本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS CodeDeploy 如何使用 IAM
使用 IAM 管理 的存取權之前 CodeDeploy,您應該了解哪些IAM功能可與 搭配使用 CodeDeploy。如需詳細資訊,請參閱IAM《 使用者指南》中的AWS 使用 的 服務IAM。
CodeDeploy 身分型政策
使用 IAM 身分類型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下會允許或拒絕動作。 CodeDeploy 支援動作、資源及條件索引鍵。如需有關您在JSON政策中使用的元素的資訊,請參閱IAM《 使用者指南》中的IAMJSON政策元素參考。
動作
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作。
JSON 政策的 Action元素說明您可以用來允許或拒絕政策中存取的動作。政策動作通常具有與相關聯 AWS API操作相同的名稱。有一些例外狀況,例如沒有相符API操作的僅限許可動作。也有一些作業需要政策中的多個動作。這些額外的動作稱為相依動作。
政策會使用動作來授予執行相關聯動作的許可。
中的政策動作在動作之前 CodeDeploy 使用codedeploy:字首。例如,codedeploy:GetApplication 許可授予使用者執行 GetApplication 操作的許可。政策陳述式必須包含 Action或 NotAction element。 CodeDeploy 會定義自己的動作集,描述您可以使用此服務執行的任務。
若要在單一陳述式中指定多個動作,請用逗號分隔,如下所示:
"Action": [ "codedeploy:action1", "codedeploy:action2"
您也可以使用萬用字元 (*) 來指定多個動作。例如,包含以下動作以指定開頭是文字 Describe 的所有動作:
"Action": "ec2:Describe*"
如需 CodeDeploy 動作清單,請參閱IAM《 使用者指南》中的 定義的動作 AWS CodeDeploy。
如需列出所有 CodeDeploy API動作及其套用的資源的資料表,請參閱 CodeDeploy 許可參考。
資源
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作。
Resource JSON 政策元素會指定 動作套用的物件。陳述式必須包含 Resource 或 NotResource 元素。最佳實務是使用其 Amazon Resource Name (ARN) 指定資源。您可以針對支援特定資源類型的動作 (稱為資源層級許可) 來這麼做。
對於不支援資源層級許可的動作 (例如列出操作),請使用萬用字元 (*) 來表示陳述式適用於所有資源。
"Resource": "*"
例如,您可以使用 陳述式中的 部署群組 (myDeploymentGroup)ARN,如下所示:
"Resource": "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:myApplication/myDeploymentGroup"
您也可以使用萬用字元 (*) 指定屬於帳戶的所有部署群組,如下所示:
"Resource": "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*"
若要指定所有資源,或API動作不支援 ARNs,請使用Resource元素中的萬用字元 (*),如下所示:
"Resource": "*"
有些 CodeDeploy API動作接受多個資源 (例如 BatchGetDeploymentGroups)。若要在單一陳述式中指定多個資源,ARNs請以逗號分隔它們,如下所示:
"Resource": ["arn1", "arn2"]
CodeDeploy 提供一組操作來使用 CodeDeploy 資源。如需可用操作的清單,請參閱 CodeDeploy 許可參考。
如需 CodeDeploy 資源類型及其 的清單ARNs,請參閱IAM《 使用者指南》中的由 定義的資源 AWS CodeDeploy。如需您可以在其中指定每個資源ARN之 的動作相關資訊,請參閱 定義的動作 AWS CodeDeploy。
CodeDeploy 資源和操作
在 中 CodeDeploy,主要資源是部署群組。在政策中,您可以使用 Amazon Resource Name (ARN) 來識別政策適用的資源。 CodeDeploy 支援可與部署群組搭配使用的其他資源,包括應用程式、部署組態和執行個體。這些資源稱為「子資源」。這些資源和子資源具有唯一的ARNs關聯。如需詳細資訊,請參閱 中的 Amazon 資源名稱 (ARNs)Amazon Web Services 一般參考。
| 資源類型 | ARN 格式 |
|---|---|
| 部署群組 |
|
| 應用程式 |
|
| 部署組態 |
|
| 執行個體 |
|
|
所有 CodeDeploy 資源 |
|
|
指定區域中指定帳戶擁有的所有 CodeDeploy 資源 |
|
注意
中的大多數服務將冒號 (:) 或正斜線 (/) AWS 視為 中的相同字元ARNs。不過, CodeDeploy 會在資源模式和規則中使用完全相符的項目。建立事件模式時,請務必使用正確的ARN字元,以便它們符合 資源中的ARN語法。
條件索引鍵
CodeDeploy 不提供任何服務特定的條件金鑰,但支援使用某些全域條件金鑰。如需詳細資訊,請參閱IAM《 使用者指南》中的AWS 全域條件內容金鑰。
範例
若要檢視 CodeDeploy 身分型政策的範例,請參閱 AWS CodeDeploy 身分型政策範例。
CodeDeploy 資源型政策
CodeDeploy 不支援以資源為基礎的政策。若要檢視詳細資源型政策頁面的範例,請參閱使用資源型政策 AWS Lambda。
以 CodeDeploy 標籤為基礎的授權
CodeDeploy 不支援標記資源或根據標籤控制存取。
CodeDeploy IAM 角色
IAM 角色是您 AWS 帳戶中具有特定許可的實體。
搭配 使用暫時登入資料 CodeDeploy
您可以使用暫時登入資料登入聯合、取得 IAM 角色,或是取得跨帳戶角色。您可以透過呼叫 AWS STS API AssumeRole或 等操作來取得臨時安全登入資料GetFederationToken。
CodeDeploy 支援使用臨時登入資料。
服務連結角色
CodeDeploy 不支援服務連結角色。
服務角色
此功能可讓服務代表您擔任服務角色。此角色可讓服務存取其他服務中的資源,以代表您完成動作。服務角色會出現在您的帳戶中 AWS ,並由該帳戶擁有。這表示使用者可以變更此角色的許可。不過,這樣可能會破壞此服務的功能。
CodeDeploy 支援 服務角色。
在 中選擇IAM角色 CodeDeploy
在 中建立部署群組資源時 CodeDeploy,您必須選擇要允許 CodeDeploy EC2代表您存取 Amazon 的角色。如果您之前已建立服務角色或服務連結角色, CodeDeploy 會提供您角色清單讓您選擇。請務必選擇允許存取啟動和停止 EC2 執行個體的角色。
