As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Começando com CodeDeploy
**Topics**
+ [Etapa 1: configuração](getting-started-setting-up.md)
+ [Etapa 2: criar uma função de serviço para CodeDeploy](getting-started-create-service-role.md)
+ [Etapa 3: limitar as permissões do CodeDeploy usuário](getting-started-policy.md)
+ [Etapa 4: criar um perfil de instância do IAM para as suas instâncias do Amazon EC2](getting-started-create-iam-instance-profile.md)
# Etapa 1: configuração
Antes de usar AWS CodeDeploy pela primeira vez, você deve concluir as etapas de configuração. As etapas envolvem a criação de uma AWS conta (se você ainda não tiver uma) e um usuário administrativo com acesso programático.
Neste guia, o usuário administrativo é chamado de **usuário CodeDeploy administrativo**.
## Inscreva-se para um Conta da AWS
Se você não tiver um Conta da AWS, conclua as etapas a seguir para criar um.
**Para se inscrever em um Conta da AWS**
1. Abra a [https://portal.aws.amazon.com/billing/inscrição.](https://portal.aws.amazon.com/billing/signup)
1. Siga as instruções online.
Parte do procedimento de inscrição envolve receber uma chamada telefônica ou uma mensagem de texto e inserir um código de verificação pelo teclado do telefone.
Quando você se inscreve em um Conta da AWS, um *Usuário raiz da conta da AWS*é criado. O usuário-raiz tem acesso a todos os Serviços da AWS e recursos na conta. Como prática recomendada de segurança, atribua o acesso administrativo a um usuário e use somente o usuário-raiz para executar [tarefas que exigem acesso de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS envia um e-mail de confirmação após a conclusão do processo de inscrição. A qualquer momento, você pode visualizar a atividade atual da sua conta e gerenciar sua conta acessando [https://aws.amazon.com/e](https://aws.amazon.com/) escolhendo **Minha conta**.
## Criar um usuário com acesso administrativo
Depois de se inscrever em um Conta da AWS, proteja seu Usuário raiz da conta da AWS Centro de Identidade do AWS IAM, habilite e crie um usuário administrativo para que você não use o usuário root nas tarefas diárias.
**Proteja seu Usuário raiz da conta da AWS**
1. Faça login [Console de gerenciamento da AWS](https://console.aws.amazon.com/)como proprietário da conta escolhendo **Usuário raiz** e inserindo seu endereço de Conta da AWS e-mail. Na próxima página, insira a senha.
Para obter ajuda ao fazer login usando o usuário-raiz, consulte [Fazer login como usuário-raiz](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) no *Guia do usuário do Início de Sessão da AWS *.
1. Habilite a autenticação multifator (MFA) para o usuário-raiz.
Para obter instruções, consulte [Habilitar um dispositivo de MFA virtual para seu usuário Conta da AWS raiz (console) no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) do *usuário do IAM*.
**Criar um usuário com acesso administrativo**
1. Habilita o Centro de Identidade do IAM.
Para obter instruções, consulte [Habilitar o Centro de Identidade do AWS IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
1. No Centro de Identidade do IAM, conceda o acesso administrativo a um usuário.
Para ver um tutorial sobre como usar o Diretório do Centro de Identidade do IAM como fonte de identidade, consulte [Configurar o acesso do usuário com o padrão Diretório do Centro de Identidade do IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) no *Guia Centro de Identidade do AWS IAM do usuário*.
**Iniciar sessão como o usuário com acesso administrativo**
+ Para fazer login com o seu usuário do Centro de Identidade do IAM, use o URL de login enviado ao seu endereço de e-mail quando o usuário do Centro de Identidade do IAM foi criado.
Para obter ajuda para fazer login usando um usuário do IAM Identity Center, consulte Como [fazer login no portal de AWS acesso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) no *Guia Início de Sessão da AWS do usuário*.
**Atribuir acesso a usuários adicionais**
1. No Centro de Identidade do IAM, crie um conjunto de permissões que siga as práticas recomendadas de aplicação de permissões com privilégio mínimo.
Para obter instruções, consulte [Criar um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
1. Atribua usuários a um grupo e, em seguida, atribua o acesso de logon único ao grupo.
Para obter instruções, consulte [Adicionar grupos](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
Agora você criou e entrou como **usuário CodeDeploy administrativo**.
## Conceder acesso programático
Os usuários precisam de acesso programático se quiserem interagir com pessoas AWS fora do Console de gerenciamento da AWS. A forma de conceder acesso programático depende do tipo de usuário que está acessando AWS.
Para conceder acesso programático aos usuários, selecione uma das seguintes opções:
****
| Qual usuário precisa de acesso programático? | Para | Por |
| --- | --- | --- |
| IAM | (Recomendado) Use as credenciais do console como credenciais temporárias para assinar solicitações programáticas para o AWS CLI, AWS SDKs ou. AWS APIs | Siga as instruções da interface que deseja utilizar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/codedeploy/latest/userguide/getting-started-setting-up.html) |
| Identidade da força de trabalho (Usuários gerenciados no Centro de Identidade do IAM) | Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs | Siga as instruções da interface que deseja utilizar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/codedeploy/latest/userguide/getting-started-setting-up.html) |
| IAM | Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs | Siga as instruções em [Como usar credenciais temporárias com AWS recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) no Guia do usuário do IAM. |
| IAM | (Não recomendado)Use credenciais de longo prazo para assinar solicitações programáticas para o AWS CLI, AWS SDKs, ou. AWS APIs | Siga as instruções da interface que deseja utilizar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/codedeploy/latest/userguide/getting-started-setting-up.html) |
**Importante**
É altamente recomendável configurar o usuário CodeDeploy administrativo como uma identidade da força de trabalho (um usuário gerenciado no IAM Identity Center) com o. AWS CLI Muitos dos procedimentos deste guia pressupõem que você esteja usando o AWS CLI para realizar configurações.
**Importante**
Se você configurar o AWS CLI, poderá ser solicitado que você especifique uma AWS região. Escolha uma das regiões com suporte listada em [Região e endpoints](https://docs.aws.amazon.com/general/latest/gr/rande.html#codedeploy_region) em *Referência geral da AWS*.
# Etapa 2: criar uma função de serviço para CodeDeploy
Em AWS, as funções de serviço são usadas para conceder permissões a um AWS serviço para que ele possa acessar AWS recursos. As políticas que você anexa ao perfil de serviço determinam quais recursos o serviço pode acessar e o que ele pode fazer com esses recursos.
A função de serviço para a qual você cria CodeDeploy deve receber as permissões necessárias para sua plataforma de computação. Se você implantar para mais de uma plataforma de computação, crie um perfil de serviço para cada uma delas. Para adicionar permissões, anexe uma ou mais das seguintes políticas AWS fornecidas:
Para implantações EC2/On-Premises, anexe a política **AWSCodeDeployRole**. Ela fornece as permissões ao perfil de serviço para:
+ Leia as tags nas instâncias ou identifique as instâncias do Amazon EC2 pelos nomes de grupo do Amazon EC2 Auto Scaling.
+ Ler, criar, atualizar e excluir grupos do Amazon EC2 Auto Scaling, ganchos do ciclo de vida e políticas de escalabilidade.
+ Publique informações nos tópicos do Amazon SNS.
+ Recupere informações sobre CloudWatch alarmes.
+ Leia e atualize o Elastic Load Balancing.
**nota**
Se criou grupo do Auto Scaling com um modelo de execução, você deverá adicionar as seguintes permissões:
`ec2:RunInstances`
`ec2:CreateTags`
`iam:PassRole`
Para obter mais informações sobre como criar modelos de execução, consulte [Etapa 2: Criar um perfil de serviço](#getting-started-create-service-role), [Criar um modelo de execução para um grupo do Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html) e [Executar suporte de modelo](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-launch-template-permissions.html) no *Guia do usuário do Amazon EC2 Auto Scaling*.
Para implantações Amazon ECS, se você quiser aceso total aos serviços de suporte, anexe a política **AWSCodeDeployRoleForECS**. Ela fornece as permissões ao perfil de serviço para:
+ Ler, atualizar e excluir conjuntos de tarefas do Amazon ECS.
+ Atualizar grupos de destino, receptores e regras do Elastic Load Balancing.
+ Invoque AWS Lambda funções.
+ Acessar arquivos de revisão em buckets do Amazon S3.
+ Recupere informações sobre CloudWatch alarmes.
+ Publique informações nos tópicos do Amazon SNS.
Para implantações Amazon ECS, se você quiser acesso limitado a serviços de suporte, anexe a política **AWSCodeDeployRoleForECSLimited**. Ela fornece as permissões ao perfil de serviço para:
+ Ler, atualizar e excluir conjuntos de tarefas do Amazon ECS.
+ Recupere informações sobre CloudWatch alarmes.
+ Publique informações nos tópicos do Amazon SNS.
Para implantações do AWS Lambda, se você quiser permitir a publicação no Amazon SNS, anexe a política. **AWSCodeDeployRoleForLambda** Ela fornece as permissões ao perfil de serviço para:
+ Leia, atualize e invoque AWS Lambda funções e aliases.
+ Acessar arquivos de revisão em buckets do Amazon S3.
+ Recupere informações sobre CloudWatch alarmes.
+ Publique informações nos tópicos do Amazon SNS.
Para implantações do AWS Lambda, se você quiser limitar o acesso ao Amazon SNS, anexe a política. **AWSCodeDeployRoleForLambdaLimited** Ela fornece as permissões ao perfil de serviço para:
+ Leia, atualize e invoque AWS Lambda funções e aliases.
+ Acessar arquivos de revisão em buckets do Amazon S3.
+ Recupere informações sobre CloudWatch alarmes.
Como parte da configuração do perfil de serviço, você também atualiza seu relacionamento de confiança para especificar os endpoints aos quais deseja conceder acesso.
Você pode criar uma função de serviço com o console do IAM AWS CLI, o ou o IAM APIs.
**Topics**
+ [Criar um perfil de serviço (console)](#getting-started-create-service-role-console)
+ [Criar um perfil de serviço (CLI)](#getting-started-create-service-role-cli)
+ [Obter o ARN do perfil de serviço (console)](#getting-started-get-service-role-console)
+ [Obter o ARN do perfil de serviço (CLI)](#getting-started-get-service-role-cli)
## Criar um perfil de serviço (console)
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Perfis** e **Criar perfil**.
1. Escolha **AWS serviço** e, em **Caso de uso**, na lista suspensa, escolha. **CodeDeploy**
1. Escolha o caso de uso:
+ Para implantações EC2/locais, escolha. **CodeDeploy**
+ **Para implantações do AWS Lambda, escolha Lambda. CodeDeploy **
+ Para implantações do Amazon ECS, escolha **CodeDeploy -** ECS.
1. Escolha **Próximo**.
1. Na página **Adicionar permissões**, a política de permissões correta para o caso de uso é exibida. Escolha **Próximo**.
1. Na página **Nomear, revisar e criar**, em **Nome do perfil**, insira um nome para o perfil de serviço (por exemplo, **CodeDeployServiceRole**) e escolha **Criar perfil**.
Você também pode digitar uma descrição para este perfil de serviço na caixa **Descrição do perfil**.
1. Se quiser que esse perfil de serviço tenha permissão para acessar todos os endpoints atualmente com suporte, você concluiu este procedimento.
Para restringir o acesso desse perfil de serviço a alguns endpoints, continue com as etapas restantes desse procedimento.
1. Procure na lista de perfis e selecione o perfil que você acabou de criar (`CodeDeployServiceRole`).
1. Selecione a guia **Trust relationships (Relações de confiança)**.
1. Selecione **Edit trust policy** (Editar política de confiança).
Você verá a seguinte política, que fornece permissão ao perfil de serviço para acessar todos os endpoints com suporte:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
Para conceder ao perfil de serviço acesso a somente alguns endpoints com suporte, substitua o conteúdo da caixa Documento de Política pela política a seguir. Remova as linhas dos endpoints aos quais você deseja impedir o acesso e selecione **Atualizar política**.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.us-east-1.amazonaws.com",
"codedeploy.us-east-2.amazonaws.com",
"codedeploy.us-west-1.amazonaws.com",
"codedeploy.us-west-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.ap-east-1.amazonaws.com",
"codedeploy.ap-northeast-1.amazonaws.com",
"codedeploy.ap-northeast-2.amazonaws.com",
"codedeploy.ap-northeast-3.amazonaws.com",
"codedeploy.ap-southeast-1.amazonaws.com",
"codedeploy.ap-southeast-2.amazonaws.com",
"codedeploy.ap-southeast-3.amazonaws.com",
"codedeploy.ap-southeast-4.amazonaws.com",
"codedeploy.ap-south-1.amazonaws.com",
"codedeploy.ap-south-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.eu-west-1.amazonaws.com",
"codedeploy.eu-west-2.amazonaws.com",
"codedeploy.eu-west-3.amazonaws.com",
"codedeploy.eu-central-1.amazonaws.com",
"codedeploy.eu-central-2.amazonaws.com",
"codedeploy.eu-north-1.amazonaws.com",
"codedeploy.eu-south-1.amazonaws.com",
"codedeploy.eu-south-2.amazonaws.com",
"codedeploy.il-central-1.amazonaws.com",
"codedeploy.me-central-1.amazonaws.com",
"codedeploy.me-south-1.amazonaws.com",
"codedeploy.sa-east-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
Para obter mais informações sobre a criação de funções de serviço, consulte [Como criar uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-creatingrole-service.html) no *Guia do usuário do IAM*.
## Criar um perfil de serviço (CLI)
1. Na sua máquina de desenvolvimento, crie um arquivo de texto denominado, por exemplo, `CodeDeployDemo-Trust.json`. Esse arquivo é usado para permitir que o CodeDeploy trabalhe em seu nome.
Execute um destes procedimentos:
+ Para conceder acesso a todas as AWS regiões suportadas, salve o seguinte conteúdo no arquivo:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
+ Para conceder acesso a apenas algumas regiões com suporte, digite o seguinte conteúdo no arquivo e remova as linhas para as regiões às quais você deseja excluir o acesso:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"codedeploy.us-east-1.amazonaws.com",
"codedeploy.us-east-2.amazonaws.com",
"codedeploy.us-west-1.amazonaws.com",
"codedeploy.us-west-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.ap-east-1.amazonaws.com",
"codedeploy.ap-northeast-1.amazonaws.com",
"codedeploy.ap-northeast-2.amazonaws.com",
"codedeploy.ap-northeast-3.amazonaws.com",
"codedeploy.ap-southeast-1.amazonaws.com",
"codedeploy.ap-southeast-2.amazonaws.com",
"codedeploy.ap-southeast-3.amazonaws.com",
"codedeploy.ap-southeast-4.amazonaws.com",
"codedeploy.ap-south-1.amazonaws.com",
"codedeploy.ap-south-2.amazonaws.com",
"codedeploy.ca-central-1.amazonaws.com",
"codedeploy.eu-west-1.amazonaws.com",
"codedeploy.eu-west-2.amazonaws.com",
"codedeploy.eu-west-3.amazonaws.com",
"codedeploy.eu-central-1.amazonaws.com",
"codedeploy.eu-central-2.amazonaws.com",
"codedeploy.eu-north-1.amazonaws.com",
"codedeploy.eu-south-1.amazonaws.com",
"codedeploy.eu-south-2.amazonaws.com",
"codedeploy.il-central-1.amazonaws.com",
"codedeploy.me-central-1.amazonaws.com",
"codedeploy.me-south-1.amazonaws.com",
"codedeploy.sa-east-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
**nota**
Não use uma vírgula após o último endpoint na lista.
1. No mesmo diretório, chame o comando **create-role** para criar um perfil de serviço denominado **CodeDeployServiceRole**, com base nas informações do arquivo de texto que você acabou de criar:
```
aws iam create-role --role-name CodeDeployServiceRole --assume-role-policy-document file://CodeDeployDemo-Trust.json
```
**Importante**
Não se esqueça de incluir `file://` antes do nome de arquivo. Ele é obrigatório nesse comando.
Na saída do comando, anote o valor da entrada `Arn` no objeto `Role`. Você precisará disso mais tarde ao criar grupos de implantação. Se você se esquecer do valor, siga as instruções em [Obter o ARN do perfil de serviço (CLI)](#getting-started-get-service-role-cli).
1. A política gerenciada que você usa depende da plataforma de computação.
+ Se sua implantação é para uma plataforma computacional EC2/On-Premises:
Chame o comando **attach-role-policy** para dar ao perfil de serviço chamado **CodeDeployServiceRole** as permissões com base na política gerenciada pelo IAM chamada **AWSCodeDeployRole**. Por exemplo:
```
aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSCodeDeployRole
```
+ Se sua implantação for em uma plataforma de computação AWS Lambda:
Chame o comando **attach-role-policy** para conceder ao perfil de serviço chamado **CodeDeployServiceRole** as permissões com base na política gerenciada pelo IAM chamada **AWSCodeDeployRoleForLambda** ou **AWSCodeDeployRoleForLambdaLimited**. Por exemplo:
```
aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSCodeDeployRoleForLambda
```
+ Se sua implantação é para uma plataforma de computação do Amazon ECS:
Chame o comando **attach-role-policy** para conceder ao perfil de serviço chamado **CodeDeployServiceRole** as permissões com base na política gerenciada pelo IAM chamada **AWSCodeDeployRoleForECS** ou **AWSCodeDeployRoleForECSLimited**. Por exemplo:
```
aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/AWSCodeDeployRoleForECS
```
Para obter mais informações sobre a criação de funções de serviço, consulte [Como criar uma função para um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/create-role-xacct.html) no *Guia do usuário do IAM*.
## Obter o ARN do perfil de serviço (console)
Para usar o console do IAM para obter o ARN do perfil de serviço:
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Perfis**.
1. Na caixa de texto **Filter (Filtro)**, digite **CodeDeployServiceRole** e pressione Enter.
1. Selecione **CodeDeployServiceRole**.
1. Anote o valor do campo **ARN do perfil**.
## Obter o ARN do perfil de serviço (CLI)
Para usar o AWS CLI para obter o ARN da função de serviço, chame o **get-role** comando na função de serviço chamada: **CodeDeployServiceRole**
```
aws iam get-role --role-name CodeDeployServiceRole --query "Role.Arn" --output text
```
O valor retornado é o ARN do perfil de serviço.
# Etapa 3: limitar as permissões do CodeDeploy usuário
Por motivos de segurança, recomendamos que você limite as permissões do usuário administrativo que você criou apenas [Etapa 1: configuração](getting-started-setting-up.md) às necessárias para criar e gerenciar implantações no CodeDeploy.
Use a série de procedimentos a seguir para limitar as permissões do usuário CodeDeploy administrativo.
**Antes de começar**
+ Certifique-se de ter criado um usuário CodeDeploy administrativo no IAM Identity Center seguindo as instruções em[Etapa 1: configuração](getting-started-setting-up.md).
**Para criar um conjunto de permissões**
Você atribuirá esse conjunto de permissões ao usuário CodeDeploy administrativo posteriormente.
1. Faça login no Console de gerenciamento da AWS e abra o Centro de Identidade do AWS IAM console em [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).
1. No painel de navegação, escolha **Conjuntos de permissões** e, em seguida, escolha **Criar conjunto de permissões**.
1. Escolha **Conjunto de permissões personalizado**.
1. Escolha **Próximo**.
1. Selecione **Políticas em linha**.
1. Remova o código de exemplo.
1. Adicione a política a seguir:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CodeDeployAccessPolicy",
"Effect": "Allow",
"Action": [
"autoscaling:*",
"codedeploy:*",
"ec2:*",
"lambda:*",
"ecs:*",
"elasticloadbalancing:*",
"iam:AddRoleToInstanceProfile",
"iam:AttachRolePolicy",
"iam:CreateInstanceProfile",
"iam:CreateRole",
"iam:DeleteInstanceProfile",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:GetInstanceProfile",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListInstanceProfilesForRole",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:PutRolePolicy",
"iam:RemoveRoleFromInstanceProfile",
"s3:*",
"ssm:*"
],
"Resource": "*"
},
{
"Sid": "CodeDeployRolePolicy",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/CodeDeployServiceRole"
}
]
}
```
------
Nessa política, *arn:aws:iam::account-ID:role/CodeDeployServiceRole* substitua pelo valor ARN da função de CodeDeploy serviço que você criou em. [Etapa 2: criar uma função de serviço para CodeDeploy](getting-started-create-service-role.md) É possível encontrar o valor do ARN na página de detalhes do perfil de serviço no console do IAM.
A política anterior permite que você implante um aplicativo em uma plataforma de computação AWS Lambda, em uma plataforma de computação EC2/On-Premises e em uma plataforma de computação Amazon ECS.
Você pode usar os CloudFormation modelos fornecidos nesta documentação para iniciar instâncias do Amazon EC2 que sejam compatíveis com o. CodeDeploy Para usar CloudFormation modelos para criar aplicativos, grupos de implantação ou configurações de implantação, você deve fornecer acesso a CloudFormation— e AWS serviços e ações que CloudFormation dependam — adicionando a `cloudformation:*` permissão à política de permissão do usuário CodeDeploy administrativo, da seguinte forma:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
------
1. Escolha **Próximo**.
1. Em **Nome do conjunto de permissões**, digite:
```
CodeDeployUserPermissionSet
```
1. Escolha **Próximo**.
1. Na página **Revisar e criar**, revise as informações e selecione **Criar**.
**Para atribuir o conjunto de permissões ao usuário CodeDeploy administrativo**
1. No painel de navegação **Contas da AWS**, escolha e marque a caixa de seleção ao lado da caixa de seleção na Conta da AWS qual você está conectado no momento.
1. Escolha o botão **Atribuir usuários ou grupos**.
1. Escolha a guia **Users**.
1. Marque a caixa de seleção ao lado do usuário CodeDeploy administrativo.
1. Escolha **Próximo**.
1. Marque a caixa de seleção ao lado dos logs do `CodeDeployUserPermissionSet`.
1. Escolha **Próximo**.
1. Revise suas informações e selecione **Enviar**.
Agora você atribuiu o usuário CodeDeploy administrativo e `CodeDeployUserPermissionSet` ao seu Conta da AWS, vinculando-os.
**Para sair e entrar novamente como usuário CodeDeploy administrativo**
1. Antes de sair, verifique se você tem a URL do portal de AWS acesso, o nome de usuário e a senha de uso único do usuário CodeDeploy administrativo.
**nota**
Se você não tiver essas informações, acesse a página de detalhes do usuário CodeDeploy administrativo no IAM Identity Center, escolha **Redefinir senha, Gerar uma senha** **de uso único [**...] e **redefina a senha** novamente para exibir as informações na tela.
1. Sair de AWS.
1. Cole o URL do portal de AWS acesso na barra de endereço do seu navegador.
1. Faça login como usuário CodeDeploy administrativo.
Uma caixa de **Conta da AWS** aparece na tela.
1. Escolha e **Conta da AWS**, em seguida, escolha o nome do Conta da AWS ao qual você atribuiu o usuário CodeDeploy administrativo e o conjunto de permissões.
1. Ao lado de `CodeDeployUserPermissionSet`, selecione **Console de gerenciamento**.
O Console de gerenciamento da AWS aparece. Agora você está conectado como usuário CodeDeploy administrativo com as permissões limitadas. Agora você pode realizar operações CodeDeploy relacionadas, e *somente* operações CodeDeploy relacionadas, como esse usuário.
# Etapa 4: criar um perfil de instância do IAM para as suas instâncias do Amazon EC2
**nota**
Se você estiver usando a plataforma de computação Amazon ECS ou AWS Lambda, pule esta etapa.
Suas instâncias do Amazon EC2 precisam de permissão para acessar os buckets GitHub ou repositórios do Amazon S3 onde os aplicativos estão armazenados. Para iniciar instâncias do Amazon EC2 que sejam compatíveis com CodeDeploy, você deve criar uma função adicional do IAM, um perfil de *instância*. Estas instruções mostram como criar um perfil de instância do IAM; para anexar às suas instâncias do Amazon EC2. Essa função dá ao CodeDeploy agente permissão para acessar os buckets ou GitHub repositórios do Amazon S3 onde seus aplicativos estão armazenados.
Você pode criar um perfil de instância do AWS CLI IAM com o console do IAM ou o IAM APIs.
**nota**
Você pode anexar um perfil da instância do IAM a uma instância do Amazon EC2 ao executá-la ou a uma instância executada anteriormente. Para obter mais informações, consulte [Perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-usingrole-instanceprofile.html).
**Topics**
+ [Criar um perfil de instância do IAM; para as suas instâncias do Amazon EC2 (CLI)](#getting-started-create-iam-instance-profile-cli)
+ [Criar um perfil de instância do IAM; para as suas instâncias do Amazon EC2 (console)](#getting-started-create-iam-instance-profile-console)
## Criar um perfil de instância do IAM; para as suas instâncias do Amazon EC2 (CLI)
Nestas etapas, partimos do princípio de que você já seguiu as instruções das três primeiras etapas em [Começando com CodeDeploy](getting-started-codedeploy.md).
1. Na máquina de desenvolvimento, crie um arquivo de texto chamado `CodeDeployDemo-EC2-Trust.json`. Cole o seguinte conteúdo, que permite ao Amazon EC2; trabalhar em seu nome:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"ec2.cn-north-1.amazonaws.com",
"ec2.cn-northwest-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. No mesmo diretório, crie um arquivo de texto chamado `CodeDeployDemo-EC2-Permissions.json`. Cole o seguinte conteúdo:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:Get*",
"s3:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**nota**
Recomendamos que você restrinja essa política somente aos buckets do Amazon S3 que suas instâncias do Amazon EC2 precisam acessar. Certifique-se de dar acesso aos buckets do Amazon S3 que contêm o agente. CodeDeploy Caso contrário, poderá ocorrer um erro quando o CodeDeploy agente for instalado ou atualizado nas instâncias. Para conceder ao perfil da instância do IAM acesso somente a alguns buckets do kit de CodeDeploy recursos no Amazon S3, use a política a seguir, mas remova as linhas dos buckets aos quais você deseja impedir o acesso:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::aws-codedeploy-us-east-2/*",
"arn:aws:s3:::aws-codedeploy-us-east-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-2/*",
"arn:aws:s3:::aws-codedeploy-ca-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-2/*",
"arn:aws:s3:::aws-codedeploy-eu-west-3/*",
"arn:aws:s3:::aws-codedeploy-eu-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-central-2/*",
"arn:aws:s3:::aws-codedeploy-eu-north-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-2/*",
"arn:aws:s3:::aws-codedeploy-il-central-1/*",
"arn:aws:s3:::aws-codedeploy-ap-east-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-4/*",
"arn:aws:s3:::aws-codedeploy-ap-south-1/*",
"arn:aws:s3:::aws-codedeploy-ap-south-2/*",
"arn:aws:s3:::aws-codedeploy-me-central-1/*",
"arn:aws:s3:::aws-codedeploy-me-south-1/*",
"arn:aws:s3:::aws-codedeploy-sa-east-1/*"
]
}
]
}
```
**nota**
Se você quiser usar a [autorização do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization) ou os endpoints da Amazon Virtual Private Cloud (VPC) com CodeDeploy, você precisará adicionar mais permissões. Consulte [Usar CodeDeploy com a Amazon Virtual Private Cloud](https://docs.aws.amazon.com/codedeploy/latest/userguide/vpc-endpoints) para obter mais informações.
1. No mesmo diretório, chame o comando **create-role** para criar um perfil do IAM denominada **CodeDeployDemo-EC2-Instance-Profile**, com base nas informações do arquivo:
**Importante**
Não se esqueça de incluir `file://` antes do nome de arquivo. Ele é obrigatório nesse comando.
```
aws iam create-role --role-name CodeDeployDemo-EC2-Instance-Profile --assume-role-policy-document file://CodeDeployDemo-EC2-Trust.json
```
1. No mesmo diretório, chame o comando **put-role-policy** para fornecer à função denominada **CodeDeployDemo-EC2-Instance-Profile** as permissões com base nas informações do segundo arquivo:
**Importante**
Não se esqueça de incluir `file://` antes do nome de arquivo. Ele é obrigatório nesse comando.
```
aws iam put-role-policy --role-name CodeDeployDemo-EC2-Instance-Profile --policy-name CodeDeployDemo-EC2-Permissions --policy-document file://CodeDeployDemo-EC2-Permissions.json
```
1. Ligue **attach-role-policy** para dar à função Amazon EC2 Systems Manager permissões para que o SSM possa instalar o CodeDeploy agente. Esta política não é necessária se você planeja instalar o agente pelo bucket público do Amazon S3 com a linha de comando. Saiba mais sobre a [ instalação do agente do CodeDeploy ](https://docs.aws.amazon.com/codedeploy/latest/userguide/codedeploy-agent-operations-install.html).
```
aws iam attach-role-policy --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore --role-name CodeDeployDemo-EC2-Instance-Profile
```
1. Chame o comando **create-instance-profile** seguido do comando **add-role-to-instance-profile** para criar um perfil de instância do IAM denominado **CodeDeployDemo-EC2-Instance-Profile**. O perfil de instância permite que o Amazon EC2 transmita o perfil do IAM denominado **CodeDeployDemo-EC2-Instance-Profile** para uma instância do Amazon EC2 quando essa instância for iniciada pela primeira vez:
```
aws iam create-instance-profile --instance-profile-name CodeDeployDemo-EC2-Instance-Profile
aws iam add-role-to-instance-profile --instance-profile-name CodeDeployDemo-EC2-Instance-Profile --role-name CodeDeployDemo-EC2-Instance-Profile
```
Se você precisar obter o nome do perfil da instância do IAM, consulte [list-instance-profiles-for-role](https://docs.aws.amazon.com/cli/latest/reference/iam/list-instance-profiles-for-role.html) na seção IAM da *AWS CLI Referência*.
Agora, você criou um perfil de instância do IAM; a ser anexado às suas instâncias do Amazon EC2. Para obter mais informações, consulte [Perfis do IAM para o Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) no *Guia do usuário do Amazon EC2*.
## Criar um perfil de instância do IAM; para as suas instâncias do Amazon EC2 (console)
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No console do IAM, no painel de navegação, escolha **Políticas** e **Criar política**.
1. Na página **Especificar permissões**, escolha **JSON**.
1. Remova o `JSON` código de exemplo.
1. Cole o seguinte código:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:Get*",
"s3:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**nota**
Recomendamos que você restrinja essa política somente aos buckets do Amazon S3 que suas instâncias do Amazon EC2 precisam acessar. Certifique-se de dar acesso aos buckets do Amazon S3 que contêm o agente. CodeDeploy Caso contrário, poderá ocorrer um erro quando o CodeDeploy agente for instalado ou atualizado nas instâncias. Para conceder ao perfil da instância do IAM acesso somente a alguns buckets do kit de CodeDeploy recursos no Amazon S3, use a política a seguir, mas remova as linhas dos buckets aos quais você deseja impedir o acesso:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::aws-codedeploy-us-east-2/*",
"arn:aws:s3:::aws-codedeploy-us-east-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-2/*",
"arn:aws:s3:::aws-codedeploy-ca-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-2/*",
"arn:aws:s3:::aws-codedeploy-eu-west-3/*",
"arn:aws:s3:::aws-codedeploy-eu-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-central-2/*",
"arn:aws:s3:::aws-codedeploy-eu-north-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-2/*",
"arn:aws:s3:::aws-codedeploy-il-central-1/*",
"arn:aws:s3:::aws-codedeploy-ap-east-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-4/*",
"arn:aws:s3:::aws-codedeploy-ap-south-1/*",
"arn:aws:s3:::aws-codedeploy-ap-south-2/*",
"arn:aws:s3:::aws-codedeploy-me-central-1/*",
"arn:aws:s3:::aws-codedeploy-me-south-1/*",
"arn:aws:s3:::aws-codedeploy-sa-east-1/*"
]
}
]
}
```
**nota**
Se você quiser usar a [autorização do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization) ou os endpoints da Amazon Virtual Private Cloud (VPC) com CodeDeploy, você precisará adicionar mais permissões. Consulte [Usar CodeDeploy com a Amazon Virtual Private Cloud](https://docs.aws.amazon.com/codedeploy/latest/userguide/vpc-endpoints) para obter mais informações.
1. Escolha **Próximo**.
1. Na página **Revisar e criar**, em **Nome da política**, digite **CodeDeployDemo-EC2-Permissions**.
1. (Opcional) Em **Descrição**, digite uma descrição para a política.
1. Escolha **Criar política**.
1. No painel de navegação, escolha **Perfis** e **Criar perfil**.
1. Em **Caso de uso**, escolha o caso de uso do **EC2**.
1. Escolha **Próximo**.
1. Na lista de políticas, marque a caixa de seleção ao lado da política que você acabou de criar (**CodeDeployDemo-EC2-Permissions**). Se necessário, use a caixa de pesquisa para encontrar a política.
1. Para usar o Systems Manager para instalar ou configurar o CodeDeploy agente, marque a caixa de seleção ao lado **da Amazon SSMManaged InstanceCore**. Essa política AWS gerenciada permite que uma instância use a funcionalidade principal do serviço do Systems Manager. Se necessário, use a caixa de pesquisa para encontrar a política. Esta política não é necessária se você planeja instalar o agente pelo bucket público do Amazon S3 com a linha de comando. Saiba mais sobre a [ instalação do agente do CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/codedeploy-agent-operations-install.html).
1. Escolha **Próximo**.
1. Na página **Nomear, revisar e criar**, em **Nome do perfil**, insira um nome para o perfil de serviço (por exemplo, **CodeDeployDemo-EC2-Instance-Profile**) e escolha **Criar perfil**.
Você também pode digitar uma descrição para este perfil de serviço na caixa **Descrição do perfil**.
Agora, você criou um perfil de instância do IAM; a ser anexado às suas instâncias do Amazon EC2. Para obter mais informações, consulte [Perfis do IAM para o Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) no *Guia do usuário do Amazon EC2*.