Langkah 3: Batasi izin CodeDeploy pengguna - AWS CodeDeploy

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 3: Batasi izin CodeDeploy pengguna

Untuk alasan keamanan, kami menyarankan Anda membatasi izin pengguna administratif yang Anda buat hanya Langkah 1: Menyiapkan untuk yang diperlukan untuk membuat dan mengelola penerapan di. CodeDeploy

Gunakan serangkaian prosedur berikut untuk membatasi izin pengguna CodeDeploy administratif.

Sebelum Anda mulai

  • Pastikan Anda telah membuat pengguna CodeDeploy administratif di Pusat IAM Identitas mengikuti petunjuk diLangkah 1: Menyiapkan.

Untuk membuat set izin

Anda akan menetapkan izin ini disetel ke pengguna CodeDeploy administratif nanti.

  1. Masuk ke AWS Management Console dan buka AWS IAM Identity Center konsol di https://console.aws.amazon.com/singlesignon/.

  2. Di panel navigasi, pilih Set izin, lalu pilih Buat set izin.

  3. Pilih Set izin khusus.

  4. Pilih Berikutnya.

  5. Pilih kebijakan Inline.

  6. Hapus kode sampel.

  7. Tambahkan kode kebijakan berikut:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeDeployAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "autoscaling:*",
        "codedeploy:*",
        "ec2:*",
        "lambda:*",
        "ecs:*",
        "elasticloadbalancing:*",
        "iam:AddRoleToInstanceProfile",
        "iam:AttachRolePolicy",
        "iam:CreateInstanceProfile",
        "iam:CreateRole",
        "iam:DeleteInstanceProfile",
        "iam:DeleteRole",
        "iam:DeleteRolePolicy",
        "iam:GetInstanceProfile",
        "iam:GetRole",
        "iam:GetRolePolicy",
        "iam:ListInstanceProfilesForRole",
        "iam:ListRolePolicies",
        "iam:ListRoles",
        "iam:PutRolePolicy",
        "iam:RemoveRoleFromInstanceProfile",
        "s3:*",
        "ssm:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeDeployRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/CodeDeployServiceRole"
    }
  ]
}

    Dalam kebijakan ini, ganti arn:aws:iam::account-ID:role/CodeDeployServiceRole dengan ARN nilai peran CodeDeploy layanan yang Anda buatLangkah 2: Buat peran layanan untuk CodeDeploy. Anda dapat menemukan ARN nilai di halaman detail peran layanan di IAM konsol.

    Kebijakan sebelumnya memungkinkan Anda menerapkan aplikasi ke platform komputasi AWS Lambda, platform komputasi EC2 /On-Premise, dan platform komputasi Amazon. ECS

    Anda dapat menggunakan AWS CloudFormation templat yang disediakan dalam dokumentasi ini untuk meluncurkan EC2 instans Amazon yang kompatibel dengannya CodeDeploy. Untuk menggunakan AWS CloudFormation templat untuk membuat aplikasi, grup penyebaran, atau konfigurasi penerapan, Anda harus menyediakan akses ke AWS CloudFormation—dan AWS layanan serta tindakan yang AWS CloudFormation bergantung pada—dengan menambahkan cloudformation:* izin ke kebijakan izin pengguna CodeDeploy administratif, seperti ini:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        ...
        "cloudformation:*"        
      ],
      "Resource": "*"
    }
  ]
}

  8. Pilih Berikutnya.

  9. Dalam nama set Izin, masukkan:

    CodeDeployUserPermissionSet

  10. Pilih Berikutnya.

  11. Pada halaman Tinjau dan buat, tinjau informasi dan pilih Buat.

Untuk menetapkan izin yang disetel ke pengguna CodeDeploy administratif

  1. Di panel navigasi, pilih Akun AWS, lalu pilih kotak centang di Akun AWS samping tempat Anda masuk saat ini.

  2. Pilih tombol Tetapkan pengguna atau grup.

  3. Pilih tab Pengguna.

  4. Pilih kotak centang di sebelah pengguna CodeDeploy administratif.

  5. Pilih Berikutnya.

  6. Pilih kotak centang di sebelahCodeDeployUserPermissionSet.

  7. Pilih Berikutnya.

  8. Tinjau informasi dan pilih Kirim.

    Anda sekarang telah menetapkan pengguna CodeDeploy administratif dan CodeDeployUserPermissionSet untuk Anda Akun AWS, mengikat mereka bersama-sama.

Untuk keluar dan masuk kembali sebagai pengguna CodeDeploy administratif

  1. Sebelum Anda keluar, pastikan Anda memiliki portal AWS akses dan nama pengguna URL dan kata sandi satu kali untuk pengguna CodeDeploy admin.

    catatan

    Jika Anda tidak memiliki informasi ini, buka halaman detail pengguna CodeDeploy adminstratif di Pusat IAM Identitas, pilih Reset kata sandi, Hasilkan kata sandi satu kali [...] , dan Atur ulang kata sandi lagi untuk menampilkan informasi di layar.

  2. Keluar dari AWS.

  3. Tempelkan portal AWS akses URL ke bilah alamat browser Anda.

  4. Masuk sebagai pengguna CodeDeploy adminstratif.

    Sebuah Akun AWSkotak muncul di layar.

  5. Pilih Akun AWS, lalu pilih nama yang Anda tetapkan pengguna CodeDeploy adminstratif dan set izin. Akun AWS

  6. Di sebelahCodeDeployUserPermissionSet, pilih Konsol manajemen.

    AWS Management Console Muncul. Anda sekarang masuk sebagai pengguna CodeDeploy adminstratif dengan izin terbatas. Anda sekarang dapat melakukan operasi CodeDeploy -related, dan hanya operasi CodeDeploy -related, sebagai pengguna ini.