Use o register-on-premises-instance comando (ARN da sessão do IAM) para registrar uma instância local - AWS CodeDeploy

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Use o register-on-premises-instance comando (ARN da sessão do IAM) para registrar uma instância local

Para obter o máximo controle sobre a autenticação e o registro de suas instâncias locais, você pode usar o register-on-premises-instancecomando e as credenciais temporárias atualizadas periodicamente geradas com o (). AWS Security Token Service AWS STS Uma função estática do IAM para a instância assume a função dessas AWS STS credenciais atualizadas para realizar operações de implantação. CodeDeploy

Esse método é mais útil quando você precisa registrar um grande número de instâncias. Ele permite que você automatize o processo de registro com CodeDeploy. Você pode usar seu próprio sistema de identidade e autenticação para autenticar instâncias locais e distribuir as credenciais de sessão do IAM do serviço para as instâncias com as quais serão usadas. CodeDeploy

nota

Como alternativa, você pode usar um usuário compartilhado do IAM distribuído para todas as instâncias locais para chamar a AWS STS AssumeRoleAPI e recuperar as credenciais da sessão para instâncias locais. Esse método é menos seguro e não é recomendado para ambientes de produção ou críticos.

Use as informações nos tópicos a seguir para configurar uma instância local usando credenciais de segurança temporárias geradas com. AWS STS

Pré-requisitos de registro do ARN de sessão do IAM

Além dos pré-requisitos listados em Pré-requisitos para configurar uma instância on-premises, os seguintes requisitos adicionais devem ser atendidos:

Permissões do IAM

A identidade do IAM que você usa para registrar uma instância local deve receber permissões para realizar CodeDeploy operações. Certifique-se de que a política AWSCodeDeployFullAccessgerenciada esteja anexada à identidade do IAM. Para obter mais informações, consulte Políticas gerenciadas pela AWS no Manual do usuário do IAM.

Sistema para atualizar credenciais temporárias

Se você usar um ARN de sessão do IAM para registrar instâncias locais, deverá ter um sistema em vigor para atualizar periodicamente as credenciais temporárias. As credenciais temporárias expiram depois de uma hora ou antes quando um período mais curto é especificado no momento em que as credenciais são geradas. Existem dois métodos para atualizar as credenciais:

  • Método 1: use o sistema de identidade e autenticação instalado na sua rede corporativa com um script CRON que faça uma sondagem periódica do sistema de identidade e autenticação e que copie as credenciais da última sessão para a instância. Isso permite que você integre sua estrutura de autenticação e identidade AWS sem precisar fazer alterações no CodeDeploy agente ou no serviço para oferecer suporte aos tipos de autenticação que você usa em sua organização.

  • Método 2: Execute periodicamente um trabalho CRON na instância para chamar a AWS STS AssumeRoleação e gravar as credenciais da sessão em um arquivo que o CodeDeploy agente possa acessar. Esse método ainda requer um usuário do IAM e a cópia de credenciais na instância local, mas você pode reutilizar o mesmo usuário do IAM e as mesmas credenciais por toda a sua frota de instâncias locais.

nota

Independentemente de você estar usando o método 1 ou 2, você deve configurar um processo para reiniciar o CodeDeploy agente depois que as credenciais da sessão temporária forem atualizadas para que as novas credenciais entrem em vigor.

Para obter informações sobre como criar e trabalhar com AWS STS credenciais, consulte Referência AWS Security Token Service da API e Uso de credenciais de segurança temporárias para solicitar acesso aos AWS recursos.

Etapa 1: criar o perfil do IAM que as instâncias on-premises assumirão

Você pode usar o console do IAM AWS CLI ou o console do IAM para criar uma função do IAM que será usada por suas instâncias locais para autenticação e interação. CodeDeploy

Você só precisa criar uma função do IAM. Cada uma das suas instâncias locais pode assumir essa função para recuperar as credenciais de segurança temporárias que fornecem as permissões concedidas a essa função.

A função que você criar exigirá as seguintes permissões para acessar os arquivos necessários para instalar o CodeDeploy agente:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:Get*", "s3:List*" ], "Effect": "Allow", "Resource": "*" } ] }

Recomendamos que você restrinja essa política somente para os buckets do Amazon S3 que a sua instância on-premises precisa acessar. Se você restringir essa política, certifique-se de dar acesso aos buckets do Amazon S3 que contêm o agente. CodeDeploy Caso contrário, poderá ocorrer um erro sempre que o CodeDeploy agente for instalado ou atualizado na instância local. Para obter mais informações sobre como controlar o acesso aos buckets do Amazon S3, consulte Gerenciar permissões de acesso aos recursos do Amazon S3.

Como criar o perfil do IAM
  1. Chame o comando create-role usando a opção --role-name para especificar um nome para a função do IAM (por exemplo, CodeDeployInstanceRole) e a opção --assume-role-policy-document para fornecer as permissões.

    Ao criar a função do IAM para essa instância, você pode dar a ela o nome CodeDeployInstanceRole e incluir as permissões necessárias em um arquivo chamado CodeDeployRolePolicy.json:

    aws iam create-role --role-name CodeDeployInstanceRole --assume-role-policy-document file://CodeDeployRolePolicy.json
  2. Na saída da chamada para o comando create-role, anote o valor do campo ARN. Por exemplo: .

    arn:aws:iam::123456789012:role/CodeDeployInstanceRole

    Você precisará do ARN da função ao usar a AWS STS AssumeRoleAPI para gerar credenciais de curto prazo para cada instância.

    Para obter mais informações sobre a criação de funções do IAM, consulte Como criar uma função para delegar permissões a um AWS serviço no Guia do usuário do IAM.

    Para obter informações sobre como atribuir permissões a uma função existente, consulte put-role-policyna Referência de AWS CLI Comandos.

Etapa 2: gerar credenciais temporárias para uma instância individual usando AWS STS

Antes de gerar as credenciais temporárias que serão usadas para registrar uma instância local, você deve criar ou escolher a identidade do IAM (usuário ou função) para a qual você gerará essas credenciais temporárias. A permissão sts:AssumeRole deve ser incluída nas configurações de política para essa identidade do IAM.

Para obter informações sobre como conceder sts:AssumeRole permissões a uma identidade do IAM, consulte Criação de uma função para delegar permissões a um AWS serviço e. AssumeRole

Existem duas maneiras de gerar as credenciais temporárias:

  • Use o comando assume-role com o AWS CLI. Por exemplo: .

    aws sts assume-role --role-arn arn:aws:iam::12345ACCOUNT:role/role-arn --role-session-name session-name

    Em que:

    nota

    Se você usa um script CRON que pesquisa periodicamente o sistema de identidade e autenticação e copia as credenciais da sessão mais recente para a instância (método 1 para atualizar as credenciais temporárias descrito emPré-requisitos de registro do ARN de sessão do IAM), você pode usar qualquer SDK compatível para chamar. AWS AssumeRole

  • Use uma ferramenta fornecida pela AWS.

    A aws-codedeploy-session-helper ferramenta gera AWS STS credenciais e as grava em um arquivo que você coloca na instância. Essa ferramenta é mais adequada para o método 2 de atualização de credenciais temporárias, descrito em Pré-requisitos de registro do ARN de sessão do IAM. Nesse método, a aws-codedeploy-session-helper ferramenta é colocada em cada instância e executa o comando usando as permissões de um usuário do IAM. Cada instância usa as mesmas credenciais do usuário do IAM em conjunto com essa ferramenta.

    Para obter mais informações, consulte o aws-codedeploy-session-helper GitHub repositório.

    nota

    Depois de ter criado as credenciais de sessão do IAM, coloque-as em qualquer parte da instância local. Na próxima etapa, você configurará o CodeDeploy agente para acessar as credenciais nesse local.

Antes de continuar, verifique se o sistema que você usará para atualizar periodicamente as credenciais temporárias está em vigor. Se as credenciais temporárias não forem atualizadas, as implantações na instância local falharão. Para obter mais informações, consulte "Sistema para atualizar credenciais temporárias", em Pré-requisitos de registro do ARN de sessão do IAM.

Etapa 3: adicionar um arquivo de configuração à instância on-premises

Adicione um arquivo de configuração à instância on-premises usando permissões raiz ou de administrador. Esse arquivo de configuração é usado para declarar as credenciais do IAM e a AWS região de destino a ser usada. CodeDeploy O arquivo deve ser adicionado a um local específico na instância on-premises. O arquivo deve incluir o ARN da sessão temporária do IAM, seu ID de chave secreta e chave de acesso secreta e a região de destino AWS .

Para adicionar um arquivo de configuração
  1. Crie um arquivo chamado codedeploy.onpremises.yml (para uma instância on-premises do Ubuntu Server ou do RHEL) ou conf.onpremises.yml (para uma instância on-premises do Windows Server) na seguinte localização da instância on-premises:

    • Para Ubuntu Server: /etc/codedeploy-agent/conf

    • Para Windows Server: C:\ProgramData\Amazon\CodeDeploy

  2. Use um editor de texto para adicionar as seguintes informações ao arquivo codedeploy.onpremises.yml (Linux) ou conf.onpremises.yml (Windows) recém-criado:

    --- iam_session_arn: iam-session-arn aws_credentials_file: credentials-file region: supported-region

    Em que:

Etapa 4: Preparar uma instância local para CodeDeploy implantações

Instale e configure o AWS CLI

Instale e configure o AWS CLI na instância local. (Eles AWS CLI serão usados para baixar e instalar o CodeDeploy agente na instância local.)

  1. Para instalar o AWS CLI na instância local, siga as instruções em Como configurar com o AWS CLI no Guia do AWS Command Line Interface usuário.

    nota

    CodeDeploy comandos para trabalhar com instâncias locais foram disponibilizados na versão 1.7.19 do. AWS CLI Se você tiver uma versão do AWS CLI já instalada, poderá verificar sua versão ligando paraaws --version.

  2. Para configurar o AWS CLI na instância local, siga as instruções em Configurando o AWS CLI no Guia do AWS Command Line Interface usuário.

    Importante

    Ao configurar o AWS CLI (por exemplo, chamando o aws configure comando), certifique-se de especificar o ID da chave secreta e a chave de acesso secreta de um usuário do IAM que tenha, no mínimo, as permissões descritas emPré-requisitos de registro do ARN de sessão do IAM.

Definir a variável de ambiente AWS_REGION (somente para o Ubuntu Server e o RHEL)

Se você não estiver executando o Ubuntu Server ou o RHEL na sua instância local, pule esta etapa e vá diretamente para “Instalar o CodeDeploy agente”.

Instale o CodeDeploy agente em uma instância local do Ubuntu Server ou do RHEL e habilite a instância para atualizar o CodeDeploy agente sempre que uma nova versão estiver disponível. Você faz isso definindo a variável de AWS_REGION ambiente na instância como o identificador de uma das regiões suportadas pelo CodeDeploy. Recomendamos que você defina o valor para a região em que seus CodeDeploy aplicativos, grupos de implantação e revisões de aplicativos estão localizados (por exemplo,us-west-2). Para obter uma lista de regiões, consulte Região e endpoints, na Referência geral da AWS.

Para definir a variável de ambiente, chame o seguinte usando o terminal:

export AWS_REGION=supported-region

Em que supported-region é o identificador da região (por exemplo, us-west-2).

Instale o CodeDeploy agente

Etapa 5: registrar a instância local com CodeDeploy

As instruções nesta etapa supõem que você esteja registrando a instância on-premises a partir dela mesma. Você pode registrar uma instância local a partir de um dispositivo ou instância separada que a tenha AWS CLI instalada e configurada.

Use o AWS CLI para registrar a instância local CodeDeploy para que ela possa ser usada em implantações.

Antes de usar o AWS CLI, você precisará do ARN das credenciais de sessão temporária que você criou. Etapa 3: adicionar um arquivo de configuração à instância on-premises Por exemplo, para uma instância identificada como AssetTag12010298EX:

arn:sts:iam::123456789012:assumed-role/CodeDeployInstanceRole/AssetTag12010298EX

Use o comando register-on-premises-instance, especificando:

  • Um nome que identifique de forma exclusiva a instância on premises (com a opção --instance-name).

    Importante

    Para ajudar a identificar a instância local, especialmente para fins de depuração, recomendamos que você especifique um nome que seja mapeado para alguma característica exclusiva da instância local (por exemplo, o nome da sessão das credenciais do STS e o número de série ou um identificador interno de ativo, se aplicável). Se você especificar um endereço MAC como nome, saiba que os endereços MAC contêm caracteres que CodeDeploy não são permitidos, como dois pontos (:). Para obter uma lista de caracteres permitidos, consulte CodeDeploy cotas.

  • O ARN da sessão do IAM que você configurou para autenticar várias instâncias locais em Etapa 1: criar o perfil do IAM que as instâncias on-premises assumirão.

Por exemplo: .

aws deploy register-on-premises-instance --instance-name name-of-instance --iam-session-arn arn:aws:sts::account-id:assumed-role/role-to-assume/session-name

Em que:

  • name-of-instanceé o nome que você usa para identificar a instância local, comoAssetTag12010298EX.

  • account-id é o ID da conta de 12 dígitos da sua organização, como 111222333444.

  • role-to-assumeé o nome da função do IAM que você criou para a instância, comoCodeDeployInstanceRole.

  • session-name é o nome da função de sessão que você especificou em Etapa 2: gerar credenciais temporárias para uma instância individual usando AWS STS.

Etapa 6: marcar a instância on-premises

Você pode usar o console AWS CLI ou o CodeDeploy console para marcar a instância local. (CodeDeployusa tags de instância local para identificar os alvos de implantação durante uma implantação.)

Para marcar a instância on-premises (CLI)
  • Chame o comando add-tags-to-on-premises-instances, especificando:

    • O nome que identifica de forma exclusiva a instância on-premises (com a opção --instance-names).

    • O nome da chave da tag de instância on-premises e o valor da tag que você deseja usar (com a opção --tags). Você deve especificar um nome e um valor. CodeDeploy não permite tags de instância local que tenham somente valores.

      Por exemplo: .

      aws deploy add-tags-to-on-premises-instances --instance-names AssetTag12010298EX --tags Key=Name,Value=CodeDeployDemo-OnPrem
Para marcar a instância on-premises (console)
  1. Faça login no AWS Management Console e abra o CodeDeploy console em https://console.aws.amazon.com/codedeploy.

    nota

    Faça login com o mesmo usuário que você configurou em Começando com CodeDeploy.

  2. No painel de navegação, expanda Implantar e escolha Instâncias on-premises.

  3. Na lista de instâncias locais, selecione nome da instância local que deseja marcar.

  4. Na lista de tags, selecione ou insira a chave e o valor da tag desejados. Após inserir a chave e o valor da tag, outra linha será exibida. Isso pode ser repetido para até 10 tags. Para remover uma tag, selecione Remover.

  5. Depois de adicionar as tags, escolha Atualizar tags.

Etapa 7: implantar revisões de aplicações na instância on-premises

Agora, você está pronto para implantar revisões de aplicativo na instância on-premises registrada e marcada.

Você implementa revisões de aplicativos em instâncias on-premises de uma maneira semelhante à implantação de revisões de aplicativos em instâncias do Amazon EC2. Para obter instruções, consulte Crie uma implantação com CodeDeploy. Essas instruções incluem um link para pré-requisitos, que incluem: criar um aplicativo, criar um grupo de implantação e preparar uma revisão de aplicativo. Se você precisa de uma simples revisão de aplicativo de amostra para implantar, poderá criar aquela descrito em Etapa 2: criar uma revisão de aplicativo de amostra, no Tutorial: Implantar um aplicativo em uma instância local com CodeDeploy (Windows Server, Ubuntu Server ou Red Hat Enterprise Linux).

Importante

Se você reutilizar uma função de CodeDeploy serviço como parte da criação de um grupo de implantação que tenha como alvo instâncias locais, deverá Tag:get* incluí-la na Action parte da declaração de política da função de serviço. Para ter mais informações, consulte Etapa 2: criar uma função de serviço para CodeDeploy.

Etapa 8: acompanhar implantações na instância on-premises

Depois de implantar uma revisão de aplicativo em instâncias on-premises registradas e marcadas, você poderá controlar o progresso da implantação.

Você controla as implantações em instâncias on-premises de uma maneira semelhante ao controle de implantações em instâncias do Amazon EC2. Para obter instruções, consulte Exibir detalhes CodeDeploy da implantação .