Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Guida introduttiva con CodeDeploy
**Topics**
+ [Fase 1: Configurazione](getting-started-setting-up.md)
+ [Fase 2: Creare un ruolo di servizio per CodeDeploy](getting-started-create-service-role.md)
+ [Passaggio 3: Limita le autorizzazioni CodeDeploy dell'utente](getting-started-policy.md)
+ [Fase 4: crea un profilo di istanza IAM per le tue istanze Amazon EC2](getting-started-create-iam-instance-profile.md)
# Fase 1: Configurazione
Prima di utilizzarlo AWS CodeDeploy per la prima volta, è necessario completare i passaggi di configurazione. I passaggi prevedono la creazione di un AWS account (se non ne hai già uno) e di un utente amministrativo con accesso programmatico.
In questa guida, l'utente amministrativo è chiamato **utente CodeDeploy amministrativo**.
## Iscriviti per un Account AWS
Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.
**Per iscriverti a un Account AWS**
1. Apri la [https://portal.aws.amazon.com/billing/registrazione.](https://portal.aws.amazon.com/billing/signup)
1. Segui le istruzioni online.
Nel corso della procedura di registrazione riceverai una telefonata o un messaggio di testo e ti verrà chiesto di inserire un codice di verifica attraverso la tastiera del telefono.
Quando ti iscrivi a un Account AWS, *Utente root dell'account AWS*viene creato un. L’utente root dispone dell’accesso a tutte le risorse e tutti i Servizi AWS nell’account. Come best practice di sicurezza, assegna l’accesso amministrativo a un utente e utilizza solo l’utente root per eseguire [attività che richiedono l’accesso di un utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS ti invia un'email di conferma dopo il completamento della procedura di registrazione. In qualsiasi momento, puoi visualizzare l'attività corrente del tuo account e gestirlo accedendo a [https://aws.amazon.com/](https://aws.amazon.com/)e scegliendo **Il mio account**.
## Crea un utente con accesso amministrativo
Dopo esserti registrato Account AWS, proteggi Utente root dell'account AWS AWS IAM Identity Center, abilita e crea un utente amministrativo in modo da non utilizzare l'utente root per le attività quotidiane.
**Proteggi i tuoi Utente root dell'account AWS**
1. Accedi [Console di gestione AWS](https://console.aws.amazon.com/)come proprietario dell'account scegliendo **Utente root** e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.
Per informazioni sull’accesso utilizzando un utente root, consulta la pagina [Accedere come utente root](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) nella *Guida per l’utente di Accedi ad AWS *.
1. Abilita l’autenticazione a più fattori (MFA) per l’utente root.
Per istruzioni, consulta [Abilitare un dispositivo MFA virtuale per l'utente Account AWS root (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) nella Guida per l'*utente IAM*.
**Crea un utente con accesso amministrativo**
1. Abilita il Centro identità IAM.
Per istruzioni, consulta [Abilitazione del AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) nella *Guida per l’utente di AWS IAM Identity Center *.
1. Nel Centro identità IAM, assegna l’accesso amministrativo a un utente.
Per un tutorial sull'utilizzo di IAM Identity Center directory come fonte di identità, consulta [Configurare l'accesso utente con l'impostazione predefinita IAM Identity Center directory](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) nella *Guida per l'AWS IAM Identity Center utente*.
**Accesso come utente amministratore**
+ Per accedere come utente del Centro identità IAM, utilizza l’URL di accesso che è stato inviato al tuo indirizzo e-mail quando hai creato l’utente del Centro identità IAM.
Per informazioni sull'accesso utilizzando un utente IAM Identity Center, consulta [AWS Accedere al portale di accesso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) nella *Guida per l'Accedi ad AWS utente*.
**Assegnazione dell’accesso ad altri utenti**
1. Nel Centro identità IAM, crea un set di autorizzazioni conforme alla best practice per l’applicazione di autorizzazioni con il privilegio minimo.
Segui le istruzioni riportate nella pagina [Creazione di un set di autorizzazioni](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) nella *Guida per l’utente di AWS IAM Identity Center *.
1. Assegna al gruppo prima gli utenti e poi l’accesso con autenticazione unica (Single Sign-On).
Per istruzioni, consulta [Aggiungere gruppi](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) nella *Guida per l’utente di AWS IAM Identity Center *.
Ora hai creato e effettuato l'accesso come **utente CodeDeploy amministrativo**.
## Concessione dell'accesso programmatico
Gli utenti necessitano dell'accesso programmatico se desiderano interagire con l' AWS esterno di. Console di gestione AWS Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS
Per fornire agli utenti l’accesso programmatico, scegli una delle seguenti opzioni.
****
| Quale utente necessita dell’accesso programmatico? | Per | Come |
| --- | --- | --- |
| IAM | (Consigliato) Utilizza le credenziali della console come credenziali temporanee per firmare le richieste programmatiche a,, o. AWS CLI AWS SDKs AWS APIs | Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/codedeploy/latest/userguide/getting-started-setting-up.html) |
| Identità della forza lavoro (Utenti gestiti nel centro identità IAM) | Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs | Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/codedeploy/latest/userguide/getting-started-setting-up.html) |
| IAM | Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs | Seguendo le istruzioni riportate in [Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) l'utente IAM. |
| IAM | (Non consigliato)Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs | Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/codedeploy/latest/userguide/getting-started-setting-up.html) |
**Importante**
Ti consigliamo vivamente di configurare l'utente CodeDeploy amministrativo come identità della forza lavoro (un utente gestito in IAM Identity Center) con. AWS CLI Molte delle procedure di questa guida presuppongono che tu stia utilizzando il per eseguire le AWS CLI configurazioni.
**Importante**
Se si configura il AWS CLI, è possibile che venga richiesto di specificare una AWS regione. Scegli una delle regioni supportate elencate in [Regione e gli endpoint](https://docs.aws.amazon.com/general/latest/gr/rande.html#codedeploy_region) in. *Riferimenti generali di AWS*
# Fase 2: Creare un ruolo di servizio per CodeDeploy
Nel AWS, i ruoli di servizio vengono utilizzati per concedere le autorizzazioni a un AWS servizio in modo che possa accedere alle AWS risorse. Le policy che colleghi al ruolo del servizio determinano le risorse a cui il servizio può accedere e le azioni che può eseguire.
Al ruolo di servizio per cui crei CodeDeploy devono essere concesse le autorizzazioni richieste per la tua piattaforma di elaborazione. Se esegui la distribuzione su più di una piattaforma di elaborazione, crea un ruolo di servizio per ciascuna. Per aggiungere autorizzazioni, allega una o più delle seguenti politiche fornite: AWS
Per le distribuzioni EC2/on-premise, allega la policy. **AWSCodeDeployRole** Fornisce le autorizzazioni necessarie al ruolo del servizio per:
+ Leggi i tag sulle tue istanze o identifica le tue istanze Amazon EC2 tramite i nomi dei gruppi di Amazon EC2 Auto Scaling.
+ Leggi, crea, aggiorna ed elimina i gruppi, gli hook del ciclo di vita e le politiche di scalabilità di Amazon EC2 Auto Scaling.
+ Pubblica informazioni su argomenti di Amazon SNS.
+ Recupera informazioni sugli CloudWatch allarmi.
+ Leggi e aggiorna Elastic Load Balancing.
**Nota**
Se crei il tuo gruppo Auto Scaling con un modello di avvio, devi aggiungere le seguenti autorizzazioni:
`ec2:RunInstances`
`ec2:CreateTags`
`iam:PassRole`
Per ulteriori informazioni[Fase 2: Creare un ruolo di servizio](#getting-started-create-service-role), consulta [Creazione di un modello di lancio per un gruppo Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html) e [Supporto dei modelli di avvio](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-launch-template-permissions.html) nella Guida per l'utente di *Amazon EC2* Auto Scaling.
Per le implementazioni di Amazon ECS, se desideri l'accesso completo ai servizi di supporto, allega la policy. **AWSCodeDeployRoleForECS** Fornisce le autorizzazioni necessarie al ruolo del servizio per:
+ Leggi, aggiorna ed elimina i set di attività di Amazon ECS.
+ Aggiorna i gruppi target, gli ascoltatori e le regole di Elastic Load Balancing.
+ Invoca funzioni AWS Lambda .
+ Accedi ai file di revisione nei bucket Amazon S3.
+ Recupera informazioni sugli allarmi. CloudWatch
+ Pubblica informazioni su argomenti di Amazon SNS.
Per le implementazioni di Amazon ECS, se desideri un accesso limitato ai servizi di supporto, allega la policy. **AWSCodeDeployRoleForECSLimited** Fornisce le autorizzazioni necessarie al ruolo del servizio per:
+ Leggi, aggiorna ed elimina i set di attività di Amazon ECS.
+ Recupera informazioni sugli CloudWatch allarmi.
+ Pubblica informazioni su argomenti di Amazon SNS.
Per le distribuzioni AWS Lambda, se desideri consentire la pubblicazione su Amazon SNS, allega la policy. **AWSCodeDeployRoleForLambda** Fornisce le autorizzazioni necessarie al ruolo del servizio per:
+ Leggi, aggiorna e richiama AWS Lambda funzioni e alias.
+ Accedi ai file di revisione nei bucket Amazon S3.
+ Recupera informazioni sugli allarmi. CloudWatch
+ Pubblica informazioni su argomenti di Amazon SNS.
Per le implementazioni AWS Lambda, se desideri limitare l'accesso ad Amazon SNS, allega la policy. **AWSCodeDeployRoleForLambdaLimited** Fornisce le autorizzazioni necessarie al ruolo del servizio per:
+ Leggi, aggiorna e richiama AWS Lambda funzioni e alias.
+ Accedi ai file di revisione nei bucket Amazon S3.
+ Recupera informazioni sugli allarmi. CloudWatch
Nell'ambito dell'impostazione del ruolo del servizio, si aggiorna anche il suo rapporto di fiducia per specificare gli endpoint a cui si desidera concedere l'accesso.
Puoi creare un ruolo di servizio con la console IAM AWS CLI, o IAM. APIs
**Topics**
+ [Crea un ruolo di servizio (console)](#getting-started-create-service-role-console)
+ [Creare un ruolo di servizio (CLI)](#getting-started-create-service-role-cli)
+ [Ottieni il ruolo di servizio ARN (console)](#getting-started-get-service-role-console)
+ [Ottieni il ruolo di servizio ARN (CLI)](#getting-started-get-service-role-cli)
## Crea un ruolo di servizio (console)
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.
1. Scegli il **AWS servizio** e, in **Caso d'uso**, dall'elenco a discesa, scegli. **CodeDeploy**
1. Scegli il tuo caso d'uso:
+ Per le implementazioni EC2/on-premise, scegli. **CodeDeploy**
+ **Per le implementazioni AWS Lambda, scegli Lambda. CodeDeploy **
+ **Per le implementazioni di Amazon ECS, scegli CodeDeploy - ECS.**
1. Scegli **Next (Successivo)**.
1. Nella pagina **Aggiungi autorizzazioni**, viene visualizzata la politica di autorizzazione corretta per il caso d'uso. Scegli **Next (Successivo)**.
1. Nella pagina **Nome, revisione e creazione**, in **Nome ruolo**, inserisci un nome per il ruolo di servizio (ad esempio,**CodeDeployServiceRole**), quindi scegli **Crea** ruolo.
Puoi anche inserire una descrizione per questo ruolo di servizio nella **descrizione del ruolo**.
1. Se si intende concedere a questo ruolo del servizio l'autorizzazione per accedere a tutti gli endpoint attualmente supportati, la procedura è terminata.
Per limitare l'accesso di questo ruolo di servizio ad alcuni endpoint, continua con i passaggi rimanenti di questa procedura.
1. Nell'elenco dei ruoli, cerca e scegli il ruolo che hai appena creato (`CodeDeployServiceRole`).
1. Seleziona la scheda **Relazioni di attendibilità**
1. Seleziona **Modifica policy di attendibilità**.
Dovrebbero essere visualizzate le seguenti policy, che offrono al ruolo del servizio l'autorizzazione per accedere a tutti gli endpoint supportati:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
Per concedere al ruolo di servizio l'accesso solo ad alcuni endpoint supportati, sostituisci il contenuto della casella di testo della politica di fiducia con la seguente politica. Rimuovi le righe relative agli endpoint a cui vuoi impedire l'accesso, quindi scegli **Aggiorna** policy.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.us-east-1.amazonaws.com",
"codedeploy.us-east-2.amazonaws.com",
"codedeploy.us-west-1.amazonaws.com",
"codedeploy.us-west-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.ap-east-1.amazonaws.com",
"codedeploy.ap-northeast-1.amazonaws.com",
"codedeploy.ap-northeast-2.amazonaws.com",
"codedeploy.ap-northeast-3.amazonaws.com",
"codedeploy.ap-southeast-1.amazonaws.com",
"codedeploy.ap-southeast-2.amazonaws.com",
"codedeploy.ap-southeast-3.amazonaws.com",
"codedeploy.ap-southeast-4.amazonaws.com",
"codedeploy.ap-south-1.amazonaws.com",
"codedeploy.ap-south-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.eu-west-1.amazonaws.com",
"codedeploy.eu-west-2.amazonaws.com",
"codedeploy.eu-west-3.amazonaws.com",
"codedeploy.eu-central-1.amazonaws.com",
"codedeploy.eu-central-2.amazonaws.com",
"codedeploy.eu-north-1.amazonaws.com",
"codedeploy.eu-south-1.amazonaws.com",
"codedeploy.eu-south-2.amazonaws.com",
"codedeploy.il-central-1.amazonaws.com",
"codedeploy.me-central-1.amazonaws.com",
"codedeploy.me-south-1.amazonaws.com",
"codedeploy.sa-east-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
Per ulteriori informazioni sulla creazione di ruoli di servizio, consulta [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-creatingrole-service.html) nella Guida per l'utente *IAM*.
## Creare un ruolo di servizio (CLI)
1. Nel computer di sviluppo creare un file di testo denominato, ad esempio `CodeDeployDemo-Trust.json`. Questo file viene utilizzato per consentire a CodeDeploy di lavorare per conto dell'utente.
Esegui una delle seguenti operazioni:
+ Per concedere l'accesso a tutte le AWS regioni supportate, salva il seguente contenuto nel file:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
+ Per concedere l'accesso solo ad alcune regioni supportate, digitare il seguente contenuto nel file e rimuovere le righe corrispondenti alle regioni alle quali non si desidera consentire l'accesso:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.us-east-1.amazonaws.com",
"codedeploy.us-east-2.amazonaws.com",
"codedeploy.us-west-1.amazonaws.com",
"codedeploy.us-west-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.ap-east-1.amazonaws.com",
"codedeploy.ap-northeast-1.amazonaws.com",
"codedeploy.ap-northeast-2.amazonaws.com",
"codedeploy.ap-northeast-3.amazonaws.com",
"codedeploy.ap-southeast-1.amazonaws.com",
"codedeploy.ap-southeast-2.amazonaws.com",
"codedeploy.ap-southeast-3.amazonaws.com",
"codedeploy.ap-southeast-4.amazonaws.com",
"codedeploy.ap-south-1.amazonaws.com",
"codedeploy.ap-south-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.eu-west-1.amazonaws.com",
"codedeploy.eu-west-2.amazonaws.com",
"codedeploy.eu-west-3.amazonaws.com",
"codedeploy.eu-central-1.amazonaws.com",
"codedeploy.eu-central-2.amazonaws.com",
"codedeploy.eu-north-1.amazonaws.com",
"codedeploy.eu-south-1.amazonaws.com",
"codedeploy.eu-south-2.amazonaws.com",
"codedeploy.il-central-1.amazonaws.com",
"codedeploy.me-central-1.amazonaws.com",
"codedeploy.me-south-1.amazonaws.com",
"codedeploy.sa-east-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
**Nota**
Non inserire la virgola dopo l'ultimo endpoint dell'elenco.
1. Dalla stessa directory, chiama il comando **create-role** per creare un ruolo del servizio denominato **CodeDeployServiceRole** in base alle informazioni del file di testo appena creato:
```
aws iam create-role --role-name CodeDeployServiceRole --assume-role-policy-document file://CodeDeployDemo-Trust.json
```
**Importante**
Assicurarsi di includere `file://` prima del nome del file. Questo è obbligatorio in questo comando.
Nell'output del comando prendere nota del valore della voce `Arn` sotto l'oggetto `Role`. Servirà successivamente al momento della creazione dei gruppi di distribuzione. Se si dimentica il valore, attenersi alle istruzioni in [Ottieni il ruolo di servizio ARN (CLI)](#getting-started-get-service-role-cli).
1. La policy gestita utilizzata dipende dalla piattaforma di elaborazione.
+ Se la distribuzione è su una piattaforma di elaborazione EC2/on-premise:
Chiama il **attach-role-policy** comando per assegnare al ruolo di servizio denominato le autorizzazioni in base **CodeDeployServiceRole** alla policy gestita IAM denominata. **AWSCodeDeployRole** Esempio:
```
aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSCodeDeployRole
```
+ Se la distribuzione è su una piattaforma di elaborazione AWS Lambda:
Chiama il **attach-role-policy** comando per assegnare al ruolo di servizio denominato **CodeDeployServiceRole** le autorizzazioni in base alla policy gestita IAM denominata o. **AWSCodeDeployRoleForLambda** **AWSCodeDeployRoleForLambdaLimited** Esempio:
```
aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSCodeDeployRoleForLambda
```
+ Se la distribuzione è su una piattaforma di calcolo Amazon ECS:
Chiama il **attach-role-policy** comando per assegnare al ruolo di servizio denominato **CodeDeployServiceRole** le autorizzazioni in base alla policy gestita IAM denominata or. **AWSCodeDeployRoleForECS** **AWSCodeDeployRoleForECSLimited** Esempio:
```
aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/AWSCodeDeployRoleForECS
```
Per ulteriori informazioni sulla creazione di ruoli di servizio, consulta [Creating a role for an AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/create-role-xacct.html) nella *IAM User Guide*.
## Ottieni il ruolo di servizio ARN (console)
Per utilizzare la console IAM per ottenere l'ARN del ruolo di servizio:
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella **Filter (Filtro)** digitare **CodeDeployServiceRole** e premere Invio.
1. Scegli **CodeDeployServiceRole**.
1. Prendere nota del valore del campo **Role ARN (ARN ruolo)**.
## Ottieni il ruolo di servizio ARN (CLI)
Per utilizzare il AWS CLI per ottenere l'ARN del ruolo di servizio, chiama il **get-role** comando sul ruolo di servizio denominato: **CodeDeployServiceRole**
```
aws iam get-role --role-name CodeDeployServiceRole --query "Role.Arn" --output text
```
Il valore restituito è l'ARN del ruolo del servizio.
# Passaggio 3: Limita le autorizzazioni CodeDeploy dell'utente
Per motivi di sicurezza, ti consigliamo di limitare le autorizzazioni dell'utente amministrativo che hai creato solo [Fase 1: Configurazione](getting-started-setting-up.md) a quelle necessarie per creare e gestire le distribuzioni in. CodeDeploy
Utilizza la seguente serie di procedure per limitare le autorizzazioni dell'utente CodeDeploy amministrativo.
**Prima di iniziare**
+ Assicurati di aver creato un utente CodeDeploy amministrativo in IAM Identity Center seguendo le istruzioni riportate in[Fase 1: Configurazione](getting-started-setting-up.md).
**Per creare un set di autorizzazioni**
Assegnerai questo set di autorizzazioni all'utente CodeDeploy amministrativo in un secondo momento.
1. Accedi a Console di gestione AWS e apri la AWS IAM Identity Center console all'indirizzo [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).
1. Nel riquadro di navigazione, scegli **Set di autorizzazioni**, quindi scegli **Crea set di autorizzazioni**.
1. Scegli **Set di autorizzazioni personalizzato**.
1. Scegli **Next (Successivo)**.
1. Scegli **Inline policy**.
1. Rimuovi il codice di esempio.
1. Aggiungi il seguente codice di policy:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CodeDeployAccessPolicy",
"Effect": "Allow",
"Action": [
"autoscaling:*",
"codedeploy:*",
"ec2:*",
"lambda:*",
"ecs:*",
"elasticloadbalancing:*",
"iam:AddRoleToInstanceProfile",
"iam:AttachRolePolicy",
"iam:CreateInstanceProfile",
"iam:CreateRole",
"iam:DeleteInstanceProfile",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:GetInstanceProfile",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListInstanceProfilesForRole",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:PutRolePolicy",
"iam:RemoveRoleFromInstanceProfile",
"s3:*",
"ssm:*"
],
"Resource": "*"
},
{
"Sid": "CodeDeployRolePolicy",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/CodeDeployServiceRole"
}
]
}
```
------
In questo criterio, sostituiscilo *arn:aws:iam::account-ID:role/CodeDeployServiceRole* con il valore ARN del ruolo di CodeDeploy servizio in cui hai creato. [Fase 2: Creare un ruolo di servizio per CodeDeploy](getting-started-create-service-role.md) Puoi trovare il valore ARN nella pagina dei dettagli del ruolo di servizio nella console IAM.
La policy precedente consente di distribuire un'applicazione su una piattaforma di calcolo AWS Lambda, una piattaforma di calcolo EC2/on-premise e una piattaforma di calcolo Amazon ECS.
Puoi utilizzare i CloudFormation modelli forniti in questa documentazione per avviare istanze Amazon EC2 compatibili con. CodeDeploy Per utilizzare i CloudFormation modelli per creare applicazioni, gruppi di distribuzione o configurazioni di distribuzione, devi fornire l'accesso ai AWS servizi CloudFormation e alle azioni da cui CloudFormation dipendono aggiungendo l'`cloudformation:*`autorizzazione alla politica di autorizzazione dell'utente CodeDeploy amministrativo, come segue:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
------
1. Scegli **Next (Successivo)**.
1. Nel nome del **set di autorizzazioni**, inserisci:
```
CodeDeployUserPermissionSet
```
1. Scegli **Next (Successivo)**.
1. Nella pagina **Rivedi e crea**, esamina le informazioni e scegli **Crea**.
**Per assegnare il set di autorizzazioni all'utente CodeDeploy amministrativo**
1. Nel riquadro di navigazione, scegli **Account AWS**, quindi seleziona la casella di controllo accanto a Account AWS quella a cui hai attualmente effettuato l'accesso.
1. Scegli il pulsante **Assegna utenti o gruppi**.
1. Scegli la scheda **Users** (Utenti);
1. Seleziona la casella di controllo accanto all'utente CodeDeploy amministrativo.
1. Scegli **Next (Successivo)**.
1. Seleziona la casella di controllo accanto a`CodeDeployUserPermissionSet`.
1. Scegli **Next (Successivo)**.
1. Controlla le informazioni e scegli **Invia**.
Ora hai assegnato l'utente CodeDeploy amministrativo e `CodeDeployUserPermissionSet` il tuo utente Account AWS, associandoli insieme.
**Per disconnetterti e accedere nuovamente come utente CodeDeploy amministrativo**
1. Prima di disconnetterti, assicurati di avere l'URL del portale di AWS accesso e il nome utente e la password monouso per l'utente CodeDeploy amministrativo.
**Nota**
**Se non disponi di queste informazioni, vai alla pagina dei dettagli utente CodeDeploy amministrativi in IAM Identity Center, scegli **Reimposta password, Genera una password** monouso [...]** e **Reimposta nuovamente la password** per visualizzare le informazioni sullo schermo.
1. Esci da AWS.
1. Incolla l'URL del portale di AWS accesso nella barra degli indirizzi del browser.
1. Accedi come utente CodeDeploy amministrativo.
Sullo schermo viene visualizzata una **Account AWS**casella.
1. Scegli **Account AWS**, quindi scegli il nome Account AWS a cui hai assegnato l'utente CodeDeploy amministrativo e il set di autorizzazioni.
1. **Accanto a`CodeDeployUserPermissionSet`, scegli Console di gestione.**
Console di gestione AWS Appare. Ora hai effettuato l'accesso come utente CodeDeploy amministrativo con le autorizzazioni limitate. Ora puoi eseguire operazioni CodeDeploy correlate e *solo* CodeDeploy operazioni correlate come questo utente.
# Fase 4: crea un profilo di istanza IAM per le tue istanze Amazon EC2
**Nota**
Se utilizzi la piattaforma di calcolo Amazon ECS o AWS Lambda, salta questo passaggio.
Le tue istanze Amazon EC2 necessitano dell'autorizzazione per accedere ai bucket o ai GitHub repository Amazon S3 in cui sono archiviate le applicazioni. *Per avviare istanze Amazon EC2 compatibili con CodeDeploy, devi creare un ruolo IAM aggiuntivo, un profilo di istanza.* Queste istruzioni mostrano come creare un profilo di istanza IAM da collegare alle istanze Amazon EC2. Questo ruolo consente all' CodeDeploy agente di accedere ai bucket o ai GitHub repository Amazon S3 in cui sono archiviate le applicazioni.
Puoi creare un profilo di istanza IAM con AWS CLI, la console IAM o IAM. APIs
**Nota**
È possibile collegare un profilo dell'istanza IAM a un'istanza Amazon EC2 all'avvio o a un'istanza avviata in precedenza. Per ulteriori informazioni, consulta [Profili di istanza](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-usingrole-instanceprofile.html).
**Topics**
+ [Crea un profilo di istanza IAM per le tue istanze Amazon EC2 (CLI)](#getting-started-create-iam-instance-profile-cli)
+ [Crea un profilo di istanza IAM per le tue istanze Amazon EC2 (console)](#getting-started-create-iam-instance-profile-console)
## Crea un profilo di istanza IAM per le tue istanze Amazon EC2 (CLI)
In queste fasi, presumiamo che tu abbia già seguito le istruzioni per le prime tre fasi di [Guida introduttiva con CodeDeploy](getting-started-codedeploy.md).
1. Nella macchina di sviluppo, creare un file di testo denominato `CodeDeployDemo-EC2-Trust.json`. Incolla il seguente contenuto, che consente ad Amazon EC2 di lavorare per tuo conto:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"ec2.cn-north-1.amazonaws.com",
"ec2.cn-northwest-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Nella stessa directory, crea un file di testo denominato `CodeDeployDemo-EC2-Permissions.json`. Incolla il contenuto seguente:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:Get*",
"s3:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**Nota**
Ti consigliamo di limitare questa politica solo ai bucket Amazon S3 a cui devono accedere le tue istanze Amazon EC2. Assicurati di consentire l'accesso ai bucket Amazon S3 che contengono l'agente. CodeDeploy In caso contrario, potrebbe verificarsi un errore quando l' CodeDeploy agente viene installato o aggiornato sulle istanze. Per concedere al profilo dell'istanza IAM l'accesso solo ad alcuni bucket del kit di CodeDeploy risorse in Amazon S3, utilizza la seguente policy, ma rimuovi le righe relative ai bucket a cui desideri impedire l'accesso:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::aws-codedeploy-us-east-2/*",
"arn:aws:s3:::aws-codedeploy-us-east-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-2/*",
"arn:aws:s3:::aws-codedeploy-ca-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-2/*",
"arn:aws:s3:::aws-codedeploy-eu-west-3/*",
"arn:aws:s3:::aws-codedeploy-eu-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-central-2/*",
"arn:aws:s3:::aws-codedeploy-eu-north-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-2/*",
"arn:aws:s3:::aws-codedeploy-il-central-1/*",
"arn:aws:s3:::aws-codedeploy-ap-east-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-4/*",
"arn:aws:s3:::aws-codedeploy-ap-south-1/*",
"arn:aws:s3:::aws-codedeploy-ap-south-2/*",
"arn:aws:s3:::aws-codedeploy-me-central-1/*",
"arn:aws:s3:::aws-codedeploy-me-south-1/*",
"arn:aws:s3:::aws-codedeploy-sa-east-1/*"
]
}
]
}
```
**Nota**
Se desideri utilizzare l'[autorizzazione IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization) o gli endpoint Amazon Virtual Private Cloud (VPC) con CodeDeploy, dovrai aggiungere altre autorizzazioni. Per ulteriori informazioni, consulta [Utilizzo CodeDeploy con Amazon Virtual Private Cloud](https://docs.aws.amazon.com/codedeploy/latest/userguide/vpc-endpoints).
1. Dalla stessa directory, chiama il **create-role** comando per creare un ruolo IAM denominato**CodeDeployDemo-EC2-Instance-Profile**, in base alle informazioni contenute nel primo file:
**Importante**
Assicurarsi di includere `file://` prima del nome del file. Questo è obbligatorio in questo comando.
```
aws iam create-role --role-name CodeDeployDemo-EC2-Instance-Profile --assume-role-policy-document file://CodeDeployDemo-EC2-Trust.json
```
1. Dalla stessa directory chiama il comando **put-role-policy** per concedere a un ruolo denominato **CodeDeployDemo-EC2-Instance-Profile** le autorizzazioni in base alle informazioni del secondo file:
**Importante**
Assicurarsi di includere `file://` prima del nome del file. Questo è obbligatorio in questo comando.
```
aws iam put-role-policy --role-name CodeDeployDemo-EC2-Instance-Profile --policy-name CodeDeployDemo-EC2-Permissions --policy-document file://CodeDeployDemo-EC2-Permissions.json
```
1. Chiamalo **attach-role-policy** per concedere al ruolo le autorizzazioni di Amazon EC2 Systems Manager in modo che SSM possa installare l'agente. CodeDeploy Questa politica non è necessaria se prevedi di installare l'agente dal bucket pubblico di Amazon S3 con la riga di comando. Ulteriori informazioni sull'[installazione dell'agente CodeDeploy ](https://docs.aws.amazon.com/codedeploy/latest/userguide/codedeploy-agent-operations-install.html).
```
aws iam attach-role-policy --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore --role-name CodeDeployDemo-EC2-Instance-Profile
```
1. Chiama il **create-instance-profile** comando seguito dal **add-role-to-instance-profile** comando per creare un profilo di istanza IAM denominato. **CodeDeployDemo-EC2-Instance-Profile** Il profilo dell'istanza consente ad Amazon EC2 di passare il ruolo IAM denominato **CodeDeployDemo-EC2-Instance-Profile** a un'istanza Amazon EC2 al primo avvio dell'istanza:
```
aws iam create-instance-profile --instance-profile-name CodeDeployDemo-EC2-Instance-Profile
aws iam add-role-to-instance-profile --instance-profile-name CodeDeployDemo-EC2-Instance-Profile --role-name CodeDeployDemo-EC2-Instance-Profile
```
*Se hai bisogno di ottenere il nome del profilo dell'istanza IAM, consulta [list-instance-profiles-for-role](https://docs.aws.amazon.com/cli/latest/reference/iam/list-instance-profiles-for-role.html) nella sezione IAM del Reference.AWS CLI *
Ora hai creato un profilo di istanza IAM da collegare alle tue istanze Amazon EC2. Per ulteriori informazioni, consulta [Ruoli IAM per Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) nella *Guida per l’utente di Amazon EC2*.
## Crea un profilo di istanza IAM per le tue istanze Amazon EC2 (console)
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. **Nella console IAM, nel riquadro di navigazione, scegli Policies, quindi scegli **Crea policy**.**
1. Nella pagina **Specifica autorizzazioni**, seleziona **JSON**.
1. Rimuovi il `JSON` codice di esempio.
1. Incolla il codice seguente:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:Get*",
"s3:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**Nota**
Ti consigliamo di limitare questa politica solo ai bucket Amazon S3 a cui devono accedere le tue istanze Amazon EC2. Assicurati di consentire l'accesso ai bucket Amazon S3 che contengono l'agente. CodeDeploy In caso contrario, potrebbe verificarsi un errore quando l' CodeDeploy agente viene installato o aggiornato sulle istanze. Per concedere al profilo dell'istanza IAM l'accesso solo ad alcuni bucket del kit di CodeDeploy risorse in Amazon S3, utilizza la seguente policy, ma rimuovi le righe relative ai bucket a cui desideri impedire l'accesso:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::aws-codedeploy-us-east-2/*",
"arn:aws:s3:::aws-codedeploy-us-east-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-2/*",
"arn:aws:s3:::aws-codedeploy-ca-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-2/*",
"arn:aws:s3:::aws-codedeploy-eu-west-3/*",
"arn:aws:s3:::aws-codedeploy-eu-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-central-2/*",
"arn:aws:s3:::aws-codedeploy-eu-north-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-2/*",
"arn:aws:s3:::aws-codedeploy-il-central-1/*",
"arn:aws:s3:::aws-codedeploy-ap-east-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-4/*",
"arn:aws:s3:::aws-codedeploy-ap-south-1/*",
"arn:aws:s3:::aws-codedeploy-ap-south-2/*",
"arn:aws:s3:::aws-codedeploy-me-central-1/*",
"arn:aws:s3:::aws-codedeploy-me-south-1/*",
"arn:aws:s3:::aws-codedeploy-sa-east-1/*"
]
}
]
}
```
**Nota**
Se desideri utilizzare l'[autorizzazione IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization) o gli endpoint Amazon Virtual Private Cloud (VPC) con CodeDeploy, dovrai aggiungere altre autorizzazioni. Per ulteriori informazioni, consulta [Utilizzo CodeDeploy con Amazon Virtual Private Cloud](https://docs.aws.amazon.com/codedeploy/latest/userguide/vpc-endpoints).
1. Scegli **Next (Successivo)**.
1. Nella pagina **Rivedi e crea**, nella casella **Nome della politica**, digita**CodeDeployDemo-EC2-Permissions**.
1. (Facoltativo) In **Description (Descrizione)** inserire una descrizione per la policy.
1. Scegli **Crea policy**.
1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.
1. In Caso **d'uso, scegli il caso** d'uso **EC2**.
1. Scegli **Next (Successivo)**.
1. Nell'elenco delle politiche, seleziona la casella di controllo accanto alla policy che hai appena creato (**CodeDeployDemo-EC2-Permissions**). Se necessario, utilizzare la casella di ricerca per trovare la policy.
1. Per utilizzare Systems Manager per installare o configurare l' CodeDeploy agente, seleziona la casella di controllo accanto ad **Amazon SSMManaged InstanceCore**. Questa policy AWS gestita consente a un'istanza di utilizzare le funzionalità principali del servizio Systems Manager. Se necessario, utilizzare la casella di ricerca per trovare la policy. Questa politica non è necessaria se prevedi di installare l'agente dal bucket pubblico di Amazon S3 con la riga di comando. Ulteriori informazioni sull'[installazione dell'agente CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/codedeploy-agent-operations-install.html).
1. Scegli **Next (Successivo)**.
1. Nella pagina **Nome, revisione e creazione**, in **Nome ruolo**, inserisci un nome per il ruolo di servizio (ad esempio,**CodeDeployDemo-EC2-Instance-Profile**), quindi scegli **Crea** ruolo.
Puoi anche inserire una descrizione per questo ruolo di servizio nella **descrizione del ruolo**.
Ora hai creato un profilo di istanza IAM da collegare alle tue istanze Amazon EC2. Per ulteriori informazioni, consulta [Ruoli IAM per Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) nella *Guida per l’utente di Amazon EC2*.