Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Gerenciar a função CodePipeline de serviço

PDF
RSS
Modo de foco
Gerenciar a função CodePipeline de serviço - AWS CodePipeline
Remover permissões da função de serviço do CodePipelineAdicionar permissões à função de serviço do CodePipelinePermissões da função de serviço: CodeCommit açãoPermissões da função de serviço: AWS OpsWorks açãoPermissões da função de serviço: AWS CloudFormation açãoPermissões da função de serviço: CodeBuild açãoPermissões da função de serviço: AWS Device Farm açãoPermissões de função de serviço: ação Service CatalogPermissões da função de serviço: ação do Amazon ECRPermissões da função de serviço: ação padrão do Amazon ECSPermissões da função de serviço: CodeDeployToECS açãoPermissões da função de serviço: CodeConnections açãoPermissões da função de serviço: StepFunctions açãoPermissões da função de serviço: AppConfig açãoPermissões de função de serviço: suporte de CodeBuild ação para compilações em lotePermissões da função de serviço: CloudFormationStackSet açãoPermissões da função de serviço: CloudFormationStackInstances açãoPermissões de função de serviço: suporte de CodeCommit ação para clone completoPermissões da função de serviço: ação de ElasticBeanstalk implantaçãoPermissões da função de serviço: ação CloudWatch de registrosPermissões da função de serviço: Commands açãoPermissões da função de serviço: ECRBuildAndPublish açãoPermissões da função de serviço: InspectorScan ação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

A função CodePipeline de serviço é configurada com uma ou mais políticas que controlam o acesso aos AWS recursos usados pelo pipeline. Talvez você queira anexar mais políticas a essa função, editar a política anexada à função ou configurar políticas para outras funções de serviço em AWS. Pode ser que você também queira anexar uma política a uma função ao configurar o acesso entre contas ao pipeline.

Importante

Alterar uma declaração de política ou anexar outra política à função pode impedir o funcionamento dos pipelines. Certifique-se de compreender as implicações antes de modificar a função de serviço de qualquer CodePipeline forma. Teste os pipelines após ter feito alterações na função de serviço.

nota

No console, as funções de serviço criadas antes de setembro de 2018 são criadas com o nome oneClick_AWS-CodePipeline-Service_ID-Number.

As funções de serviço criadas após setembro de 2018 usam o formato de nome da função de serviço AWSCodePipelineServiceRole-Region-Pipeline_Name. Por exemplo, para um pipeline chamado MyFirstPipeline na eu-west-2, o console nomeia a função e a política como AWSCodePipelineServiceRole-eu-west-2-MyFirstPipeline.

Remover permissões da função de serviço do CodePipeline

Você pode editar a declaração da função de serviço para remover o acesso aos recursos que você não utiliza. Por exemplo, se nenhum dos pipelines incluir o Elastic Beanstalk, você poderá editar a declaração de política para remover a seção que concede acesso aos recursos do Elastic Beanstalk.

Da mesma forma, se nenhum de seus pipelines incluir CodeDeploy, você poderá editar a declaração de política para remover a seção que concede acesso aos CodeDeploy recursos:

    {
    "Action": [
        "codedeploy:CreateDeployment",
        "codedeploy:GetApplicationRevision",
        "codedeploy:GetDeployment",
        "codedeploy:GetDeploymentConfig",
        "codedeploy:RegisterApplicationRevision"
    ],
    "Resource": "*",
    "Effect": "Allow"
},

Adicionar permissões à função de serviço do CodePipeline

Você deve atualizar a declaração de política do perfil de serviço com permissões para um AWS service (Serviço da AWS) ainda não incluído na declaração de política de perfil de serviço padrão para que possa usá-la nos pipelines.

Isso é especialmente importante se a função de serviço que você usa para seus pipelines foi criada antes da adição do suporte CodePipeline para um AWS service (Serviço da AWS).

A tabela a seguir mostra quando o suporte foi adicionado para outros Serviços da AWS.

AWS service (Serviço da AWS) CodePipeline data de suporte
EC2suporte de ação adicionado. Consulte Permissões da política de função de serviço para a ação de EC2 implantação. 21 de fevereiro de 2025
CodePipeline suporte de ação de invocação adicionado. Consulte Permissões da política de função de serviço para a CodePipeline ação de invocação. 14 de março de 2025
EKSsuporte de ação adicionado. Consulte Permissões de política de perfil de serviço. 20 de fevereiro de 2025
Foi adicionado suporte à ECRBuildAndPublish ação do Amazon Elastic Container Registry. Consulte Permissões da função de serviço: ECRBuildAndPublish ação. 22 de novembro de 2024
Suporte de InspectorScan ação do Amazon Inspector adicionado. Consulte Permissões da função de serviço: InspectorScan ação. 22 de novembro de 2024
Suporte de ação de comandos adicionado. Consulte Permissões da função de serviço: Commands ação. 3 de outubro de 2024
AWS CloudFormation suporte de ação adicionado. Consulte Permissões da função de serviço: CloudFormationStackSet ação e Permissões da função de serviço: CloudFormationStackInstances ação. 30 de dezembro de 2020
CodeCommit suporte de ação de formato de artefato de saída de clone completo adicionado. Consulte Permissões de função de serviço: suporte de CodeCommit ação para clone completo. 11 de novembro de 2020
CodeBuild suporte de ação de compilações em lote adicionado. Consulte Permissões de função de serviço: suporte de CodeBuild ação para compilações em lote. 30 de julho de 2020
AWS AppConfigsuporte de ação adicionado. Consulte Permissões da função de serviço: AppConfig ação. 22 de junho de 2020
AWS Step Functions suporte de ação adicionado. Consulte Permissões da função de serviço: StepFunctions ação. 27 de maio de 2020
AWS CodeStar Suporte de ação de conexões adicionado. Consulte Permissões da função de serviço: CodeConnections ação. 18 de dezembro de 2019
O suporte CodeDeployToECS à ação e ação foi adicionado. Consulte Permissões da função de serviço: CodeDeployToECS ação. 27 de novembro de 2018
Suporte de ação do Amazon ECR adicionado. Consulte Permissões da função de serviço: ação do Amazon ECR. 27 de novembro de 2018
Foi adicionado suporte à ação do Service Catalog. Consulte Permissões de função de serviço: ação Service Catalog. 16 de outubro de 2018
AWS Device Farm suporte de ação adicionado. Consulte Permissões da função de serviço: AWS Device Farm ação. 19 de julho de 2018
Suporte de ação do Amazon ECS adicionado. Consulte Permissões da função de serviço: ação padrão do Amazon ECS. 12 de dezembro de 2017//Atualização para aceitar a autorização de marcação em 21 de julho de 2017
CodeCommitsuporte de ação adicionado. Consulte Permissões da função de serviço: CodeCommit ação. 18 de abril de 2016
AWS OpsWorks suporte de ação adicionado. Consulte Permissões da função de serviço: AWS OpsWorks ação. 2 de junho de 2016
AWS CloudFormation suporte de ação adicionado. Consulte Permissões da função de serviço: AWS CloudFormation ação. 3 de novembro de 2016
AWS CodeBuild suporte de ação adicionado. Consulte Permissões da função de serviço: CodeBuild ação. 1º de dezembro de 2016
Suporte de ação do Elastic Beanstalk adicionado. Consulte Permissões da função de serviço: ação de ElasticBeanstalk implantação. Lançamento do serviço inicial

Siga estes passos para adicionar permissões para um serviço compatível:

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No console do IAM, no painel de navegação, escolha Perfis e, em seguida, escolha o perfil AWS-CodePipeline-Service na lista de perfis.

  3. Na guia Permissões, em Políticas em linha, na linha da sua política de perfil de serviço, escolha Editar política.

  4. Adicione as permissões necessárias na caixa Documento da política.

    nota

    Ao criar políticas do IAM, siga as dicas de segurança padrão de concessão de privilégio mínimo, ou seja, conceda apenas as permissões necessárias à execução de uma tarefa. Determinadas chamadas de API são compatíveis com permissões baseadas em recursos e permitem que o acesso seja limitado. Por exemplo, neste caso, para limitar as permissões quando chamar DescribeTasks e ListTasks, você pode substituir o caractere curinga (*) por um ARN de recurso ou um ARN de recurso que contenha um caractere curinga (*). Para obter mais informações sobre a criação de uma política que conceda acesso com privilégios mínimos, consulte https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege.

  5. Selecione Review policy (Revisar política) para garantir que a política não contenha erros. Quando a política não tiver erros, selecione Aplicar política.

Permissões da função de serviço: CodeCommit ação

Por exemplo, para obter CodeCommit suporte, adicione o seguinte à sua declaração de política:

{
  "Effect": "Allow",
  "Action": [  
      "codecommit:GetBranch",
      "codecommit:GetCommit",
      "codecommit:UploadArchive",
      "codecommit:GetUploadArchiveStatus",      
      "codecommit:CancelUploadArchive"
            ],
  "Resource": "resource_ARN"
},

Para obter mais informações sobre essa ação, consulteCodeCommit referência da ação de origem.

Permissões da função de serviço: AWS OpsWorks ação

Para obter AWS OpsWorks suporte, adicione o seguinte à sua declaração de política:

{
    "Effect": "Allow",
    "Action": [
        "opsworks:CreateDeployment",
        "opsworks:DescribeApps",
        "opsworks:DescribeCommands",
        "opsworks:DescribeDeployments",
        "opsworks:DescribeInstances",
        "opsworks:DescribeStacks",
        "opsworks:UpdateApp",
        "opsworks:UpdateStack"
    ],
    "Resource": "resource_ARN"
},

Permissões da função de serviço: AWS CloudFormation ação

Para obter AWS CloudFormation suporte, adicione o seguinte à sua declaração de política:

{
    "Effect": "Allow",
    "Action": [
        "cloudformation:CreateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeStacks",
        "cloudformation:UpdateStack",
        "cloudformation:CreateChangeSet",
        "cloudformation:DeleteChangeSet",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:SetStackPolicy",
        "cloudformation:ValidateTemplate",
        "iam:PassRole"
    ],
    "Resource": "resource_ARN"
},

Observe que a permissão cloudformation:DescribeStackEvents é opcional. Isso permite que a AWS CloudFormation ação mostre uma mensagem de erro mais detalhada. Essa permissão poderá ser revogada do perfil do IAM se você não quiser que os detalhes do recurso apareçam nas mensagens de erro do pipeline. Para obter mais informações, consulte AWS CloudFormation referência de ação de implantação.

nota

O suporte às compilações em lote foi adicionado posteriormente. Consulte a etapa 11 para ver as permissões a serem adicionadas ao perfil de serviço para compilações em lote.

Permissões da função de serviço: CodeBuild ação

Para obter CodeBuild suporte, adicione o seguinte à sua declaração de política:

{
    "Effect": "Allow",
    "Action": [
        "codebuild:BatchGetBuilds",
        "codebuild:StartBuild"
    ],
    "Resource": "resource_ARN"
},
nota

O suporte às compilações em lote foi adicionado posteriormente. Consulte a etapa 11 para ver as permissões a serem adicionadas ao perfil de serviço para compilações em lote.

Para obter mais informações sobre essa ação, consulteAWS CodeBuild referência de ação de criação e teste.

Permissões da função de serviço: AWS Device Farm ação

Para obter AWS Device Farm suporte, adicione o seguinte à sua declaração de política:

{
    "Effect": "Allow",
    "Action": [
        "devicefarm:ListProjects",
        "devicefarm:ListDevicePools",
        "devicefarm:GetRun",
        "devicefarm:GetUpload",
        "devicefarm:CreateUpload",
        "devicefarm:ScheduleRun"
    ],
    "Resource": "resource_ARN"
},

Para obter mais informações sobre essa ação, consulteAWS Device Farm referência da ação de teste.

Permissões de função de serviço: ação Service Catalog

Para compatibilidade com o Service Catalog, adicione o seguinte à declaração da política:

{
    "Effect": "Allow",
    "Action": [
        "servicecatalog:ListProvisioningArtifacts",
        "servicecatalog:CreateProvisioningArtifact",
        "servicecatalog:DescribeProvisioningArtifact",
        "servicecatalog:DeleteProvisioningArtifact",
        "servicecatalog:UpdateProduct"
    ],
    "Resource": "resource_ARN"
},
{
    "Effect": "Allow",
    "Action": [
        "cloudformation:ValidateTemplate"
    ],
    "Resource": "resource_ARN"
}

Permissões da função de serviço: ação do Amazon ECR

Para compatibilidade com o Amazon ECR, adicione o seguinte à declaração da política:

{
    "Effect": "Allow",
    "Action": [
        "ecr:DescribeImages"
    ],
    "Resource": "resource_ARN"
},

Para obter mais informações sobre essa ação, consulteReferência da ação de origem do Amazon ECR.

Permissões da função de serviço: ação padrão do Amazon ECS

Para o Amazon ECR, estas são as permissões mínimas necessárias para criar pipelines com uma ação de implantação do Amazon ECS.

{
    "Effect": "Allow",
    "Action": [
        "ecs:DescribeServices",
        "ecs:DescribeTaskDefinition",
        "ecs:DescribeTasks",
        "ecs:ListTasks",
        "ecs:RegisterTaskDefinition",
        "ecs:TagResource",
        "ecs:UpdateService"
    ],
    "Resource": "resource_ARN"
},

Você pode aceitar o uso da autorização para atribuição de tags no Amazon ECS. Ao aceitar, você deve conceder as seguintes permissões: ecs:TagResource. Para obter mais informações sobre como aceitar e determinar se a permissão será necessária e a autorização de tag será aplicada, consulte o Cronograma de autorização para atribuição de tags no Guia do desenvolvedor do Amazon Elastic Container Service.

Você também deve adicionar as permissões iam:PassRole para usar os perfis do IAM para tarefas. Para obter mais informações, consulte Perfil do IAM para execução de tarefas do Amazon ECS e Perfis do IAM para tarefas. Use o seguinte texto de política:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::aws_account_ID:role/ecsTaskExecutionRole_or_TaskRole_name"
            ]
        }
    ]
}

Para obter mais informações sobre essa ação, consulteReferência da ação de implantação do Amazon Elastic Container Service.

Permissões da função de serviço: CodeDeployToECS ação

Para a CodeDeployToECS ação (ação blue/green deployments), the following are the minimum permissions needed to create pipelines with a CodeDeploy to Amazon ECS blue/green de implantação).

{
    "Effect": "Allow",
    "Action": [
        "codedeploy:CreateDeployment",
        "codedeploy:GetDeployment",
        "codedeploy:GetApplication",
        "codedeploy:GetApplicationRevision",
        "codedeploy:RegisterApplicationRevision",
        "codedeploy:GetDeploymentConfig",
        "ecs:RegisterTaskDefinition",
        "ecs:TagResource"
    ],
    "Resource": "resource_ARN"
},

Você pode aceitar o uso da autorização para atribuição de tags no Amazon ECS. Ao aceitar, você deve conceder as seguintes permissões: ecs:TagResource. Para obter mais informações sobre como aceitar e determinar se a permissão será necessária e a autorização de tag será aplicada, consulte o Cronograma de autorização para atribuição de tags no Guia do desenvolvedor do Amazon Elastic Container Service.

Você também deve adicionar as permissões iam:PassRole para usar os perfis do IAM para tarefas. Para obter mais informações, consulte Perfil do IAM para execução de tarefas do Amazon ECS e Perfis do IAM para tarefas. Use o seguinte texto de política:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::aws_account_ID:role/ecsTaskExecutionRole_or_TaskRole_name"
            ]
        }
    ]
}

Você também pode adicionar ecs-tasks.amazonaws.com à lista de serviços sob a condição iam:PassedToService, conforme mostrado neste exemplo.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "resource_ARN",
            "Condition": {
                "StringEqualsIfExists": {
                    "iam:PassedToService": [
                        "cloudformation.amazonaws.com",
                        "elasticbeanstalk.amazonaws.com",
                        "ec2.amazonaws.com",
                        "ecs-tasks.amazonaws.com"
                    ]
                }
            }
        },

Para obter mais informações sobre essa ação, consulteAmazon Elastic Container Service e referência de ação de implantação CodeDeploy azul-verde.

Permissões da função de serviço: CodeConnections ação

Pois CodeConnections, a permissão a seguir é necessária para criar pipelines com uma fonte que usa uma conexão, como o Bitbucket Cloud.

{
    "Effect": "Allow",
    "Action": [
        "codeconnections:UseConnection"
    ],
    "Resource": "resource_ARN"
},

Para obter mais informações sobre as permissões do IAM para conexões, consulte Referência de permissões do Connections.

Para obter mais informações sobre essa ação, consulteCodeStarSourceConnection para Bitbucket Cloud GitHub, GitHub Enterprise Server, GitLab .com e ações GitLab autogerenciadas.

Permissões da função de serviço: StepFunctions ação

Para a ação StepFunctions, estas são as permissões mínimas necessárias para criar pipelines com uma ação de invocação do Step Functions.

{
    "Effect": "Allow",
    "Action": [
        "states:DescribeStateMachine",
        "states:DescribeExecution",
        "states:StartExecution"
    ],
    "Resource": "resource_ARN"
},

Para obter mais informações sobre essa ação, consulteAWS Step Functions invocar referência de ação.

Permissões da função de serviço: AppConfig ação

Para a AppConfig ação, a seguir estão as permissões mínimas necessárias para criar pipelines com uma AWS AppConfig ação de invocação.

{
    "Effect": "Allow",
    "Action": [
        "appconfig:StartDeployment",
        "appconfig:GetDeployment",
        "appconfig:StopDeployment"
    ],
    "Resource": "resource_ARN"
},

Para obter mais informações sobre essa ação, consulteAWS AppConfig referência de ação de implantação.

Permissões de função de serviço: suporte de CodeBuild ação para compilações em lote

Para CodeBuild suporte para compilações em lote, adicione o seguinte à sua declaração de política:

{
    "Effect": "Allow",
    "Action": [
        "codebuild:BatchGetBuildBatches",
        "codebuild:StartBuildBatch"
    ],
    "Resource": "resource_ARN"
},

Para obter mais informações sobre essa ação, consulteAWS CodeBuild referência de ação de criação e teste.

Permissões da função de serviço: CloudFormationStackSet ação

Para AWS CloudFormation StackSets ações, as seguintes permissões mínimas são necessárias.

Para a ação CloudFormationStackSet, adicione o seguinte à declaração da política:

{
    "Effect": "Allow",
    "Action": [
        "cloudformation:CreateStackSet",
        "cloudformation:UpdateStackSet",
        "cloudformation:CreateStackInstances",
        "cloudformation:DescribeStackSetOperation",
        "cloudformation:DescribeStackSet",
        "cloudformation:ListStackInstances"
    ],
    "Resource": "resource_ARN"
},

Para obter mais informações sobre essa ação, consulteAWS CloudFormation StackSets referência de ação de implantação.

Permissões da função de serviço: CloudFormationStackInstances ação

Para a ação CloudFormationStackInstances, adicione o seguinte à declaração da política:

{
    "Effect": "Allow",
    "Action": [
        "cloudformation:CreateStackInstances",
        "cloudformation:DescribeStackSetOperation"
    ],
    "Resource": "resource_ARN"
},

Para obter mais informações sobre essa ação, consulteAWS CloudFormation StackSets referência de ação de implantação.

Permissões de função de serviço: suporte de CodeCommit ação para clone completo

Para obter CodeCommit suporte para a opção de clonagem completa, adicione o seguinte à sua declaração de política:

{
    "Effect": "Allow",
    "Action": [
        "codecommit:GetRepository"
    ],
    "Resource": "resource_ARN"
},
nota

Para garantir que sua CodeBuild ação possa usar a opção de clonagem completa com uma CodeCommit fonte, você também deve adicionar a codecommit:GitPull permissão à declaração de política da função de CodeBuild serviço do seu projeto.

Para obter mais informações sobre essa ação, consulteCodeCommit referência da ação de origem.

Permissões da função de serviço: ação de ElasticBeanstalk implantação

Para o Elastic Beanstalk, estas são as permissões mínimas necessárias para criar pipelines com uma ação de implantação ElasticBeanstalk.

{
    "Effect": "Allow",
    "Action": [
        "elasticbeanstalk:*",
        "ec2:*",
        "elasticloadbalancing:*",
        "autoscaling:*",
        "cloudwatch:*",
        "s3:*",
        "sns:*",
        "cloudformation:*",
        "rds:*",
        "sqs:*",
        "ecs:*"
    ],
    "Resource": "resource_ARN"
},
nota

Você deve substituir os curingas na política de recursos pelos recursos da conta à qual deseja limitar o acesso. Para obter mais informações sobre a criação de uma política que conceda acesso com privilégios mínimos, consulte https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege.

Permissões da função de serviço: ação CloudWatch de registros

Para um pipeline que você deseja configurar para o CloudWatch Logs, a seguir estão as permissões mínimas que você precisa adicionar à função CodePipeline de serviço.

{
    "Effect": "Allow",
    "Action": [
        "logs:DescribeLogGroups",
        "logs:PutRetentionPolicy"
    ],
    "Resource": "resource_ARN"
},
nota

Você deve substituir os curingas na política de recursos pelos recursos da conta à qual deseja limitar o acesso. Para obter mais informações sobre a criação de uma política que conceda acesso com privilégios mínimos, consulte https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege.

Permissões da função de serviço: Commands ação

Para o suporte à ação Commands, adicione o seguinte à declaração de política:

{
    "Effect": "Allow",
    "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
    ],
    "Resource": [
        "arn:aws:logs:*:YOUR_AWS_ACCOUNT_ID:log-group:/aws/codepipeline/YOUR_PIPELINE_NAME",
        "arn:aws:logs:*:YOUR_AWS_ACCOUNT_ID:log-group:/aws/codepipeline/YOUR_PIPELINE_NAME:*"
   ]
}
nota

Restrinja as permissões ao nível de recurso do pipeline aplicando permissões baseadas em recurso na declaração de política do perfil de serviço. Para ter mais informações, consulte o exemplo de política em Permissões de política de perfil de serviço.

Para obter mais informações sobre essa ação, consulteReferência da ação Commands.

Permissões da função de serviço: ECRBuildAndPublish ação

Para o apoio à ECRBuildAndPublish ação, adicione o seguinte à sua declaração de política:

{
    "Statement": [
         {
            "Sid": "ECRRepositoryAllResourcePolicy",
            "Effect": "Allow",
            "Action": [
                "ecr:DescribeRepositories",
                "ecr:GetAuthorizationToken",
                "ecr-public:DescribeRepositories",
                "ecr-public:GetAuthorizationToken"
            ],
        "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchCheckLayerAvailability"
            ],
            "Resource": "PrivateECR_Resource_ARN"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr-public:GetAuthorizationToken",
                "ecr-public:DescribeRepositories",
                "ecr-public:InitiateLayerUpload",
                "ecr-public:UploadLayerPart",
                "ecr-public:CompleteLayerUpload",
                "ecr-public:PutImage",
                "ecr-public:BatchCheckLayerAvailability",
                "sts:GetServiceBearerToken"
            ],
            "Resource": "PublicECR_Resource_ARN"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sts:GetServiceBearerToken"
            ],
            "Resource": "*"
        }
    ]
}

Além disso, se ainda não tiver sido adicionada à Commands ação, adicione as seguintes permissões à sua função de serviço para visualizar CloudWatch os registros.

{
    "Effect": "Allow",
    "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream", 
        "logs:PutLogEvents"
    ],
    "Resource": "resource_ARN"
},
nota

Restrinja as permissões ao nível de recurso do pipeline aplicando permissões baseadas em recurso na declaração de política do perfil de serviço.

Para obter mais informações sobre essa ação, consulteECRBuildAndPublishreferência de ação de construção.

Permissões da função de serviço: InspectorScan ação

Para o apoio à InspectorScan ação, adicione o seguinte à sua declaração de política:

{
        "Effect": "Allow",
        "Action": "inspector-scan:ScanSbom",
        "Resource": "*"
    },
    {
        "Effect": "Allow",
        "Action": [
            "ecr:GetDownloadUrlForLayer",
            "ecr:BatchGetImage",
            "ecr:BatchCheckLayerAvailability"
        ],
        "Resource": "resource_ARN"
    },

Além disso, se ainda não tiver sido adicionada à ação Comandos, adicione as seguintes permissões à sua função de serviço para visualizar CloudWatch os registros.

{
    "Effect": "Allow",
    "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream", 
        "logs:PutLogEvents"
    ],
    "Resource": "resource_ARN"
},
nota

Restrinja as permissões ao nível de recurso do pipeline aplicando permissões baseadas em recurso na declaração de política do perfil de serviço.

Para obter mais informações sobre essa ação, consulteReferência de ação de InspectorScan invocação do Amazon Inspector.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.