Referenz für CodeDeploy-Berechtigungen

Verwenden Sie die folgende Tabelle, wenn Sie Zugriff einrichten und Berechtigungsrichtlinien verfassen, die Sie einer IAM-Identität anfügen können (identitätsbasierte Richtlinien). Die Tabelle listet jede CodeDeploy API-Operation, die Aktionen, für die Sie Berechtigungen zum Ausführen der Aktion erteilen können, und das Format des Ressourcen-ARN auf, der zum Erteilen von Berechtigungen verwendet werden soll. Sie geben die Aktionen im Feld Action der Richtlinie an. Sie geben einen ARN mit oder ohne Platzhalterzeichen (*) als Ressourcenwert im Feld Resource der Richtlinie an.

Sie können AWS-weite Bedingungsschlüssel in Ihren CodeDeploy Richtlinien verwenden, um Bedingungen auszudrücken. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie unter Verfügbare Schlüssel im IAM-Benutzerhandbuch.

Um eine Aktion anzugeben, verwenden Sie das Präfix codedeploy: gefolgt vom Namen der API-Operation (z. B. codedeploy:GetApplication und codedeploy:CreateApplication). Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Komma (z. B. "Action": ["codedeploy:action1", "codedeploy:action2"]).

Verwenden von Platzhalterzeichen

Sie können ein Platzhalterzeichen (*) in dem ARN verwenden, um mehrere Aktionen oder Ressourcen anzugeben. Beispielsweise codedeploy:* gibt alle CodeDeploy Aktionen und alle CodeDeploy Aktionen codedeploy:Get* an, die mit dem Wort beginnenGet. Im folgenden Beispiel wird Zugriff auf alle Bereitstellungsgruppen mit Namen gewährt, die mit West beginnen und im Zusammenhang mit Anwendungen stehen, deren Namen mit Test beginnen.


arn:aws:codedeploy:us-west-2:444455556666:deploymentgroup:Test*/West*

Sie können Platzhalterzeichen für die in der folgenden Tabelle aufgeführten Ressourcen verwenden:

application-name
deployment-group-name
deployment-configuration-name
instance-ID

Platzhalter können nicht mit region oder account-id verwendet werden. Weitere Informationen zu Platzhaltern finden Sie unter IAM Identifiers im Benutzerhandbuch von IAM.

Anmerkung

Im ARN folgt bei jeder Aktion nach der Ressource ein Doppelpunkt (:). Sie können die Ressource auch mit einem Schrägstrich (/) verfolgen. Weitere Informationen finden Sie unter CodeDeploy Beispiel-ARNs .

Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.

CodeDeploy API-Operationen und erforderliche Berechtigungen für Aktionen
CodeDeploy API-Operationen	Erforderliche Berechtigungen (API-Aktionen)	Ressourcen
AddTagsToOnPremisesInstances	`codedeploy:AddTagsToOnPremisesInstances` Tags müssen zu einer oder mehreren lokalen Instances hinzugefügt werden.	arn:aws:codedeploy:`region`:`account-id`:instance/`instance-ID`
BatchGetApplicationRevisions	`codedeploy:BatchGetApplicationRevisions` Informationen zu mehreren Anwendungsrevisionen im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
BatchGetApplications	`codedeploy:BatchGetApplications` Informationen zu mehreren Anwendungen im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:application:*
BatchGetDeploymentGroups	`codedeploy:BatchGetDeploymentGroups` Informationen über mehrere Bereitstellungsgruppen im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region` :`account-id` :deploymentgroup:`application-name` /`deployment-group-name`
BatchGetDeploymentInstances	`codedeploy:BatchGetDeploymentInstances` Es müssen Informationen über eine oder mehrere Instances in einer Bereitstellungsgruppe abgerufen werden.	arn:aws:codedeploy:`region` :`account-id` :deploymentgroup:`application-name` /`deployment-group-name`
BatchGetDeployments	`codedeploy:BatchGetDeployments` Informationen über mehrere Bereitstellungen im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region` :`account-id` :deploymentgroup:`application-name` /`deployment-group-name`
BatchGetOnPremisesInstances	`codedeploy:BatchGetOnPremisesInstances` Informationen über eine oder mehrere lokale Instances müssen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:*
ContinueDeployment	`codedeploy:ContinueDeployment` Erforderlich während einer Blau/Grün-Bereitstellung, um mit der Registrierung von Instances in einer Ersatzumgebung mit einem Elastic Load Balancing Load Balancer zu beginnen.	arn:aws:codedeploy:`region` :`account-id` :deploymentgroup:`application-name` /`deployment-group-name`
CreateApplication	`codedeploy:CreateApplication` Es muss eine Anwendung im Zusammenhang mit dem -Benutzer erstellt werden.	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
CreateDeployment 1	`codedeploy:CreateDeployment` Es muss eine Bereitstellung für eine Anwendung im Zusammenhang mit dem -Benutzer erstellt werden.	arn:aws:codedeploy:`region` :`account-id` :deploymentgroup:`application-name` /`deployment-group-name`
CreateDeploymentConfig	`codedeploy:CreateDeploymentConfig` Es muss eine benutzerdefinierte Bereitstellungskonfiguration im Zusammenhang mit dem -Benutzer erstellt werden.	arn:aws:codedeploy:`region` :`account-id` :deploymentconfig:`deployment-configuration-name`
CreateDeploymentGroup	`codedeploy:CreateDeploymentGroup` Es muss eine Bereitstellungsgruppe für eine Anwendung im Zusammenhang mit dem -Benutzer erstellt werden.	arn:aws:codedeploy:`region` :`account-id` :deploymentgroup:`application-name` /`deployment-group-name`
DeleteApplication	`codedeploy:DeleteApplication` Es muss eine Anwendung im Zusammenhang mit dem -Benutzer gelöscht werden.	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
DeleteDeploymentConfig	`codedeploy:DeleteDeploymentConfig` Es muss eine benutzerdefinierte Bereitstellungskonfiguration im Zusammenhang mit dem -Benutzer gelöscht werden.	arn:aws:codedeploy:`region` :`account-id` :deploymentconfig:`deployment-configuration-name`
DeleteDeploymentGroup	`codedeploy:DeleteDeploymentGroup` Es muss eine Bereitstellungsgruppe für eine Anwendung im Zusammenhang mit dem -Benutzer gelöscht werden.	arn:aws:codedeploy:`region` :`account-id` :deploymentgroup:`application-name` /`deployment-group-name`
DeregisterOnPremisesInstance	`codedeploy:DeregisterOnPremisesInstance` Eine lokale Instance muss abgemeldet werden.	arn:aws:codedeploy:`region`:`account-id`:instance/`instance-ID`
GetApplication	`codedeploy:GetApplication` Informationen zu einer einzelnen Anwendung im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
GetApplicationRevision	`codedeploy:GetApplicationRevision` Informationen über eine einzelne Anwendungsrevision für eine Anwendung im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
GetDeployment	`codedeploy:GetDeployment` Informationen über eine einzelne Bereitstellung in einer Bereitstellungsgruppe für eine Anwendung im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region` :`account-id` :deploymentgroup:`application-name` /`deployment-group-name`
GetDeploymentConfig	`codedeploy:GetDeploymentConfig` Informationen zu einer einzelnen Bereitstellungskonfiguration im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region` :`account-id` :deploymentconfig:`deployment-configuration-name`
GetDeploymentGroup	`codedeploy:GetDeploymentGroup` Informationen über eine einzelne Bereitstellungsgruppe für eine Anwendung im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region` :`account-id` :deploymentgroup:`application-name` /`deployment-group-name`
GetDeploymentInstance	`codedeploy:GetDeploymentInstance` Informationen zu einer einzelnen Instance in einer Bereitstellung im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region` :`account-id` :deploymentgroup:`application-name` /`deployment-group-name`
GetDeploymentTarget	`codedeploy:GetDeploymentTarget` Informationen zu einem Ziel in einer Bereitstellung im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region` :`account-id` :deploymentgroup:`application-name` /`deployment-group-name`
GetOnPremisesInstance	`codedeploy:GetOnPremisesInstance` Informationen über eine einzelne lokale Instance müssen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:instance/`instance-ID`
ListApplicationRevisions	`codedeploy:ListApplicationRevisions` Informationen über alle Anwendungsrevisionen für eine Anwendung im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:application:*
ListApplications	`codedeploy:ListApplications` Informationen zu allen Anwendungen im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:application:*
ListDeploymentConfigs	`codedeploy:ListDeploymentConfigs` Informationen zu allen Bereitstellungskonfiguration im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region` :`account-id` :deploymentconfig:*
ListDeploymentGroups	`codedeploy:ListDeploymentGroups` Informationen über alle Bereitstellungsgruppen für eine Anwendung im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:deploymentgroup:`application-name`/*
ListDeploymentInstances	`codedeploy:ListDeploymentInstances` Erforderlich, um Informationen über alle Instances in einer Bereitstellung abzurufen, die dem Benutzer oder AWS Konto zugeordnet ist.	arn:aws:codedeploy:`region` :`account-id` :deploymentgroup:`application-name` /`deployment-group-name`
ListDeployments	`codedeploy:ListDeployments` Erforderlich, um Informationen zu allen Bereitstellungen für eine dem Benutzer zugeordnete Bereitstellungsgruppe abzurufen, oder um alle dem Benutzer zugeordneten Bereitstellungen abzurufen.	arn:aws:codedeploy:`region` :`account-id` :deploymentgroup:`application-name` /`deployment-group-name`
ListDeploymentTargets	`codedeploy:ListDeploymentTargets` Erforderlich, um Informationen über alle Ziele in einer dem Benutzer zugeordneten Bereitstellung abzurufen.	arn:aws:codedeploy:`region` :`account-id` :deploymentgroup:`application-name` /`deployment-group-name`
ListGitHubAccountTokenNames	`codedeploy:ListGitHubAccountTokenNames` Erforderlich, um eine Liste der Namen gespeicherter Verbindungen zu GitHub Konten abzurufen.	arn:aws:codedeploy:`region`:`account-id`:*
ListOnPremisesInstances	`codedeploy:ListOnPremisesInstances` Es muss eine Liste einer oder mehrerer Instance-Namen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:*
PutLifecycleEventHookExecutionStatus	`codedeploy:PutLifecycleEventHookExecutionStatus` Erforderlich, um eine Benachrichtigung über den Ausführungsstatus eines Lebenszyklus-Hook-Ereignisses bereitzustellen.	arn:aws:codedeploy:`region` :`account-id` :deploymentgroup:`application-name` /`deployment-group-name`
RegisterApplicationRevision	`codedeploy:RegisterApplicationRevision` Informationen über eine Anwendungsrevision für eine Anwendung im Zusammenhang mit dem -Benutzer müssen registriert werden.	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
RegisterOnPremisesInstance	`codedeploy:RegisterOnPremisesInstance` Es muss eine lokale Instance bei CodeDeploy registriert werden.	arn:aws:codedeploy:`region`:`account-id`:instance/`instance-ID`
RemoveTagsFromOnPremisesInstances	`codedeploy:RemoveTagsFromOnPremisesInstances` Tags müssen aus einer oder mehreren lokalen Instances entfernt werden.	arn:aws:codedeploy:`region`:`account-id`:instance/`instance-ID`
SkipWaitTimeForInstanceTermination	`codedeploy:SkipWaitTimeForInstanceTermination` In einer Blau/Grün-Bereitstellung muss eine angegebene Wartezeit überschrieben, und im Beenden befindliche Instances müssen in der ursprünglichen Umgebung sofort gestartet werden.	arn:aws:codedeploy:`region`:`account-id`:instance/`instance-ID`
StopDeployment	`codedeploy:StopDeployment` Eine laufende Bereitstellung in einer Bereitstellungsgruppe für eine Anwendung im Zusammenhang mit dem -Benutzer muss gestoppt werden.	arn:aws:codedeploy:`region` :`account-id` :deploymentgroup:`application-name` /`deployment-group-name`
UpdateApplication 3	`codedeploy:UpdateApplication` Informationen zu einer Anwendung im Zusammenhang mit dem -Benutzer müssen geändert werden.	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
UpdateDeploymentGroup 3	`codedeploy:UpdateDeploymentGroup` Informationen über eine einzelne Bereitstellungsgruppe für eine Anwendung im Zusammenhang mit dem -Benutzer müssen geändert werden.	arn:aws:codedeploy:`region` :`account-id` :deploymentgroup:`application-name` /`deployment-group-name`
1 Wenn Sie `CreateDeployment` Berechtigungen angeben, müssen Sie auch `GetDeploymentConfig` Berechtigungen für die Bereitstellungskonfiguration und`GetApplicationRevision`/oder `RegisterApplicationRevision` Berechtigungen für die Anwendungsrevision angeben. Wenn Sie den `overrideAlarmConfiguration` Parameter in Ihren `CreateDeployment` API-Aufruf aufnehmen, müssen Sie außerdem die -`UpdateDeploymentGroup`Berechtigung angeben. 2 Gültig für `ListDeployments` bei der Bereitstellung einer bestimmten Bereitstellungsgruppe, aber nicht für die Auflistung aller dem Benutzer zugeordneten Bereitstellungen. 3 Für müssen `UpdateApplication`Sie über `UpdateApplication` Berechtigungen sowohl für den alten als auch für den neuen Anwendungsnamen verfügen. Für `UpdateDeploymentGroup`-Aktionen, bei denen der Name einer Bereitstellungsgruppe geändert werden muss, müssen Sie über `UpdateDeploymentGroup`-Berechtigungen für den alten und den neuen Namen der Bereitstellungsgruppe verfügen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Fehlerbehebung

Serviceübergreifende Confused-Deputy-Prävention