ステップ 3: CodeDeploy ユーザーのアクセス許可を制限する - AWS CodeDeploy

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 3: CodeDeploy ユーザーのアクセス許可を制限する

セキュリティ上の理由から、 で作成した管理ユーザーのアクセス許可はステップ 1: セットアップ、 でのデプロイの作成と管理に必要なアクセス許可のみに制限することをお勧めします CodeDeploy。

CodeDeploy 管理者ユーザーのアクセス許可を制限するには、以下の一連の手順を使用します。

開始する前に
アクセス権限セットを作成するには

このアクセス許可セットは、後で CodeDeploy 管理ユーザーに割り当てます。

  1. にサインイン AWS Management Console し、 で AWS IAM Identity Center コンソールを開きますhttps://console.aws.amazon.com/singlesignon/

  2. ナビゲーションペインで [アクセス許可セット] を選択し、[アクセス許可セットの作成] を選択します。

  3. [カスタム許可セット] を選択します。

  4. [Next (次へ)] を選択します。

  5. [インラインポリシー] を選択します。

  6. サンプルコードを削除します。

  7. 以下のポリシーを追加します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeDeployAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "autoscaling:*",
        "codedeploy:*",
        "ec2:*",
        "lambda:*",
        "ecs:*",
        "elasticloadbalancing:*",
        "iam:AddRoleToInstanceProfile",
        "iam:AttachRolePolicy",
        "iam:CreateInstanceProfile",
        "iam:CreateRole",
        "iam:DeleteInstanceProfile",
        "iam:DeleteRole",
        "iam:DeleteRolePolicy",
        "iam:GetInstanceProfile",
        "iam:GetRole",
        "iam:GetRolePolicy",
        "iam:ListInstanceProfilesForRole",
        "iam:ListRolePolicies",
        "iam:ListRoles",
        "iam:PutRolePolicy",
        "iam:RemoveRoleFromInstanceProfile",
        "s3:*",
        "ssm:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeDeployRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/CodeDeployServiceRole"
    }
  ]
}

    このポリシーでは、arn:aws:iam::account-ID:role/CodeDeployServiceRole で作成した CodeDeploy サービスロールARNの値。 ステップ 2: のサービスロールを作成する CodeDeployARN 値は、 IAM コンソールのサービスロールの詳細ページで確認できます。

    前述のポリシーでは、アプリケーションを AWS Lambda コンピューティングプラットフォーム、EC2/オンプレミスコンピューティングプラットフォーム、および Amazon ECSコンピューティングプラットフォームにデプロイできます。

    このドキュメントで提供されている AWS CloudFormation テンプレートを使用して、 と互換性のある Amazon EC2インスタンスを起動できます CodeDeploy。 AWS CloudFormation テンプレートを使用してアプリケーション、デプロイグループ、またはデプロイ設定を作成するには、管理者 CodeDeploy ユーザーのアクセス許可ポリシーに アクセスcloudformation:*許可を追加して、 へのアクセス AWS CloudFormationと AWS CloudFormation 、 に依存する AWS サービスとアクションを提供する必要があります。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        ...
        "cloudformation:*"        
      ],
      "Resource": "*"
    }
  ]
}

  8. [Next (次へ)] を選択します。

  9. アクセス許可セット名」に、次のように入力します。

    CodeDeployUserPermissionSet

  10. [Next (次へ)] を選択します。

  11. [確認と作成] ページで情報を確認し、[グループの作成] を選択します。

アクセス許可セットを管理 CodeDeploy ユーザーに割り当てるには

  1. ナビゲーションペインで を選択しAWS アカウント、現在サインイン AWS アカウント している の横にあるチェックボックスをオンにします。

  2. [ユーザーまたはグループの割り当て] ボタンを選択します。

  3. [ユーザー] タブを選択します。

  4. CodeDeploy 管理ユーザーの横にあるチェックボックスをオンにします。

  5. [Next (次へ)] を選択します。

  6. [CodeDeployUserPermissionSet] のチェックボックスをオンにします。

  7. [Next (次へ)] を選択します。

  8. 情報を確認し、[送信] を選択します。

    これで、 CodeDeploy 管理ユーザー と を CodeDeployUserPermissionSetに割り当て AWS アカウント、それらをバインドしました。

CodeDeploy 管理者ユーザーとしてサインアウトして再度サインインするには

  1. サインアウトする前に、 CodeDeploy 管理者ユーザーの AWS アクセスポータルURLとユーザー名、ワンタイムパスワードがあることを確認してください。

    注記

    この情報がない場合は、IAMIdentity Center CodeDeploy の管理ユーザーの詳細ページに移動し、「パスワードのリセット」、「ワンタイムパスワードの生成」、「パスワードのリセット」を選択して、画面に情報を表示します。

  2. からサインアウトします AWS。

  3. AWS アクセスポータルをブラウザのアドレスバーURLに貼り付けます。

  4. CodeDeploy 管理ユーザーとしてサインインします。

    画面に AWS アカウント ボックスが表示されます。

  5. を選択しAWS アカウント、 CodeDeploy 管理ユーザーとアクセス許可セット AWS アカウント を割り当てた の名前を選択します。

  6. CodeDeployUserPermissionSet の横にある [管理コンソール] を選択します。

    AWS Management Console が表示されます。これで、アクセス許可が制限された CodeDeploy 管理ユーザーとしてサインインします。このユーザーとして、 CodeDeploy関連のオペレーションと 関連のオペレーションのみ CodeDeployを実行できるようになりました。