Referenz für CodeDeploy-Berechtigungen

Verwenden Sie die folgende Tabelle, wenn Sie Zugriffs- und Schreibberechtigungsrichtlinien einrichten, die Sie einer IAM-Identität zuordnen können (identitätsbasierte Richtlinien). In der Tabelle sind alle CodeDeploy API-Operationen, die Aktionen, für die Sie Berechtigungen zur Ausführung der Aktion erteilen können, und das Format des Ressourcen-ARN aufgeführt, der für die Erteilung von Berechtigungen verwendet werden soll. Sie geben die Aktionen im Feld Action der Richtlinie an. Sie geben einen ARN mit oder ohne Platzhalterzeichen (*) als Ressourcenwert im Feld Resource der Richtlinie an.

Sie können in Ihren CodeDeploy Richtlinien AWS Bedingungsschlüssel für alle Bereiche verwenden, um Bedingungen auszudrücken. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie unter Verfügbare Schlüssel im IAM-Benutzerhandbuch.

Um eine Aktion anzugeben, verwenden Sie das Präfix codedeploy: gefolgt vom Namen der API-Operation (z. B. codedeploy:GetApplication und codedeploy:CreateApplication). Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Komma (z. B. "Action": ["codedeploy:action1", "codedeploy:action2"]).

Verwenden von Platzhalterzeichen

Sie können ein Platzhalterzeichen (*) in dem ARN verwenden, um mehrere Aktionen oder Ressourcen anzugeben. codedeploy:*Gibt beispielsweise alle Aktionen an und gibt alle CodeDeploy Aktionen codedeploy:Get* an, die mit dem Wort beginnen. CodeDeploy Get Im folgenden Beispiel wird Zugriff auf alle Bereitstellungsgruppen mit Namen gewährt, die mit West beginnen und im Zusammenhang mit Anwendungen stehen, deren Namen mit Test beginnen.


arn:aws:codedeploy:us-west-2:444455556666:deploymentgroup:Test*/West*

Sie können Platzhalterzeichen für die in der folgenden Tabelle aufgeführten Ressourcen verwenden:

application-name
deployment-group-name
deployment-configuration-name
instance-ID

Platzhalter können nicht mit region oder account-id verwendet werden. Weitere Informationen zu Platzhaltern finden Sie unter IAM Identifiers im Benutzerhandbuch von IAM.

Anmerkung

Im ARN folgt bei jeder Aktion nach der Ressource ein Doppelpunkt (:). Sie können die Ressource auch mit einem Schrägstrich (/) verfolgen. Weitere Informationen finden Sie unter CodeDeployBeispiel-ARNs.

Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.

CodeDeploy API-Operationen und erforderliche Berechtigungen für Aktionen
CodeDeploy API-Operationen	Erforderliche Berechtigungen (API-Aktionen)	Ressourcen
AddTagsToOnPremisesInstances	`codedeploy:AddTagsToOnPremisesInstances` Tags müssen zu einer oder mehreren lokalen Instances hinzugefügt werden.	arn:aws:codedeploy:`region`:`account-id`:instance/`instance-ID`
BatchGetApplicationRevisions	`codedeploy:BatchGetApplicationRevisions` Informationen zu mehreren Anwendungsrevisionen im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
BatchGetApplications	`codedeploy:BatchGetApplications` Informationen zu mehreren Anwendungen im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:application:*
BatchGetDeploymentGroups	`codedeploy:BatchGetDeploymentGroups` Informationen über mehrere Bereitstellungsgruppen im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	`arn:aws:codedeploy: Region: Konto-ID: Bereitstellungsgruppe: Anwendungsname/deployment-group-name`
BatchGetDeploymentInstances	`codedeploy:BatchGetDeploymentInstances` Es müssen Informationen über eine oder mehrere Instances in einer Bereitstellungsgruppe abgerufen werden.	`arn:aws:codedeploy: Region: Konto-ID: Bereitstellungsgruppe: Anwendungsname/deployment-group-name`
BatchGetDeployments	`codedeploy:BatchGetDeployments` Informationen über mehrere Bereitstellungen im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	`arn:aws:codedeploy: Region: Konto-ID: Bereitstellungsgruppe: Anwendungsname/deployment-group-name`
BatchGetOnPremisesInstances	`codedeploy:BatchGetOnPremisesInstances` Informationen über eine oder mehrere lokale Instances müssen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:*
ContinueDeployment	`codedeploy:ContinueDeployment` Erforderlich während einer blauen/grünen Bereitstellung, um den Prozess der Registrierung von Instances in einer Ersatzumgebung mit einem Elastic Load Balancing Load Balancer zu starten.	`arn:aws:codedeploy: region: account-id:deploymentgroup: anwendungsname/deployment-group-name`
CreateApplication	`codedeploy:CreateApplication` Es muss eine Anwendung im Zusammenhang mit dem -Benutzer erstellt werden.	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
CreateDeployment¹	`codedeploy:CreateDeployment` Es muss eine Bereitstellung für eine Anwendung im Zusammenhang mit dem -Benutzer erstellt werden.	`arn:aws:codedeploy: Region: Konto-ID: Bereitstellungsgruppe: Anwendungsname/deployment-group-name`
CreateDeploymentConfig	`codedeploy:CreateDeploymentConfig` Es muss eine benutzerdefinierte Bereitstellungskonfiguration im Zusammenhang mit dem -Benutzer erstellt werden.	arn:aws:codedeploy: `Region`: `Konto-ID: Bereitstellungskonfiguration: deployment-configuration-name`
CreateDeploymentGroup	`codedeploy:CreateDeploymentGroup` Es muss eine Bereitstellungsgruppe für eine Anwendung im Zusammenhang mit dem -Benutzer erstellt werden.	`arn:aws:codedeploy: Region: Konto-ID: Bereitstellungsgruppe: Anwendungsname/deployment-group-name`
DeleteApplication	`codedeploy:DeleteApplication` Es muss eine Anwendung im Zusammenhang mit dem -Benutzer gelöscht werden.	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
DeleteDeploymentConfig	`codedeploy:DeleteDeploymentConfig` Es muss eine benutzerdefinierte Bereitstellungskonfiguration im Zusammenhang mit dem -Benutzer gelöscht werden.	arn:aws:codedeploy: `Region`: `Konto-ID: Bereitstellungskonfiguration: deployment-configuration-name`
DeleteDeploymentGroup	`codedeploy:DeleteDeploymentGroup` Es muss eine Bereitstellungsgruppe für eine Anwendung im Zusammenhang mit dem -Benutzer gelöscht werden.	`arn:aws:codedeploy: Region: Konto-ID: Bereitstellungsgruppe: Anwendungsname/deployment-group-name`
DeregisterOnPremisesInstance	`codedeploy:DeregisterOnPremisesInstance` Eine lokale Instance muss abgemeldet werden.	arn:aws:codedeploy:`region`:`account-id`:instance/`instance-ID`
GetApplication	`codedeploy:GetApplication` Informationen zu einer einzelnen Anwendung im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
GetApplicationRevision	`codedeploy:GetApplicationRevision` Informationen über eine einzelne Anwendungsrevision für eine Anwendung im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
GetDeployment	`codedeploy:GetDeployment` Informationen über eine einzelne Bereitstellung in einer Bereitstellungsgruppe für eine Anwendung im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	`arn:aws:codedeploy: Region: Konto-ID: Bereitstellungsgruppe: Anwendungsname/deployment-group-name`
GetDeploymentConfig	`codedeploy:GetDeploymentConfig` Informationen zu einer einzelnen Bereitstellungskonfiguration im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy: `Region`: `Konto-ID: Bereitstellungskonfiguration: deployment-configuration-name`
GetDeploymentGroup	`codedeploy:GetDeploymentGroup` Informationen über eine einzelne Bereitstellungsgruppe für eine Anwendung im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	`arn:aws:codedeploy: Region: Konto-ID: Bereitstellungsgruppe: Anwendungsname/deployment-group-name`
GetDeploymentInstance	`codedeploy:GetDeploymentInstance` Informationen zu einer einzelnen Instance in einer Bereitstellung im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	`arn:aws:codedeploy: Region: Konto-ID: Bereitstellungsgruppe: Anwendungsname/deployment-group-name`
GetDeploymentTarget	`codedeploy:GetDeploymentTarget` Informationen zu einem Ziel in einer Bereitstellung im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	`arn:aws:codedeploy: Region: Konto-ID: Bereitstellungsgruppe: Anwendungsname/deployment-group-name`
GetOnPremisesInstance	`codedeploy:GetOnPremisesInstance` Informationen über eine einzelne lokale Instance müssen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:instance/`instance-ID`
ListApplicationRevisions	`codedeploy:ListApplicationRevisions` Informationen über alle Anwendungsrevisionen für eine Anwendung im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:application:*
ListApplications	`codedeploy:ListApplications` Informationen zu allen Anwendungen im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:application:*
ListDeploymentConfigs	`codedeploy:ListDeploymentConfigs` Informationen zu allen Bereitstellungskonfiguration im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy: `Region`: `Konto-ID: Bereitstellungskonfiguration: *`
ListDeploymentGroups	`codedeploy:ListDeploymentGroups` Informationen über alle Bereitstellungsgruppen für eine Anwendung im Zusammenhang mit dem -Benutzer müssen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:deploymentgroup:`application-name`/*
ListDeploymentInstances	`codedeploy:ListDeploymentInstances` Erforderlich, um Informationen über alle Instanzen in einer Bereitstellung abzurufen, die dem Benutzer oder Konto zugeordnet sind. AWS	`arn:aws:codedeploy: region: account-id:deploymentgroup: anwendungsname/deployment-group-name`
ListDeployments	`codedeploy:ListDeployments` Erforderlich, um Informationen über alle Bereitstellungen in einer Bereitstellungsgruppe abzurufen, die dem Benutzer zugeordnet ist, oder um alle Bereitstellungen abzurufen, die dem Benutzer zugeordnet sind.	`arn:aws:codedeploy: Region: Konto-ID: Bereitstellungsgruppe: Anwendungsname/deployment-group-name`
ListDeploymentTargets	`codedeploy:ListDeploymentTargets` Erforderlich, um Informationen über alle Ziele in einer Bereitstellung abzurufen, die dem Benutzer zugeordnet sind.	`arn:aws:codedeploy: region: konto-id:deploymentgroup: anwendungsname/deployment-group-name`
ListGitHubAccountTokenNames	`codedeploy:ListGitHubAccountTokenNames` Erforderlich, um eine Liste der Namen der gespeicherten Verbindungen zu Konten abzurufen. GitHub	arn:aws:codedeploy:`region`:`account-id`:*
ListOnPremisesInstances	`codedeploy:ListOnPremisesInstances` Es muss eine Liste einer oder mehrerer Instance-Namen abgerufen werden.	arn:aws:codedeploy:`region`:`account-id`:*
PutLifecycleEventHookExecutionStatus	`codedeploy:PutLifecycleEventHookExecutionStatus` Erforderlich, um eine Benachrichtigung über den Ausführungsstatus eines Lebenszyklus-Hook-Ereignisses bereitzustellen.	`arn:aws:codedeploy: region: konto-id:deploymentgroup: anwendungsname/deployment-group-name`
RegisterApplicationRevision	`codedeploy:RegisterApplicationRevision` Informationen über eine Anwendungsrevision für eine Anwendung im Zusammenhang mit dem -Benutzer müssen registriert werden.	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
RegisterOnPremisesInstance	`codedeploy:RegisterOnPremisesInstance` Erforderlich, um eine lokale Instanz bei zu registrieren. CodeDeploy	arn:aws:codedeploy:`region`:`account-id`:instance/`instance-ID`
RemoveTagsFromOnPremisesInstances	`codedeploy:RemoveTagsFromOnPremisesInstances` Tags müssen aus einer oder mehreren lokalen Instances entfernt werden.	arn:aws:codedeploy:`region`:`account-id`:instance/`instance-ID`
SkipWaitTimeForInstanceTermination	`codedeploy:SkipWaitTimeForInstanceTermination` In einer Blau/Grün-Bereitstellung muss eine angegebene Wartezeit überschrieben, und im Beenden befindliche Instances müssen in der ursprünglichen Umgebung sofort gestartet werden.	arn:aws:codedeploy:`region`:`account-id`:instance/`instance-ID`
StopDeployment	`codedeploy:StopDeployment` Eine laufende Bereitstellung in einer Bereitstellungsgruppe für eine Anwendung im Zusammenhang mit dem -Benutzer muss gestoppt werden.	`arn:aws:codedeploy: Region: Konto-ID: Bereitstellungsgruppe: Anwendungsname/deployment-group-name`
UpdateApplication³	`codedeploy:UpdateApplication` Informationen zu einer Anwendung im Zusammenhang mit dem -Benutzer müssen geändert werden.	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
UpdateDeploymentGroup³	`codedeploy:UpdateDeploymentGroup` Informationen über eine einzelne Bereitstellungsgruppe für eine Anwendung im Zusammenhang mit dem -Benutzer müssen geändert werden.	`arn:aws:codedeploy: Region: Konto-ID: Bereitstellungsgruppe: Anwendungsname/deployment-group-name`
¹ Wenn Sie `CreateDeployment` Berechtigungen angeben, müssen Sie auch Berechtigungen für die Bereitstellungskonfiguration und/oder Berechtigungen für die Anwendungsversion angeben`GetDeploymentConfig`. `GetApplicationRevision` `RegisterApplicationRevision` Wenn Sie den `overrideAlarmConfiguration` Parameter in Ihren `CreateDeployment` API-Aufruf aufnehmen, müssen Sie außerdem die `UpdateDeploymentGroup` Berechtigung angeben. ² Gilt für `ListDeployments` die Angabe einer bestimmten Bereitstellungsgruppe, jedoch nicht für die Auflistung aller Bereitstellungen, die dem Benutzer zugeordnet sind. ³ Für`UpdateApplication`, Sie müssen über `UpdateApplication` Berechtigungen sowohl für den alten als auch für den neuen Anwendungsnamen verfügen. Für `UpdateDeploymentGroup`-Aktionen, bei denen der Name einer Bereitstellungsgruppe geändert werden muss, müssen Sie über `UpdateDeploymentGroup`-Berechtigungen für den alten und den neuen Namen der Bereitstellungsgruppe verfügen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Fehlerbehebung

Serviceübergreifende Confused-Deputy-Prävention