catatan

Pengguna juga memerlukan izin untuk digunakan CodeDeploy; izin ini dijelaskan dalam. Diperlukan izin IAM

Ada dua kebijakan terkelola yang disediakan. Untuk informasi selengkapnya, lihat salah satu hal berikut di Panduan Referensi Kebijakan AWS Terkelola:

Menciptakan CodeDeploy peran

Anda dapat menggunakan prosedur berikut untuk membuat CodeDeploy peran untuk Amazon ECS

AWS Management Console
Untuk membuat peran layanan untuk CodeDeploy (IAMkonsol)

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi konsol IAM, pilih Roles (Peran), kemudian pilih Create role (Buat peran).

  3. Untuk jenis entitas Tepercaya, pilih Layanan AWS.

  4. Untuk Service atau use case, pilih CodeDeploy, lalu pilih CodeDeploy - ECS use case.

  5. Pilih Berikutnya.

  6. Di bagian Lampirkan kebijakan izin, pastikan AWSCodeDeployRoleForECSkebijakan dipilih.

  7. Pilih Berikutnya.

  8. Untuk nama Peran, masukkan ecsCodeDeployPeran.

  9. Tinjau peran lalu pilih Buat peran.

AWS CLI

Ganti semua user input dengan informasi Anda sendiri.

  1. Buat file yang dinamai codedeploy-trust-policy.json yang berisi kebijakan kepercayaan yang akan digunakan oleh CodeDeploy IAM role.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": ["codedeploy.amazonaws.com"]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  2. Buat peranIAM bernama ecsCodedeployRole menggunakan kebijakan kepercayaan yang dibuat pada langkah sebelumnya.

    aws iam create-role \
      --role-name ecsCodedeployRole \
      --assume-role-policy-document file://codedeploy-trust-policy.json

  3. Lampirkan kebijakan AWSCodeDeployRoleForECS atau yang AWSCodeDeployRoleForECSLimited dikelola ke ecsTaskRole peran.

    aws iam attach-role-policy \
      --role-name ecsCodedeployRole \
      --policy-arn arn:aws:iam::aws:policy/AWSCodeDeployRoleForECS
    aws iam attach-role-policy \
      --role-name ecsCodedeployRole \
      --policy-arn arn:aws:iam::aws:policy/AWSCodeDeployRoleForECSLimited

Jika tugas dalam layanan Anda memerlukan peran eksekusi tugas, Anda harus menambahkan iam:PassRole izin untuk setiap peran eksekusi tugas atau penggantian peran tugas ke CodeDeploy peran sebagai kebijakan.

Izin peran eksekusi tugas

Jika tugas dalam layanan Anda memerlukan peran eksekusi tugas, Anda harus menambahkan iam:PassRole izin untuk setiap peran eksekusi tugas atau penggantian peran tugas ke CodeDeploy peran sebagai kebijakan. Untuk informasi selengkapnya, silakan lihat IAMPeran eksekusi ECS tugas Amazon dan IAMPeran ECS tugas Amazon. Kemudian, Anda melampirkan kebijakan itu ke CodeDeploy peran

Buat kebijakan

AWS Management Console
Untuk menggunakan editor JSON kebijakan untuk membuat kebijakan

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Pada panel navigasi di sebelah kiri, pilih Kebijakan.

    Jika ini pertama kalinya Anda memilih Kebijakan, akan muncul halaman Selamat Datang di Kebijakan Terkelola. Pilih Memulai.

  3. Di bagian atas halaman, pilih Buat kebijakan.

  4. Di bagian Editor kebijakan, pilih JSONopsi.

  5. Masukkan dokumen JSON kebijakan berikut:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsCodeDeployRole>"]
        }
    ]
}

  6. Pilih Berikutnya.

    catatan

    Anda dapat beralih antara opsi Visual dan JSONeditor kapan saja. Namun, jika Anda membuat perubahan atau memilih Berikutnya di editor Visual, IAM mungkin merestrukturisasi kebijakan Anda untuk mengoptimalkannya untuk editor visual. Untuk informasi selengkapnya, lihat Restrukturisasi kebijakan di IAMPanduan Pengguna.

  7. Pada halaman Tinjau dan buat, masukkan Nama kebijakan dan Deskripsi (opsional) untuk kebijakan yang Anda buat. Tinjau Izin yang ditentukan dalam kebijakan ini untuk melihat izin yang diberikan oleh kebijakan Anda.

  8. Pilih Buat kebijakan untuk menyimpan kebijakan baru Anda.

Setelah Anda membuat kebijakan, lampirkan kebijakan ke CodeDeploy peran tersebut. Untuk informasi tentang cara melampirkan kebijakan ke peran, lihat Memperbarui izin untuk peran dalam Panduan AWS Identity and Access Management Pengguna.

AWS CLI

Ganti semua user input dengan informasi Anda sendiri.

  1. Buat file bernama blue-green-iam-passrole.json dengan konten berikut.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsCodeDeployRole>"]
        }
    ]
}

  2. Gunakan perintah berikut untuk membuat IAM kebijakan menggunakan file dokumen JSON kebijakan.

    aws iam create-policy \
      --policy-name cdTaskExecutionPolicy \
      --policy-document file://blue-green-iam-passrole.json

  3. Ambil IAM kebijakan ARN yang Anda buat menggunakan perintah berikut.

    aws iam list-policies --scope Local --query 'Policies[?PolicyName==`cdTaskExecutionPolicy`].Arn'

  4. Gunakan perintah berikut untuk melampirkan kebijakan ke CodeDeploy IAM peran.

    aws iam attach-role-policy \
      --role-name ecsCodedeployRole \
      --policy-arn arn:aws:iam:111122223333:aws:policy/cdTaskExecutionPolicy