Ações, recursos e chaves de condição do AWS CodePipeline
O AWS CodePipeline (prefixo de serviço: codepipeline) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em políticas de permissão do IAM.
Referências:
-
Saiba como configurar este serviço.
-
Visualize uma lista das operações de API disponíveis para este serviço.
-
Saiba como proteger esse serviço e seus recursos usando políticas de permissão do IAM.
Tópicos
Ações definidas pelo AWS CodePipeline
Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
| Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
|---|---|---|---|---|---|
| AcknowledgeJob | Concede permissão para visualizar informações sobre um trabalho especificado e indica se esse trabalho foi recebido pelo operador do trabalho. | Write | |||
| AcknowledgeThirdPartyJob | Concede permissão para confirmar se um operador do trabalho recebeu o trabalho especificado (somente ações de parceiros) | Write | |||
| CreateCustomActionType | Concede permissão para criar uma ação personalizada que você pode usar nos pipelines associados à Conta da AWS | Escrever | |||
| CreatePipeline | Concede permissão para criar um pipeline com nome exclusivo | Escrever | |||
| DeleteCustomActionType | Concede permissão para excluir uma ação personalizada | Write | |||
| DeletePipeline | Concede permissão para excluir um pipeline especificado | Write | |||
| DeleteWebhook | Concede permissão para excluir um webhook especificado | Write | |||
| DeregisterWebhookWithThirdParty | Concede permissão para remover o registro de um webhook com a terceira parte especificada em sua configuração | Write | |||
| DisableStageTransition | Concede permissão para impedir que as revisões façam transição para o próximo estágio em um pipeline. | Write | |||
| EnableStageTransition | Concede permissão para permitir que as revisões façam transição para o próximo estágio em um pipeline | Escrever | |||
| GetActionType | Concede permissão para visualizar informações sobre um tipo de ação | Leitura | |||
| GetJobDetails | Concede permissão para visualizar informações sobre um trabalho (somente ações personalizadas) | Read | |||
| GetPipeline | Concede permissão para recuperar informações sobre uma estrutura de pipeline | Read | |||
| GetPipelineExecution | Concede permissão para visualizar informações sobre a execução de um pipeline, incluindo os detalhes sobre os artefatos, o ID de execução do pipeline e o nome, a versão e o status do pipeline | Read | |||
| GetPipelineState | Concede permissão para visualizar informações sobre o estado atual dos estágios e das ações de um pipeline | Read | |||
| GetThirdPartyJobDetails | Concede permissão para visualizar os detalhes de um trabalho para uma ação de terceiros (somente ações de parceiros) | Read | |||
| ListActionExecutions | Concede permissão para listar as execuções de ações que ocorreram em um pipeline | Read | |||
| ListActionTypes | Concede permissão para listar um resumo de todos os tipos de ação disponíveis para pipelines em sua conta | Read | |||
| ListPipelineExecutions | Concede permissão para listar um resumo das execuções mais recentes de um pipeline | List | |||
| ListPipelines | Concede permissão para listar um resumo de todos os pipelines associados à Conta da AWS | Listar | |||
| ListRuleExecutions | Concede permissão para listar as execuções de regras que ocorreram em um pipeline | Leitura | |||
| ListRuleTypes | Concede permissão para listar um resumo de todos os tipos de regra disponíveis para pipelines em sua conta | Leitura | |||
| ListTagsForResource | Concede permissão para listar etiquetas para um recurso do CodePipeline | Read | |||
| ListWebhooks | Concede permissão para listar todos os webhooks associados à Conta da AWS | Listar | |||
| OverrideStageCondition | Concede permissão para retomar a execução do pipeline ao substituir uma condição em um estágio | Escrever | |||
| PollForJobs | Concede permissão para visualizar informações sobre qualquer trabalho para que o CodePipeline atue nele | Write | |||
| PollForThirdPartyJobs | Concede permissão para determinar se há trabalhos de terceiros para um operador de trabalho atuar nele (somente ações de parceiros) | Write | |||
| PutActionRevision | Concede permissão para editar ações em um pipeline | Write | |||
| PutApprovalResult | Concede permissão para fornecer uma resposta (Aprovado ou Rejeitado) a uma solicitação de aprovação manual no CodePipeline | Write | |||
| PutJobFailureResult | Concede permissão para representar a falha de um trabalho como retornado ao pipeline por um operador de trabalho (somente ações personalizadas) | Write | |||
| PutJobSuccessResult | Concede permissão para representar o sucesso de um trabalho conforme retornado ao pipeline por um operador de trabalho (somente ações personalizadas) | Write | |||
| PutThirdPartyJobFailureResult | Concede permissão para representar a falha de um trabalho de terceiros conforme retornado ao pipeline por um operador de trabalho (somente ações de parceiros) | Write | |||
| PutThirdPartyJobSuccessResult | Concede permissão para representar o sucesso de um trabalho de terceiros conforme retornado ao pipeline por um operador de trabalho (somente ações de parceiros) | Write | |||
| PutWebhook | Concede permissão para criar ou atualizar um webhook | Escrever | |||
| RegisterWebhookWithThirdParty | Concede permissão para registrar um webhook com a terceira parte especificada em sua configuração. | Write | |||
| RetryStageExecution | Concede permissão para retomar a execução do pipeline ao recuperar as últimas ações com falha em um estágio. | Escrever | |||
| RollbackStage | Concede permissão para reverter o estágio a uma execução anterior bem-sucedida | Escrever | |||
| StartPipelineExecution | Concede permissão para executar a revisão mais recente por meio do pipeline | Write | |||
| StopPipelineExecution | Concede permissão para interromper uma execução de pipeline em andamento | Write | |||
| TagResource | Concede permissão para marcar um recurso do CodePipeline | Marcação | |||
| UntagResource | Concede permissão para remover uma etiqueta de um recurso do CodePipeline | Tags | |||
| UpdateActionType | Concede permissão para atualizar um tipo de ação | Escrever | |||
| UpdatePipeline | Concede permissão para atualizar um pipeline com alterações na estrutura do pipeline. | Write |
Tipos de recursos definidos pelo AWS CodePipeline
Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
| Tipos de recursos | ARN | Chaves de condição |
|---|---|---|
| action |
arn:${Partition}:codepipeline:${Region}:${Account}:${PipelineName}/${StageName}/${ActionName}
|
|
| actiontype |
arn:${Partition}:codepipeline:${Region}:${Account}:actiontype:${Owner}/${Category}/${Provider}/${Version}
|
|
| pipeline |
arn:${Partition}:codepipeline:${Region}:${Account}:${PipelineName}
|
|
| stage |
arn:${Partition}:codepipeline:${Region}:${Account}:${PipelineName}/${StageName}
|
|
| webhook |
arn:${Partition}:codepipeline:${Region}:${Account}:webhook:${WebhookName}
|
Chaves de condição do AWS CodePipeline
O AWS CodePipeline define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para exibir as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.
| Chaves de condição | Descrição | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra ações com base na presença de pares de chave-valor da etiqueta na solicitação | String |
| aws:ResourceTag/${TagKey} | Filtra ações com base nos pares de chave-valor da etiqueta anexados ao recurso | String |
| aws:TagKeys | Filtra ações com base na presença de chaves da etiqueta na solicitação | ArrayOfString |
