AWS 에 대한 관리형 정책 AWS CodePipeline - AWS CodePipeline
AWSCodePipeline_FullAccessAWSCodePipeline_ReadOnlyAccessAWSCodePipelineApproverAccessAWSCodePipelineCustomActionAccessCodePipeline 관리형 정책 및 알림정책 업데이트

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 에 대한 관리형 정책 AWS CodePipeline

AWS 관리형 정책은 에서 생성 및 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한 권한을 부여하지 않을 수 있다는 점에 유의하세요. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.

AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 AWS 관리형 정책에 정의된 권한을 AWS 업데이트하면 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS 는 새 AWS 서비스 가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 IAM 사용 설명서AWS 관리형 정책을 참조하세요.

중요

AWS 관리형 정책 AWSCodePipelineFullAccess 및 가 대체AWSCodePipelineReadOnlyAccess되었습니다. AWSCodePipeline_FullAccessAWSCodePipeline_ReadOnlyAccess 정책을 사용하세요.

AWS 관리형 정책: AWSCodePipeline_FullAccess

이는 에 대한 전체 액세스 권한을 부여하는 정책입니다 CodePipeline. IAM 콘솔에서 JSON 정책 문서를 보려면 AWSCodePipeline_FullAccess를 참조하세요.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • codepipeline – 에 권한을 부여합니다 CodePipeline.

  • chatbot – 보안 주체가 에서 리소스를 관리할 수 있는 권한을 부여합니다 AWS Chatbot.

  • cloudformation – 보안 주체가 에서 리소스 스택을 관리할 수 있는 권한을 부여합니다 AWS CloudFormation.

  • cloudtrail – 보안 주체가 에서 로깅 리소스를 관리할 수 있는 권한을 부여합니다 CloudTrail.

  • codebuild - 보안 주체가 의 빌드 리소스에 액세스할 수 있는 권한을 부여합니다 CodeBuild.

  • codecommit – 보안 주체가 의 소스 리소스에 액세스할 수 있는 권한을 부여합니다 CodeCommit.

  • codedeploy - 보안 주체가 의 배포 리소스에 액세스할 수 있는 권한을 부여합니다 CodeDeploy.

  • codestar-notifications - 보안 주체가 AWS CodeStar 알림의 리소스에 액세스할 수 있는 권한을 부여합니다.

  • ec2 - 의 배포가 Amazon 에서 탄력적 로드 밸런싱 CodeCatalyst 을 관리할 수 있는 권한을 부여합니다EC2.

  • ecr - Amazon 의 리소스에 대한 액세스를 허용하는 권한을 부여합니다ECR.

  • elasticbeanstalk – 보안 주체가 Elastic Beanstalk에서 리소스에 액세스할 수 있는 권한을 부여합니다.

  • iam - 보안 주체가 에서 역할 및 정책을 관리할 수 있는 권한을 부여합니다IAM.

  • lambda – 보안 주체가 Lambda에서 리소스를 관리할 수 있는 권한을 부여합니다.

  • events - 보안 주체가 CloudWatch 이벤트에서 리소스를 관리할 수 있는 권한을 부여합니다.

  • opsworks – 보안 주체가 의 리소스를 관리할 수 있는 권한을 부여합니다 AWS OpsWorks.

  • s3 – 보안 주체가 Amazon S3에서 리소스를 관리할 수 있는 권한을 부여합니다.

  • sns – 보안 주체가 Amazon 에서 알림 리소스를 관리할 수 있는 권한을 부여합니다SNS.

  • states - 보안 주체가 에서 상태 시스템을 볼 수 있는 권한을 부여합니다 AWS Step Functions. 상태 머신은 작업을 관리하고 상태 간 전환을 수행하는 상태 모음으로 구성됩니다.

{
    "Statement": [
        {
            "Action": [
                "codepipeline:*",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStacks",
                "cloudformation:ListChangeSets",
                "cloudtrail:DescribeTrails",
                "codebuild:BatchGetProjects",
                "codebuild:CreateProject",
                "codebuild:ListCuratedEnvironmentImages",
                "codebuild:ListProjects",
                "codecommit:ListBranches",
                "codecommit:GetReferences",
                "codecommit:ListRepositories",
                "codedeploy:BatchGetDeploymentGroups",
                "codedeploy:ListApplications",
                "codedeploy:ListDeploymentGroups",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecs:ListClusters",
                "ecs:ListServices",
                "elasticbeanstalk:DescribeApplications",
                "elasticbeanstalk:DescribeEnvironments",
                "iam:ListRoles",
                "iam:GetRole",
                "lambda:ListFunctions",
                "events:ListRules",
                "events:ListTargetsByRule",
                "events:DescribeRule",
                "opsworks:DescribeApps",
                "opsworks:DescribeLayers",
                "opsworks:DescribeStacks",
                "s3:ListAllMyBuckets",
                "sns:ListTopics",
                "codestar-notifications:ListNotificationRules",
                "codestar-notifications:ListTargets",
                "codestar-notifications:ListTagsforResource",
                "codestar-notifications:ListEventTypes",
                "states:ListStateMachines"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Sid": "CodePipelineAuthoringAccess"
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:GetBucketPolicy",
                "s3:GetBucketVersioning",
                "s3:GetObjectVersion",
                "s3:CreateBucket",
                "s3:PutBucketPolicy"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3::*:codepipeline-*",
            "Sid": "CodePipelineArtifactsReadWriteAccess"
        },
        {
            "Action": [
                "cloudtrail:PutEventSelectors",
                "cloudtrail:CreateTrail",
                "cloudtrail:GetEventSelectors",
                "cloudtrail:StartLogging"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:cloudtrail:*:*:trail/codepipeline-source-trail",
            "Sid": "CodePipelineSourceTrailReadWriteAccess"
        },
        {
            "Action": [
                "iam:PassRole"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::*:role/service-role/cwe-role-*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "events.amazonaws.com"
                    ]
                }
            },
            "Sid": "EventsIAMPassRole"
        },
        {
            "Action": [
                "iam:PassRole"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "codepipeline.amazonaws.com"
                    ]
                }
            },
            "Sid": "CodePipelineIAMPassRole"
        },
        {
            "Action": [
                "events:PutRule",
                "events:PutTargets",
                "events:DeleteRule",
                "events:DisableRule",
                "events:RemoveTargets"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:events:*:*:rule/codepipeline-*"
            ],
            "Sid": "CodePipelineEventsReadWriteAccess"
        },
        {
            "Sid": "CodeStarNotificationsReadWriteAccess",
            "Effect": "Allow",
            "Action": [
                "codestar-notifications:CreateNotificationRule",
                "codestar-notifications:DescribeNotificationRule",
                "codestar-notifications:UpdateNotificationRule",
                "codestar-notifications:DeleteNotificationRule",
                "codestar-notifications:Subscribe",
                "codestar-notifications:Unsubscribe"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "codestar-notifications:NotificationsForResource": "arn:aws:codepipeline:*"
                }
            }
        },
        {
            "Sid": "CodeStarNotificationsSNSTopicCreateAccess",
            "Effect": "Allow",
            "Action": [
                "sns:CreateTopic",
                "sns:SetTopicAttributes"
            ],
            "Resource": "arn:aws:sns:*:*:codestar-notifications*"
        },
        {
            "Sid": "CodeStarNotificationsChatbotAccess",
            "Effect": "Allow",
            "Action": [
                "chatbot:DescribeSlackChannelConfigurations",
                "chatbot:ListMicrosoftTeamsChannelConfigurations"
            ],
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}

AWS 관리형 정책: AWSCodePipeline_ReadOnlyAccess

이는 에 대한 읽기 전용 액세스 권한을 부여하는 정책입니다 CodePipeline. IAM 콘솔에서 JSON 정책 문서를 보려면 AWSCodePipeline_ReadOnlyAccess를 참조하세요.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • codepipeline - 의 작업에 권한을 부여합니다 CodePipeline.

  • codestar-notifications - 보안 주체가 AWS CodeStar 알림의 리소스에 액세스할 수 있는 권한을 부여합니다.

  • s3 – 보안 주체가 Amazon S3에서 리소스를 관리할 수 있는 권한을 부여합니다.

  • sns – 보안 주체가 Amazon 에서 알림 리소스를 관리할 수 있는 권한을 부여합니다SNS.

{
    "Statement": [
        {
            "Action": [
                "codepipeline:GetPipeline",
                "codepipeline:GetPipelineState",
                "codepipeline:GetPipelineExecution",
                "codepipeline:ListPipelineExecutions",
                "codepipeline:ListActionExecutions",
                "codepipeline:ListActionTypes",
                "codepipeline:ListPipelines",
                "codepipeline:ListTagsForResource",
                "s3:ListAllMyBuckets",
                "codestar-notifications:ListNotificationRules",
                "codestar-notifications:ListEventTypes",
                "codestar-notifications:ListTargets"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:GetBucketPolicy"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3::*:codepipeline-*"
        },
        {
            "Sid": "CodeStarNotificationsReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "codestar-notifications:DescribeNotificationRule"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "codestar-notifications:NotificationsForResource": "arn:aws:codepipeline:*"
                }
            }
        }
    ],
    "Version": "2012-10-17"
}

AWS 관리형 정책: AWSCodePipelineApproverAccess

이는 수동 승인 작업을 승인하거나 거부할 권한을 부여하는 정책입니다. IAM 콘솔에서 JSON 정책 문서를 보려면 섹션을 참조하세요AWSCodePipelineApproverAccess.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • codepipeline - 의 작업에 권한을 부여합니다 CodePipeline.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "codepipeline:GetPipeline",
                "codepipeline:GetPipelineState",
                "codepipeline:GetPipelineExecution",
                "codepipeline:ListPipelineExecutions",
                "codepipeline:ListPipelines",
                "codepipeline:PutApprovalResult"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS 관리형 정책: AWSCodePipelineCustomActionAccess

이 정책은 빌드 또는 테스트 작업을 위해 에서 CodePipeline 사용자 지정 작업을 생성하거나 Jenkins 리소스를 통합할 수 있는 권한을 부여하는 정책입니다. IAM 콘솔에서 JSON 정책 문서를 보려면 섹션을 참조하세요AWSCodePipelineCustomActionAccess.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • codepipeline - 의 작업에 권한을 부여합니다 CodePipeline.

{
    "Statement": [
        {
            "Action": [
                "codepipeline:AcknowledgeJob",
                "codepipeline:GetJobDetails",
                "codepipeline:PollForJobs",
                "codepipeline:PutJobFailureResult",
                "codepipeline:PutJobSuccessResult"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}

CodePipeline 관리형 정책 및 알림

CodePipeline 는 파이프라인에 대한 중요한 변경 사항을 사용자에게 알릴 수 있는 알림을 지원합니다. 의 관리형 정책에는 알림 기능에 대한 정책 문이 CodePipeline 포함됩니다. 자세한 내용은 알림이란 무엇입니까?를 참조하세요.

전체 액세스 관리형 정책의 알림과 관련된 권한

이 관리형 정책은 관련 서비스 CodeCommit, CodeBuild CodeDeploy및 AWS CodeStar 알림과 CodePipeline 함께 에 대한 권한을 부여합니다. 또한 이 정책은 Amazon S3, Elastic Beanstalk, Amazon CloudTrail EC2및 와 같이 파이프라인과 통합되는 다른 서비스와 작업하는 데 필요한 권한을 부여합니다 AWS CloudFormation. 이 관리형 정책이 적용된 사용자는 알림을 위한 Amazon SNS 주제를 생성 및 관리하고, 사용자를 주제로 구독 및 구독 취소하고, 알림 규칙의 대상으로 선택할 주제를 나열하고, Slack에 대해 구성된 클라이언트를 나열 AWS Chatbot 할 수도 있습니다.

AWSCodePipeline_FullAccess 관리형 정책에는 알림에 대한 전체 액세스를 허용하는 다음 설명이 포함되어 있습니다.

    {
        "Sid": "CodeStarNotificationsReadWriteAccess",
        "Effect": "Allow",
        "Action": [
            "codestar-notifications:CreateNotificationRule",
            "codestar-notifications:DescribeNotificationRule",
            "codestar-notifications:UpdateNotificationRule",
            "codestar-notifications:DeleteNotificationRule",
            "codestar-notifications:Subscribe",
            "codestar-notifications:Unsubscribe"
        ],
        "Resource": "*",
        "Condition" : {
            "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codepipeline:us-west-2:111222333444:MyFirstPipeline"} 
        }
    },    
    {
        "Sid": "CodeStarNotificationsListAccess",
        "Effect": "Allow",
        "Action": [
            "codestar-notifications:ListNotificationRules",
            "codestar-notifications:ListTargets",
            "codestar-notifications:ListTagsforResource",
            "codestar-notifications:ListEventTypes"
        ],
        "Resource": "*"
    },
    {
        "Sid": "CodeStarNotificationsSNSTopicCreateAccess",
        "Effect": "Allow",
        "Action": [
            "sns:CreateTopic",
            "sns:SetTopicAttributes"
        ],
        "Resource": "arn:aws:sns:*:*:codestar-notifications*"
    },
    {
        "Sid": "SNSTopicListAccess",
        "Effect": "Allow",
        "Action": [
            "sns:ListTopics"
        ],
        "Resource": "*"
    },
    {
        "Sid": "CodeStarNotificationsChatbotAccess",
        "Effect": "Allow",
        "Action": [
            "chatbot:DescribeSlackChannelConfigurations",
            "chatbot:ListMicrosoftTeamsChannelConfigurations"
          ],
       "Resource": "*"
    }

읽기 전용 관리형 정책의 알림과 관련된 권한

AWSCodePipeline_ReadOnlyAccess 관리형 정책에는 알림에 대한 읽기 전용 액세스를 허용하는 다음 설명이 포함되어 있습니다. 이 정책이 적용된 사용자는 리소스에 대한 알림을 볼 수 있지만 리소스를 생성, 관리 또는 구독할 수는 없습니다.

   {
        "Sid": "CodeStarNotificationsPowerUserAccess",
        "Effect": "Allow",
        "Action": [
            "codestar-notifications:DescribeNotificationRule"
        ],
        "Resource": "*",
        "Condition" : {
            "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codepipeline:us-west-2:111222333444:MyFirstPipeline"} 
        }
    },    
    {
        "Sid": "CodeStarNotificationsListAccess",
        "Effect": "Allow",
        "Action": [
            "codestar-notifications:ListNotificationRules",
            "codestar-notifications:ListEventTypes",
            "codestar-notifications:ListTargets"
        ],
        "Resource": "*"
    }

IAM 및 알림에 대한 자세한 내용은 의 자격 증명 및 액세스 관리를 참조하세요.AWS CodeStar 알림 .

AWS CodePipelineAWS 관리형 정책에 대한 업데이트

이 서비스가 이러한 변경 사항을 추적하기 시작한 CodePipeline 이후 에 대한 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 CodePipeline 문서 기록 페이지에서 RSS 피드를 구독하세요.

변경 사항 설명 날짜
AWSCodePipeline_FullAccess – 기존 정책 업데이트 CodePipeline 에서 를 지원하도록 이 정책에 대한 권한을 추가ListStacks했습니다 AWS CloudFormation. 2024년 3월 15일
AWSCodePipeline_FullAccess – 기존 정책 업데이트 이 정책은 에 대한 권한을 추가하도록 업데이트되었습니다 AWS Chatbot. 자세한 내용은 CodePipeline 관리형 정책 및 알림 단원을 참조하십시오. 2023년 6월 21일

AWSCodePipeline_FullAccessAWSCodePipeline_ReadOnlyAccess 관리형 정책 - 기존 정책 업데이트

CodePipeline 는 AWS Chatbot, 를 사용하여 추가 알림 유형을 지원하도록 이러한 정책에 대한 권한을 추가했습니다chatbot:ListMicrosoftTeamsChannelConfigurations.

 2023년 5월 16일

AWSCodePipelineFullAccess - 더 이상 사용되지 않음

이 정책은 AWSCodePipeline_FullAccess(으)로 대체되었습니다.

2022년 11월 17일 이후에는 이 정책을 새 사용자, 그룹 또는 역할에 연결할 수 없습니다. 자세한 내용은 AWS 에 대한 관리형 정책 AWS CodePipeline 단원을 참조하십시오.

 2022년 11월 17일

AWSCodePipelineReadOnlyAccess – 더 이상 사용되지 않음

이 정책은 AWSCodePipeline_ReadOnlyAccess(으)로 대체되었습니다.

2022년 11월 17일 이후에는 이 정책을 새 사용자, 그룹 또는 역할에 연결할 수 없습니다. 자세한 내용은 AWS 에 대한 관리형 정책 AWS CodePipeline 단원을 참조하십시오.

 2022년 11월 17일

CodePipeline 변경 사항 추적 시작

CodePipeline 는 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다.

 2021년 3월 12일