Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan berbasis identitas AWS CodePipeline
Secara default, pengguna dan peran IAM tidak memiliki izin untuk membuat atau memodifikasi sumber daya CodePipeline . Mereka juga tidak dapat melakukan tugas menggunakan AWS Management Console, AWS CLI, atau AWS API. Administrator IAM harus membuat kebijakan IAM yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya yang diperlukan. Administrator kemudian harus melampirkan kebijakan tersebut ke pengguna IAM atau grup yang memerlukan izin tersebut.
Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat Membuat Kebijakan pada Tab JSON dalam Panduan Pengguna IAM.
Untuk mempelajari cara membuat pipeline yang menggunakan sumber daya dari akun lain, dan untuk contoh kebijakan terkait, lihatBuat pipeline CodePipeline yang menggunakan sumber daya dari AWS akun lain.
Topik
Contoh kebijakan yang dikelola pelanggan
Di bagian ini, Anda dapat menemukan contoh kebijakan pengguna yang memberikan izin untuk berbagai CodePipeline tindakan. Kebijakan ini berfungsi saat Anda menggunakan CodePipeline API, AWS SDKs, atau AWS CLI. Saat menggunakan konsol, Anda harus memberikan izin tambahan khusus untuk konsol. Untuk informasi selengkapnya, lihat Izin yang diperlukan untuk menggunakan konsol CodePipeline .
catatan
Semua contoh menggunakan Wilayah Barat AS (Oregon) (us-west-2) dan berisi akun fiktif. IDs
Contoh
-
Contoh 2: Berikan izin untuk mengaktifkan dan menonaktifkan transisi antar tahapan
-
Contoh 3: Berikan izin untuk mendapatkan daftar semua jenis tindakan yang tersedia
-
Contoh 4: Berikan izin untuk menyetujui atau menolak tindakan persetujuan manual
-
Contoh 5: Berikan izin untuk melakukan polling untuk pekerjaan untuk tindakan kustom
-
Contoh 6: Lampirkan atau edit kebijakan untuk integrasi Jenkins dengan AWS CodePipeline
Contoh 1: Berikan izin untuk mendapatkan status pipa
Contoh berikut memberikan izin untuk mendapatkan status pipeline bernama: MyFirstPipeline
Contoh 2: Berikan izin untuk mengaktifkan dan menonaktifkan transisi antar tahapan
Contoh berikut memberikan izin untuk menonaktifkan dan mengaktifkan transisi antara semua tahapan dalam pipeline bernama: MyFirstPipeline
Untuk memungkinkan pengguna menonaktifkan dan mengaktifkan transisi untuk satu tahap dalam pipeline, Anda harus menentukan tahapannya. Misalnya, untuk memungkinkan pengguna mengaktifkan dan menonaktifkan transisi untuk tahap yang dinamai Staging dalam pipeline bernamaMyFirstPipeline:
"Resource": "arn:aws:codepipeline:us-west-2:111222333444:MyFirstPipeline/Staging"
Contoh 3: Berikan izin untuk mendapatkan daftar semua jenis tindakan yang tersedia
Contoh berikut memberikan izin untuk mendapatkan daftar semua jenis tindakan yang tersedia yang tersedia untuk pipeline di Wilayah: us-west-2
Contoh 4: Berikan izin untuk menyetujui atau menolak tindakan persetujuan manual
Contoh berikut memberikan izin untuk menyetujui atau menolak tindakan persetujuan manual dalam tahapan yang disebutkan dalam pipeline bernamaStaging: MyFirstPipeline
Contoh 5: Berikan izin untuk melakukan polling untuk pekerjaan untuk tindakan kustom
Contoh berikut memberikan izin untuk melakukan polling pekerjaan untuk tindakan kustom bernamaTestProvider, yang merupakan tipe Test tindakan dalam versi pertamanya, di semua pipeline:
catatan
Pekerja pekerjaan untuk tindakan kustom mungkin dikonfigurasi di bawah AWS akun yang berbeda atau memerlukan peran IAM tertentu agar berfungsi.
Contoh 6: Lampirkan atau edit kebijakan untuk integrasi Jenkins dengan AWS CodePipeline
Jika Anda mengonfigurasi pipeline untuk menggunakan Jenkins untuk membangun atau menguji, buat identitas terpisah untuk integrasi tersebut dan lampirkan kebijakan IAM yang memiliki izin minimum yang diperlukan untuk integrasi antara Jenkins dan. CodePipeline Kebijakan ini sama dengan kebijakan yang AWSCodePipelineCustomActionAccess dikelola. Contoh berikut menunjukkan kebijakan untuk integrasi Jenkins:
Contoh 7: Konfigurasikan akses lintas akun ke pipeline
Anda dapat mengonfigurasi akses ke saluran pipa untuk pengguna dan grup di AWS akun lain. Cara yang disarankan adalah membuat peran di akun tempat pipeline dibuat. Peran tersebut harus memungkinkan pengguna dari AWS akun lain untuk mengambil peran itu dan mengakses pipeline. Untuk informasi selengkapnya, lihat Panduan: Akses Lintas Akun Menggunakan Peran.
Contoh berikut menunjukkan kebijakan di akun 80398EXAMPLE yang memungkinkan pengguna untuk melihat, tetapi tidak mengubah, pipeline yang dinamai MyFirstPipeline di konsol. CodePipeline Kebijakan ini didasarkan pada kebijakan yang AWSCodePipeline_ReadOnlyAccess dikelola, tetapi karena khusus untuk MyFirstPipeline pipeline, kebijakan ini tidak dapat menggunakan kebijakan terkelola secara langsung. Jika Anda tidak ingin membatasi kebijakan ke pipeline tertentu, pertimbangkan untuk menggunakan salah satu kebijakan terkelola yang dibuat dan dikelola oleh CodePipeline. Untuk informasi lebih lanjut, lihat Bekerja dengan Kebijakan Terkelola. Anda harus melampirkan kebijakan ini ke peran IAM yang Anda buat untuk akses, misalnya, peran bernamaCrossAccountPipelineViewers:
Setelah Anda membuat kebijakan ini, buat peran IAM di akun 80398EXAMPLE dan lampirkan kebijakan ke peran tersebut. Dalam hubungan kepercayaan peran, Anda harus menambahkan AWS akun yang mengasumsikan peran ini.
Contoh berikut menunjukkan kebijakan yang dibuat di 111111111111 AWS akun yang memungkinkan pengguna untuk mengambil peran yang disebutkan CrossAccountPipelineViewers di akun 80398EXAMPLE:
