Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memulai dengan CodeDeploy
**Topics**
+ [Langkah 1: Menyiapkan](getting-started-setting-up.md)
+ [Langkah 2: Buat peran layanan untuk CodeDeploy](getting-started-create-service-role.md)
+ [Langkah 3: Batasi izin CodeDeploy pengguna](getting-started-policy.md)
+ [Langkah 4: Buat profil instans IAM untuk instans Amazon EC2 Anda](getting-started-create-iam-instance-profile.md)
# Langkah 1: Menyiapkan
Sebelum Anda menggunakan AWS CodeDeploy untuk pertama kalinya, Anda harus menyelesaikan langkah-langkah pengaturan. Langkah-langkahnya melibatkan pembuatan AWS akun (jika Anda belum memilikinya), dan pengguna administratif dengan akses terprogram.
Dalam panduan ini, pengguna administratif disebut **pengguna CodeDeploy administratif**.
## Mendaftar untuk Akun AWS
Jika Anda tidak memiliki Akun AWS, selesaikan langkah-langkah berikut untuk membuatnya.
**Untuk mendaftar untuk Akun AWS**
1. Buka [https://portal.aws.amazon.com/billing/pendaftaran.](https://portal.aws.amazon.com/billing/signup)
1. Ikuti petunjuk online.
Bagian dari prosedur pendaftaran melibatkan menerima panggilan telepon atau pesan teks dan memasukkan kode verifikasi pada keypad telepon.
Saat Anda mendaftar untuk sebuah Akun AWS, sebuah *Pengguna root akun AWS*dibuat. Pengguna root memiliki akses ke semua Layanan AWS dan sumber daya di akun. Sebagai praktik keamanan terbaik, tetapkan akses administratif ke pengguna, dan gunakan hanya pengguna root untuk melakukan [tugas yang memerlukan akses pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS mengirimkan email konfirmasi setelah proses pendaftaran selesai. Kapan saja, Anda dapat melihat aktivitas akun Anda saat ini dan mengelola akun Anda dengan masuk [https://aws.amazon.com.rproxy.goskope.comke/](https://aws.amazon.com/) dan memilih **Akun Saya**.
## Buat pengguna dengan akses administratif
Setelah Anda mendaftar Akun AWS, amankan Pengguna root akun AWS, aktifkan AWS IAM Identity Center, dan buat pengguna administratif sehingga Anda tidak menggunakan pengguna root untuk tugas sehari-hari.
**Amankan Anda Pengguna root akun AWS**
1. Masuk ke [Konsol Manajemen AWS](https://console.aws.amazon.com/)sebagai pemilik akun dengan memilih **pengguna Root** dan memasukkan alamat Akun AWS email Anda. Di laman berikutnya, masukkan kata sandi.
Untuk bantuan masuk dengan menggunakan pengguna root, lihat [Masuk sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) di *AWS Sign-In Panduan Pengguna*.
1. Mengaktifkan autentikasi multi-faktor (MFA) untuk pengguna root Anda.
Untuk petunjuk, lihat [Mengaktifkan perangkat MFA virtual untuk pengguna Akun AWS root (konsol) Anda](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) di Panduan Pengguna *IAM*.
**Buat pengguna dengan akses administratif**
1. Aktifkan Pusat Identitas IAM.
Untuk mendapatkan petunjuk, silakan lihat [Mengaktifkan AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) di *Panduan Pengguna AWS IAM Identity Center *.
1. Di Pusat Identitas IAM, berikan akses administratif ke pengguna.
Untuk tutorial tentang menggunakan Direktori Pusat Identitas IAM sebagai sumber identitas Anda, lihat [Mengkonfigurasi akses pengguna dengan default Direktori Pusat Identitas IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) di *Panduan AWS IAM Identity Center Pengguna*.
**Masuk sebagai pengguna dengan akses administratif**
+ Untuk masuk dengan pengguna Pusat Identitas IAM, gunakan URL masuk yang dikirim ke alamat email saat Anda membuat pengguna Pusat Identitas IAM.
Untuk bantuan masuk menggunakan pengguna Pusat Identitas IAM, lihat [Masuk ke portal AWS akses](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.
**Tetapkan akses ke pengguna tambahan**
1. Di Pusat Identitas IAM, buat set izin yang mengikuti praktik terbaik menerapkan izin hak istimewa paling sedikit.
Untuk petunjuk, lihat [Membuat set izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) di *Panduan AWS IAM Identity Center Pengguna*.
1. Tetapkan pengguna ke grup, lalu tetapkan akses masuk tunggal ke grup.
Untuk petunjuk, lihat [Menambahkan grup](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) di *Panduan AWS IAM Identity Center Pengguna*.
Anda sekarang telah membuat dan masuk sebagai **pengguna CodeDeploy administratif**.
## Memberikan akses programatis
Pengguna membutuhkan akses terprogram jika mereka ingin berinteraksi dengan AWS luar. Konsol Manajemen AWS Cara untuk memberikan akses terprogram tergantung pada jenis pengguna yang mengakses AWS.
Untuk memberi pengguna akses programatis, pilih salah satu opsi berikut.
****
| Pengguna mana yang membutuhkan akses programatis? | Untuk | Oleh |
| --- | --- | --- |
| IAM | (Disarankan) Gunakan kredenal konsol sebagai kredensil sementara untuk menandatangani permintaan terprogram ke,, atau. AWS CLI AWS SDKs AWS APIs | Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/codedeploy/latest/userguide/getting-started-setting-up.html) |
| Identitas tenaga kerja (Pengguna yang dikelola di Pusat Identitas IAM) | Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs | Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/codedeploy/latest/userguide/getting-started-setting-up.html) |
| IAM | Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs | Mengikuti petunjuk dalam [Menggunakan kredensil sementara dengan AWS sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) di Panduan Pengguna IAM. |
| IAM | (Tidak direkomendasikan)Gunakan kredensi jangka panjang untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs | Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/codedeploy/latest/userguide/getting-started-setting-up.html) |
**penting**
Kami sangat menyarankan Anda mengonfigurasi pengguna CodeDeploy adminstratif sebagai identitas tenaga kerja (pengguna yang dikelola di Pusat Identitas IAM) dengan. AWS CLI Banyak prosedur dalam panduan ini menganggap Anda menggunakan AWS CLI untuk melakukan konfigurasi.
**penting**
Jika Anda mengonfigurasi AWS CLI, Anda mungkin diminta untuk menentukan AWS Wilayah. Pilih salah satu Wilayah yang didukung yang tercantum di [Wilayah dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html#codedeploy_region) di. *Referensi Umum AWS*
# Langkah 2: Buat peran layanan untuk CodeDeploy
Di AWS, peran layanan digunakan untuk memberikan izin ke AWS layanan sehingga dapat mengakses AWS sumber daya. Kebijakan yang Anda lampirkan ke peran layanan menentukan sumber daya mana layanan dapat mengakses dan yang dapat dilakukan dengan sumber daya tersebut.
Peran layanan yang Anda buat CodeDeploy harus diberikan izin yang diperlukan untuk platform komputasi Anda. Jika Anda menerapkan ke lebih dari satu platform komputasi, buat satu peran layanan untuk masing-masing. Untuk menambahkan izin, lampirkan satu atau beberapa kebijakan yang AWS disediakan berikut:
Untuk penerapan EC2/Lokal, lampirkan kebijakan. **AWSCodeDeployRole** Ini memberikan izin untuk peran layanan Anda untuk:
+ Baca tag pada instans Anda atau identifikasi instans Amazon EC2 Anda dengan nama grup Amazon EC2 Auto Scaling.
+ Membaca, membuat, memperbarui, dan menghapus grup Amazon EC2 Auto Scaling, kait siklus hidup, dan kebijakan penskalaan.
+ Publikasikan informasi ke topik Amazon SNS.
+ Ambil informasi tentang CloudWatch alarm.
+ Baca dan perbarui Elastic Load Balancing.
**catatan**
Jika Anda membuat grup Auto Scaling dengan template peluncuran, Anda harus menambahkan izin berikut:
`ec2:RunInstances`
`ec2:CreateTags`
`iam:PassRole`
Untuk informasi selengkapnya, lihat[Langkah 2: Buat peran layanan](#getting-started-create-service-role), [Membuat template peluncuran untuk grup Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html), dan [Luncurkan dukungan template](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-launch-template-permissions.html) di Panduan Pengguna *Amazon EC2* Auto Scaling.
Untuk penerapan Amazon ECS, jika Anda ingin akses penuh ke layanan dukungan, lampirkan kebijakan. **AWSCodeDeployRoleForECS** Ini memberikan izin untuk peran layanan Anda untuk:
+ Baca, perbarui, dan hapus set tugas Amazon ECS.
+ Perbarui grup target Elastic Load Balancing, pendengar, dan aturan.
+ Memanggil AWS Lambda fungsi.
+ Akses file revisi di bucket Amazon S3.
+ Ambil informasi tentang CloudWatch alarm.
+ Publikasikan informasi ke topik Amazon SNS.
Untuk penerapan Amazon ECS, jika Anda ingin akses terbatas ke layanan dukungan, lampirkan kebijakan. **AWSCodeDeployRoleForECSLimited** Ini memberikan izin untuk peran layanan Anda untuk:
+ Baca, perbarui, dan hapus set tugas Amazon ECS.
+ Ambil informasi tentang CloudWatch alarm.
+ Publikasikan informasi ke topik Amazon SNS.
Untuk penerapan AWS Lambda, jika Anda ingin mengizinkan penerbitan ke Amazon SNS, lampirkan kebijakan. **AWSCodeDeployRoleForLambda** Ini memberikan izin untuk peran layanan Anda untuk:
+ Baca, perbarui, dan panggil AWS Lambda fungsi dan alias.
+ Akses file revisi di bucket Amazon S3.
+ Ambil informasi tentang CloudWatch alarm.
+ Publikasikan informasi ke topik Amazon SNS.
Untuk penerapan AWS Lambda, jika Anda ingin membatasi akses ke Amazon SNS, lampirkan kebijakan. **AWSCodeDeployRoleForLambdaLimited** Ini memberikan izin untuk peran layanan Anda untuk:
+ Baca, perbarui, dan panggil AWS Lambda fungsi dan alias.
+ Akses file revisi di bucket Amazon S3.
+ Ambil informasi tentang CloudWatch alarm.
Sebagai bagian dari pengaturan peran layanan, Anda juga memperbarui hubungan kepercayaannya untuk menentukan titik akhir yang ingin Anda berikan aksesnya.
Anda dapat membuat peran layanan dengan konsol IAM, IAM AWS CLI, atau APIs IAM.
**Topics**
+ [Buat peran layanan (konsol)](#getting-started-create-service-role-console)
+ [Buat peran layanan (CLI)](#getting-started-create-service-role-cli)
+ [Dapatkan peran layanan ARN (konsol)](#getting-started-get-service-role-console)
+ [Dapatkan peran layanan ARN (CLI)](#getting-started-get-service-role-cli)
## Buat peran layanan (konsol)
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Pilih **AWS layanan**, dan di bawah **Kasus penggunaan**, dari daftar drop-down, pilih **CodeDeploy**.
1. Pilih kasus penggunaan Anda:
+ Untuk penerapan EC2/Lokal, pilih. **CodeDeploy**
+ **Untuk penerapan AWS Lambda, pilih Lambda. CodeDeploy **
+ **Untuk penerapan Amazon ECS, pilih CodeDeploy - ECS.**
1. Pilih **Berikutnya**.
1. Pada halaman **Tambahkan izin**, kebijakan izin yang benar untuk kasus penggunaan ditampilkan. Pilih **Berikutnya**.
1. Pada halaman **Nama, tinjau, dan buat**, di **Nama peran**, masukkan nama untuk peran layanan (misalnya,**CodeDeployServiceRole**), lalu pilih **Buat peran**.
Anda juga dapat memasukkan deskripsi untuk peran layanan ini di **Deskripsi peran**.
1. Jika Anda ingin peran layanan ini memiliki izin untuk mengakses semua titik akhir yang didukung saat ini, Anda selesai dengan prosedur ini.
Untuk membatasi peran layanan ini dari akses ke beberapa titik akhir, lanjutkan dengan langkah-langkah yang tersisa dalam prosedur ini.
1. Dalam daftar peran, cari dan pilih peran yang baru saja Anda buat (`CodeDeployServiceRole`).
1. Pilih tab **Trust relationship**.
1. Pilih **Edit kebijakan kepercayaan**.
Anda akan melihat kebijakan berikut, yang menyediakan izin peran layanan untuk mengakses semua titik akhir yang didukung:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
Untuk memberikan akses peran layanan ke hanya beberapa titik akhir yang didukung, ganti isi kotak teks kebijakan kepercayaan dengan kebijakan berikut. Hapus baris untuk titik akhir yang ingin Anda cegah aksesnya, lalu pilih **Perbarui kebijakan**.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.us-east-1.amazonaws.com",
"codedeploy.us-east-2.amazonaws.com",
"codedeploy.us-west-1.amazonaws.com",
"codedeploy.us-west-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.ap-east-1.amazonaws.com",
"codedeploy.ap-northeast-1.amazonaws.com",
"codedeploy.ap-northeast-2.amazonaws.com",
"codedeploy.ap-northeast-3.amazonaws.com",
"codedeploy.ap-southeast-1.amazonaws.com",
"codedeploy.ap-southeast-2.amazonaws.com",
"codedeploy.ap-southeast-3.amazonaws.com",
"codedeploy.ap-southeast-4.amazonaws.com",
"codedeploy.ap-south-1.amazonaws.com",
"codedeploy.ap-south-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.eu-west-1.amazonaws.com",
"codedeploy.eu-west-2.amazonaws.com",
"codedeploy.eu-west-3.amazonaws.com",
"codedeploy.eu-central-1.amazonaws.com",
"codedeploy.eu-central-2.amazonaws.com",
"codedeploy.eu-north-1.amazonaws.com",
"codedeploy.eu-south-1.amazonaws.com",
"codedeploy.eu-south-2.amazonaws.com",
"codedeploy.il-central-1.amazonaws.com",
"codedeploy.me-central-1.amazonaws.com",
"codedeploy.me-south-1.amazonaws.com",
"codedeploy.sa-east-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
Untuk informasi selengkapnya tentang membuat peran layanan, lihat [Membuat peran untuk mendelegasikan izin ke AWS layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-creatingrole-service.html) Pengguna *IAM*.
## Buat peran layanan (CLI)
1. Pada mesin pengembangan Anda, buat file teks bernama, misalnya,`CodeDeployDemo-Trust.json`. File ini digunakan untuk memungkinkan CodeDeploy untuk bekerja atas nama Anda.
Lakukan salah satu tindakan berikut:
+ Untuk memberikan akses ke semua AWS Wilayah yang didukung, simpan konten berikut dalam file:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
+ Untuk memberikan akses ke hanya beberapa wilayah yang didukung, ketik konten berikut ke dalam file, dan hapus baris untuk wilayah yang ingin Anda kecualikan aksesnya:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.us-east-1.amazonaws.com",
"codedeploy.us-east-2.amazonaws.com",
"codedeploy.us-west-1.amazonaws.com",
"codedeploy.us-west-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.ap-east-1.amazonaws.com",
"codedeploy.ap-northeast-1.amazonaws.com",
"codedeploy.ap-northeast-2.amazonaws.com",
"codedeploy.ap-northeast-3.amazonaws.com",
"codedeploy.ap-southeast-1.amazonaws.com",
"codedeploy.ap-southeast-2.amazonaws.com",
"codedeploy.ap-southeast-3.amazonaws.com",
"codedeploy.ap-southeast-4.amazonaws.com",
"codedeploy.ap-south-1.amazonaws.com",
"codedeploy.ap-south-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.eu-west-1.amazonaws.com",
"codedeploy.eu-west-2.amazonaws.com",
"codedeploy.eu-west-3.amazonaws.com",
"codedeploy.eu-central-1.amazonaws.com",
"codedeploy.eu-central-2.amazonaws.com",
"codedeploy.eu-north-1.amazonaws.com",
"codedeploy.eu-south-1.amazonaws.com",
"codedeploy.eu-south-2.amazonaws.com",
"codedeploy.il-central-1.amazonaws.com",
"codedeploy.me-central-1.amazonaws.com",
"codedeploy.me-south-1.amazonaws.com",
"codedeploy.sa-east-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
**catatan**
Jangan gunakan koma setelah titik akhir terakhir dalam daftar.
1. Dari direktori yang sama, panggil **create-role** perintah untuk membuat peran layanan bernama **CodeDeployServiceRole** berdasarkan informasi dalam file teks yang baru saja Anda buat:
```
aws iam create-role --role-name CodeDeployServiceRole --assume-role-policy-document file://CodeDeployDemo-Trust.json
```
**penting**
Pastikan untuk menyertakan `file://` sebelum nama file. Diperlukan dalam perintah ini.
Dalam output perintah, catat nilai `Arn` entri di bawah `Role` objek. Anda membutuhkannya nanti saat membuat grup penerapan. Jika Anda lupa nilainya, ikuti instruksi di[Dapatkan peran layanan ARN (CLI)](#getting-started-get-service-role-cli).
1. Kebijakan terkelola yang Anda gunakan bergantung pada platform komputasi.
+ Jika penerapan Anda ke platform komputasi EC2/Lokal:
Panggil **attach-role-policy** perintah untuk memberikan peran layanan bernama **CodeDeployServiceRole** izin berdasarkan kebijakan terkelola IAM yang dinamai. **AWSCodeDeployRole** Contoh:
```
aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSCodeDeployRole
```
+ Jika penerapan Anda ke platform komputasi AWS Lambda:
Panggil **attach-role-policy** perintah untuk memberikan peran layanan bernama **CodeDeployServiceRole** izin berdasarkan kebijakan terkelola IAM bernama **AWSCodeDeployRoleForLambda** atau. **AWSCodeDeployRoleForLambdaLimited** Contoh:
```
aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSCodeDeployRoleForLambda
```
+ Jika penerapan Anda ke platform komputasi Amazon ECS:
Panggil **attach-role-policy** perintah untuk memberikan peran layanan bernama **CodeDeployServiceRole** izin berdasarkan kebijakan terkelola IAM bernama **AWSCodeDeployRoleForECS** atau. **AWSCodeDeployRoleForECSLimited** Contoh:
```
aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/AWSCodeDeployRoleForECS
```
Untuk informasi selengkapnya tentang membuat peran layanan, lihat [Membuat peran untuk AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/create-role-xacct.html) di *Panduan Pengguna IAM*.
## Dapatkan peran layanan ARN (konsol)
Untuk menggunakan konsol IAM untuk mendapatkan ARN dari peran layanan:
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**.
1. Di kotak **Filter**, ketik**CodeDeployServiceRole**, lalu tekan Enter.
1. Pilih **CodeDeployServiceRole**.
1. Catat nilai bidang **ARN Peran**.
## Dapatkan peran layanan ARN (CLI)
Untuk menggunakan AWS CLI untuk mendapatkan ARN dari peran layanan, panggil **get-role** perintah terhadap peran layanan bernama: **CodeDeployServiceRole**
```
aws iam get-role --role-name CodeDeployServiceRole --query "Role.Arn" --output text
```
Nilai yang dikembalikan adalah ARN dari peran layanan.
# Langkah 3: Batasi izin CodeDeploy pengguna
Untuk alasan keamanan, kami menyarankan Anda membatasi izin pengguna administratif yang Anda buat hanya [Langkah 1: Menyiapkan](getting-started-setting-up.md) untuk yang diperlukan untuk membuat dan mengelola penerapan di. CodeDeploy
Gunakan serangkaian prosedur berikut untuk membatasi izin pengguna CodeDeploy administratif.
**Sebelum Anda mulai**
+ Pastikan Anda telah membuat pengguna CodeDeploy administratif di IAM Identity Center mengikuti petunjuk di[Langkah 1: Menyiapkan](getting-started-setting-up.md).
**Untuk membuat set izin**
Anda akan menetapkan izin ini disetel ke pengguna CodeDeploy administratif nanti.
1. Masuk ke Konsol Manajemen AWS dan buka AWS IAM Identity Center konsol di [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).
1. Di panel navigasi, pilih **Set izin**, lalu pilih **Buat set izin**.
1. Pilih **Set izin khusus**.
1. Pilih **Berikutnya**.
1. Pilih **kebijakan Inline**.
1. Hapus kode sampel.
1. Tambahkan kode kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CodeDeployAccessPolicy",
"Effect": "Allow",
"Action": [
"autoscaling:*",
"codedeploy:*",
"ec2:*",
"lambda:*",
"ecs:*",
"elasticloadbalancing:*",
"iam:AddRoleToInstanceProfile",
"iam:AttachRolePolicy",
"iam:CreateInstanceProfile",
"iam:CreateRole",
"iam:DeleteInstanceProfile",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:GetInstanceProfile",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListInstanceProfilesForRole",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:PutRolePolicy",
"iam:RemoveRoleFromInstanceProfile",
"s3:*",
"ssm:*"
],
"Resource": "*"
},
{
"Sid": "CodeDeployRolePolicy",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/CodeDeployServiceRole"
}
]
}
```
------
Dalam kebijakan ini, ganti *arn:aws:iam::account-ID:role/CodeDeployServiceRole* dengan nilai ARN dari peran CodeDeploy layanan yang Anda buat. [Langkah 2: Buat peran layanan untuk CodeDeploy](getting-started-create-service-role.md) Anda dapat menemukan nilai ARN di halaman detail peran layanan di konsol IAM.
Kebijakan sebelumnya memungkinkan Anda menerapkan aplikasi ke platform komputasi AWS Lambda, platform komputasi EC2/lokal, dan platform komputasi Amazon ECS.
Anda dapat menggunakan CloudFormation templat yang disediakan dalam dokumentasi ini untuk meluncurkan instans Amazon EC2 yang kompatibel dengannya. CodeDeploy Untuk menggunakan CloudFormation templat untuk membuat aplikasi, grup penyebaran, atau konfigurasi penerapan, Anda harus menyediakan akses ke CloudFormation—dan AWS layanan serta tindakan yang CloudFormation bergantung pada—dengan menambahkan `cloudformation:*` izin ke kebijakan izin pengguna CodeDeploy administratif, seperti ini:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
------
1. Pilih **Berikutnya**.
1. Dalam **nama set Izin**, masukkan:
```
CodeDeployUserPermissionSet
```
1. Pilih **Berikutnya**.
1. Pada halaman **Tinjau dan buat**, tinjau informasi dan pilih **Buat**.
**Untuk menetapkan izin yang disetel ke pengguna CodeDeploy administratif**
1. Di panel navigasi, pilih **Akun AWS**, lalu pilih kotak centang di Akun AWS samping tempat Anda masuk saat ini.
1. Pilih tombol **Tetapkan pengguna atau grup**.
1. Pilih tab **Pengguna**.
1. Pilih kotak centang di sebelah pengguna CodeDeploy administratif.
1. Pilih **Berikutnya**.
1. Pilih kotak centang di sebelah`CodeDeployUserPermissionSet`.
1. Pilih **Berikutnya**.
1. Tinjau informasi dan pilih **Kirim**.
Anda sekarang telah menetapkan pengguna CodeDeploy administratif dan `CodeDeployUserPermissionSet` untuk Anda Akun AWS, mengikat mereka bersama-sama.
**Untuk keluar dan masuk kembali sebagai pengguna CodeDeploy administratif**
1. Sebelum Anda keluar, pastikan Anda memiliki URL portal AWS akses dan nama pengguna dan kata sandi satu kali untuk pengguna CodeDeploy admin.
**catatan**
Jika Anda tidak memiliki informasi ini, buka halaman detail pengguna CodeDeploy adminstratif di IAM Identity Center, pilih **Reset password, Hasilkan password** **satu kali [**...] , dan **Reset kata sandi** lagi untuk menampilkan informasi di layar.
1. Keluar dari AWS.
1. Rekatkan URL portal AWS akses ke bilah alamat browser Anda.
1. Masuk sebagai pengguna CodeDeploy adminstratif.
Sebuah **Akun AWS**kotak muncul di layar.
1. Pilih **Akun AWS**, lalu pilih nama yang Anda tetapkan pengguna CodeDeploy adminstratif dan set izin. Akun AWS
1. Di sebelah`CodeDeployUserPermissionSet`, pilih **Konsol manajemen**.
Konsol Manajemen AWS Muncul. Anda sekarang masuk sebagai pengguna CodeDeploy adminstratif dengan izin terbatas. Anda sekarang dapat melakukan operasi CodeDeploy -related, dan *hanya* operasi CodeDeploy -related, sebagai pengguna ini.
# Langkah 4: Buat profil instans IAM untuk instans Amazon EC2 Anda
**catatan**
Jika Anda menggunakan platform komputasi Amazon ECS atau AWS Lambda, lewati langkah ini.
Instans Amazon EC2 Anda memerlukan izin untuk mengakses bucket atau GitHub repositori Amazon S3 tempat aplikasi disimpan. *Untuk meluncurkan instans Amazon EC2 yang kompatibel dengannya CodeDeploy, Anda harus membuat peran IAM tambahan, profil instans.* Petunjuk ini menunjukkan cara membuat profil instans IAM untuk dilampirkan ke instans Amazon EC2 Anda. Peran ini memberikan izin CodeDeploy agen untuk mengakses bucket atau GitHub repositori Amazon S3 tempat aplikasi Anda disimpan.
Anda dapat membuat profil instans IAM dengan AWS CLI, konsol IAM, atau IAM. APIs
**catatan**
Anda dapat melampirkan profil instans IAM ke instans Amazon EC2 saat meluncurkannya atau ke instans yang diluncurkan sebelumnya. Untuk informasi selengkapnya, lihat [Profil instans](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-usingrole-instanceprofile.html).
**Topics**
+ [Buat profil instans IAM untuk instans Amazon EC2 (CLI)](#getting-started-create-iam-instance-profile-cli)
+ [Membuat profil instans IAM untuk instans Amazon EC2 (konsol)](#getting-started-create-iam-instance-profile-console)
## Buat profil instans IAM untuk instans Amazon EC2 (CLI)
Dalam langkah-langkah ini, kami berasumsi Anda telah mengikuti instruksi dalam tiga langkah pertama[Memulai dengan CodeDeploy](getting-started-codedeploy.md).
1. Pada mesin pengembangan Anda, buat file teks bernama`CodeDeployDemo-EC2-Trust.json`. Tempel konten berikut, yang memungkinkan Amazon EC2 berfungsi atas nama Anda:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"ec2.cn-north-1.amazonaws.com",
"ec2.cn-northwest-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Di direktori yang sama, buat file teks bernama`CodeDeployDemo-EC2-Permissions.json`. Tempel konten berikut:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:Get*",
"s3:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**catatan**
Kami menyarankan Anda membatasi kebijakan ini hanya untuk bucket Amazon S3 yang harus diakses instans Amazon EC2 Anda. Pastikan untuk memberikan akses ke bucket Amazon S3 yang berisi agen. CodeDeploy Jika tidak, kesalahan dapat terjadi ketika CodeDeploy agen diinstal atau diperbarui pada instance. Untuk memberikan akses profil instans IAM hanya ke beberapa bucket kit CodeDeploy sumber daya di Amazon S3, gunakan kebijakan berikut, tetapi hapus baris untuk bucket yang ingin Anda cegah aksesnya:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::aws-codedeploy-us-east-2/*",
"arn:aws:s3:::aws-codedeploy-us-east-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-2/*",
"arn:aws:s3:::aws-codedeploy-ca-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-2/*",
"arn:aws:s3:::aws-codedeploy-eu-west-3/*",
"arn:aws:s3:::aws-codedeploy-eu-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-central-2/*",
"arn:aws:s3:::aws-codedeploy-eu-north-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-2/*",
"arn:aws:s3:::aws-codedeploy-il-central-1/*",
"arn:aws:s3:::aws-codedeploy-ap-east-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-4/*",
"arn:aws:s3:::aws-codedeploy-ap-south-1/*",
"arn:aws:s3:::aws-codedeploy-ap-south-2/*",
"arn:aws:s3:::aws-codedeploy-me-central-1/*",
"arn:aws:s3:::aws-codedeploy-me-south-1/*",
"arn:aws:s3:::aws-codedeploy-sa-east-1/*"
]
}
]
}
```
**catatan**
Jika Anda ingin menggunakan [otorisasi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization) atau titik akhir CodeDeploy Amazon Virtual Private Cloud (VPC), Anda perlu menambahkan lebih banyak izin. Lihat [Menggunakan CodeDeploy dengan Amazon Virtual Private Cloud](https://docs.aws.amazon.com/codedeploy/latest/userguide/vpc-endpoints) untuk informasi selengkapnya.
1. Dari direktori yang sama, panggil **create-role** perintah untuk membuat peran IAM bernama**CodeDeployDemo-EC2-Instance-Profile**, berdasarkan informasi di file pertama:
**penting**
Pastikan untuk menyertakan `file://` sebelum nama file. Diperlukan dalam perintah ini.
```
aws iam create-role --role-name CodeDeployDemo-EC2-Instance-Profile --assume-role-policy-document file://CodeDeployDemo-EC2-Trust.json
```
1. Dari direktori yang sama, panggil **put-role-policy** perintah untuk memberikan peran bernama **CodeDeployDemo-EC2-Instance-Profile** izin berdasarkan informasi dalam file kedua:
**penting**
Pastikan untuk menyertakan `file://` sebelum nama file. Diperlukan dalam perintah ini.
```
aws iam put-role-policy --role-name CodeDeployDemo-EC2-Instance-Profile --policy-name CodeDeployDemo-EC2-Permissions --policy-document file://CodeDeployDemo-EC2-Permissions.json
```
1. Hubungi **attach-role-policy** untuk memberikan peran izin Amazon EC2 Systems Manager sehingga SSM dapat menginstal agen. CodeDeploy Kebijakan ini tidak diperlukan jika Anda berencana untuk menginstal agen dari bucket Amazon S3 publik dengan baris perintah. Pelajari lebih lanjut tentang [menginstal CodeDeploy agen](https://docs.aws.amazon.com/codedeploy/latest/userguide/codedeploy-agent-operations-install.html).
```
aws iam attach-role-policy --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore --role-name CodeDeployDemo-EC2-Instance-Profile
```
1. Panggil **create-instance-profile** perintah diikuti dengan **add-role-to-instance-profile** perintah untuk membuat profil instans IAM bernama**CodeDeployDemo-EC2-Instance-Profile**. Profil instans memungkinkan Amazon EC2 meneruskan peran IAM yang diberi nama **CodeDeployDemo-EC2-Instance-Profile** ke instans Amazon EC2 saat instans pertama kali diluncurkan:
```
aws iam create-instance-profile --instance-profile-name CodeDeployDemo-EC2-Instance-Profile
aws iam add-role-to-instance-profile --instance-profile-name CodeDeployDemo-EC2-Instance-Profile --role-name CodeDeployDemo-EC2-Instance-Profile
```
*Jika Anda perlu mendapatkan nama profil instans IAM, lihat [list-instance-profiles-for-role](https://docs.aws.amazon.com/cli/latest/reference/iam/list-instance-profiles-for-role.html) di bagian IAM Referensi.AWS CLI *
Anda sekarang telah membuat profil instans IAM untuk dilampirkan ke instans Amazon EC2 Anda. Untuk informasi selengkapnya, lihat [peran IAM untuk Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) EC2 di Panduan Pengguna *Amazon EC2*.
## Membuat profil instans IAM untuk instans Amazon EC2 (konsol)
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dalam kolom IAM, dalam panel navigas, pilih **Kebijakan**, lalu pilih **Buat kebijakan**.
1. Pada halaman **Tentukan izin**, pilih **JSON**.
1. Hapus `JSON` kode contoh.
1. Tempel kode berikut:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:Get*",
"s3:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**catatan**
Kami menyarankan Anda membatasi kebijakan ini hanya untuk bucket Amazon S3 yang harus diakses instans Amazon EC2 Anda. Pastikan untuk memberikan akses ke bucket Amazon S3 yang berisi agen. CodeDeploy Jika tidak, kesalahan dapat terjadi ketika CodeDeploy agen diinstal atau diperbarui pada instance. Untuk memberikan akses profil instans IAM hanya ke beberapa bucket kit CodeDeploy sumber daya di Amazon S3, gunakan kebijakan berikut, tetapi hapus baris untuk bucket yang ingin Anda cegah aksesnya:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::aws-codedeploy-us-east-2/*",
"arn:aws:s3:::aws-codedeploy-us-east-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-2/*",
"arn:aws:s3:::aws-codedeploy-ca-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-2/*",
"arn:aws:s3:::aws-codedeploy-eu-west-3/*",
"arn:aws:s3:::aws-codedeploy-eu-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-central-2/*",
"arn:aws:s3:::aws-codedeploy-eu-north-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-2/*",
"arn:aws:s3:::aws-codedeploy-il-central-1/*",
"arn:aws:s3:::aws-codedeploy-ap-east-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-4/*",
"arn:aws:s3:::aws-codedeploy-ap-south-1/*",
"arn:aws:s3:::aws-codedeploy-ap-south-2/*",
"arn:aws:s3:::aws-codedeploy-me-central-1/*",
"arn:aws:s3:::aws-codedeploy-me-south-1/*",
"arn:aws:s3:::aws-codedeploy-sa-east-1/*"
]
}
]
}
```
**catatan**
Jika Anda ingin menggunakan [otorisasi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization) atau titik akhir CodeDeploy Amazon Virtual Private Cloud (VPC), Anda perlu menambahkan lebih banyak izin. Lihat [Menggunakan CodeDeploy dengan Amazon Virtual Private Cloud](https://docs.aws.amazon.com/codedeploy/latest/userguide/vpc-endpoints) untuk informasi selengkapnya.
1. Pilih **Berikutnya**.
1. Pada halaman **Tinjau dan buat**, di kotak **Nama kebijakan**, ketik**CodeDeployDemo-EC2-Permissions**.
1. (Opsional) Untuk **Deskripsi**, ketik deskripsi untuk kebijakan.
1. Pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Di bawah **Kasus penggunaan**, pilih kasus penggunaan **EC2**.
1. Pilih **Berikutnya**.
1. Dalam daftar kebijakan, pilih kotak centang di samping kebijakan yang baru saja Anda buat (**CodeDeployDemo-EC2-Permissions**). Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan.
1. Untuk menggunakan Systems Manager untuk menginstal atau mengonfigurasi CodeDeploy agen, pilih kotak centang di sebelah **Amazon SSMManaged InstanceCore**. Kebijakan AWS terkelola ini memungkinkan instance untuk menggunakan fungsionalitas inti layanan Systems Manager. Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan. Kebijakan ini tidak diperlukan jika Anda berencana untuk menginstal agen dari bucket Amazon S3 publik dengan baris perintah. Pelajari lebih lanjut tentang [menginstal CodeDeploy agen](https://docs.aws.amazon.com/codedeploy/latest/userguide/codedeploy-agent-operations-install.html).
1. Pilih **Berikutnya**.
1. Pada halaman **Nama, tinjau, dan buat**, di **Nama peran**, masukkan nama untuk peran layanan (misalnya,**CodeDeployDemo-EC2-Instance-Profile**), lalu pilih **Buat peran**.
Anda juga dapat memasukkan deskripsi untuk peran layanan ini di **Deskripsi peran**.
Anda sekarang telah membuat profil instans IAM untuk dilampirkan ke instans Amazon EC2 Anda. Untuk informasi selengkapnya, lihat [peran IAM untuk Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) EC2 di Panduan Pengguna *Amazon EC2*.