本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS CodeDeploy 如何使用 IAM
使用 IAM 管理 CodeDeploy 的存取權之前,您應該了解哪些 IAM 功能可與 CodeDeploy 搭配使用。如需詳細資訊,請參閱《[AWS IAM 使用者指南》中的使用 IAM 的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。 **
**Topics**
+ [CodeDeploy 身分型政策](#security_iam_service-with-iam-id-based-policies)
+ [CodeDeploy 資源型政策](#security_iam_service-with-iam-resource-based-policies)
+ [以 CodeDeploy 標籤為基礎的授權](#security_iam_service-with-iam-tags)
+ [CodeDeploy IAM 角色](#security_iam_service-with-iam-roles)
## CodeDeploy 身分型政策
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。CodeDeploy 支援動作、資源和條件索引鍵。如需有關您在 JSON 政策中使用的元素的資訊,請參閱《[IAM 使用者指南》中的 IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。 **
### 動作
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
CodeDeploy 中的政策動作在動作之前使用 `codedeploy:`字首。例如,`codedeploy:GetApplication` 許可授予使用者執行 `GetApplication` 操作的許可。政策陳述式必須包含 `Action` 或 `NotAction` 元素。CodeDeploy 會定義自己的一組動作,描述您可以使用此服務執行的任務。
若要在單一陳述式中指定多個動作,請用逗號分隔,如下所示:
```
"Action": [
"codedeploy:action1",
"codedeploy:action2"
```
您也可以使用萬用字元 (\$1) 來指定多個動作。例如,包含以下動作以指定開頭是文字 `Describe` 的所有動作:
```
"Action": "ec2:Describe*"
```
如需 CodeDeploy 動作的清單,請參閱《*IAM 使用者指南*》中的 [定義的動作 AWS CodeDeploy](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscodedeploy.html#awscodedeploy-actions-as-permissions)。
如需列出所有 CodeDeploy API 動作及其適用的資源的資料表,請參閱 [CodeDeploy 許可參考](auth-and-access-control-permissions-reference.md)。
### Resources
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\$1) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
例如,您可以在您的陳述式中使用它的 ARN 指出部署群組(*myDeploymentGroup*),如下所示:
```
"Resource": "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:myApplication/myDeploymentGroup"
```
您也可以使用萬用字元 (\$1) 指定屬於帳戶的所有部署群組,如下所示:
```
"Resource": "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*"
```
若要指定所有資源,或如果 API 動作不支援 ARN,請在 `Resource` 元素中使用萬用字元 (\$1),如下所示:
```
"Resource": "*"
```
有些 CodeDeploy API 動作接受多個資源 (例如 `BatchGetDeploymentGroups`)。若要在單一陳述式中指定多個資源,請用逗號分隔他們的 ARN,如下所示:
```
"Resource": ["arn1", "arn2"]
```
CodeDeploy 提供一組操作,以使用 CodeDeploy 資源。如需可用操作的清單,請參閱 [CodeDeploy 許可參考](auth-and-access-control-permissions-reference.md)。
如需 CodeDeploy 資源類型及其 ARNs 的清單,請參閱《*IAM 使用者指南*》中的 [定義的資源 AWS CodeDeploy](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscodedeploy.html)。如需您可以在其中指定每個資源 ARN 之動作的相關資訊,請參閱[動作定義者 AWS CodeDeploy](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscodedeploy.html#awscodedeploy-actions-as-permissions)。
#### CodeDeploy 資源和操作
在 CodeDeploy 中,主要資源是部署群組。在政策中,您使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。CodeDeploy 支援可與部署群組搭配使用的其他資源,包括應用程式、部署組態和執行個體。這些資源稱為「子資源」。這些資源和子資源各與唯一的 ARN 相關聯。如需詳細資訊,請參閱 中的 [Amazon 資源名稱 (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)*Amazon Web Services 一般參考*。
| Resource Type (資源類型) | ARN 格式 |
| --- | --- |
| 部署群組 | `arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name` |
| 應用程式 | `arn:aws:codedeploy:region:account-id:application:application-name` |
| Deployment configuration (部署組態) | `arn:aws:codedeploy:region:account-id:deploymentconfig:deployment-configuration-name` |
| 執行個體 | `arn:aws:codedeploy:region:account-id:instance/instance-ID` |
| 所有 CodeDeploy 資源 | `arn:aws:codedeploy:*` |
| 指定區域中指定帳戶擁有的所有 CodeDeploy 資源 | `arn:aws:codedeploy:region:account-id:*` |
**注意**
中的大多數服務 AWS 會將冒號 (:) 或正斜線 (/) 視為 ARNs中的相同字元。不過,CodeDeploy 在資源模式和規則中使用完全相符的項目。在建立事件模式時,請務必使用正確的 ARN 字元,使這些字元符合資源中的 ARN 語法。
### 條件索引鍵
CodeDeploy 不提供任何服務特定的條件金鑰,但支援使用某些全域條件金鑰。如需詳細資訊,請參閱《IAM 使用者指南》**中的[AWS 全域條件內容金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
### 範例
若要檢視 CodeDeploy 身分型政策的範例,請參閱 [AWS CodeDeploy 身分型政策範例](security_iam_id-based-policy-examples.md)。
## CodeDeploy 資源型政策
CodeDeploy 不支援以資源為基礎的政策。若要檢視詳細資源型政策頁面的範例,請參閱[使用資源型政策 AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html)。
## 以 CodeDeploy 標籤為基礎的授權
CodeDeploy 不支援標記資源或根據標籤控制存取。
## CodeDeploy IAM 角色
[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您 AWS 帳戶中具有特定許可的實體。
### 搭配 CodeDeploy 使用臨時登入資料
您可以搭配聯合使用暫時憑證、擔任 IAM 角色,或是擔任跨帳戶角色。您可以透過呼叫 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 或 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) 等 AWS STS API 操作來取得臨時安全登入資料。
CodeDeploy 支援使用臨時登入資料。
### 服務連結角色
CodeDeploy 不支援服務連結角色。
### 服務角色
此功能可讓服務代表您擔任[服務角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色可讓服務存取其他服務中的資源,以代表您完成動作。服務角色會出現在您的帳戶中 AWS ,並由該帳戶擁有。這表示使用者可以變更此角色的許可。不過,這樣可能會破壞此服務的功能。
CodeDeploy 支援服務角色。
### 在 CodeDeploy 中選擇 IAM 角色
當您在 CodeDeploy 中建立部署群組資源時,您必須選擇角色,以允許 CodeDeploy 代表您存取 Amazon EC2。如果您先前已建立服務角色或服務連結角色,CodeDeploy 會為您提供可供選擇的角色清單。請務必選擇允許存取啟動和停止 EC2 執行個體的角色。