Schritt 3: Beschränken Sie die CodeDeploy Benutzerberechtigungen

Aus Sicherheitsgründen empfehlen wir, die Berechtigungen des Administratorbenutzers, den Sie erstellt haben, auf diejenigen Schritt 1: Einrichtung zu beschränken, die zum Erstellen und Verwalten von Bereitstellungen in CodeDeploy erforderlich sind.

Verwenden Sie die folgenden Verfahren, um die Berechtigungen des CodeDeploy Administratorbenutzers einzuschränken.

Bevor Sie beginnen

• Stellen Sie sicher, dass Sie in IAM Identity Center einen CodeDeploy Administratorbenutzer erstellt haben, indem Sie den Anweisungen unter folgen. Schritt 1: Einrichtung

So erstellen Sie einen Berechtigungssatz

Sie weisen diesen Berechtigungssatz später dem CodeDeploy Administratorbenutzer zu.

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS IAM Identity Center Konsole unter https://console.aws.amazon.com/singlesignon/.

2. Wählen Sie im Navigationsbereich die Option Berechtigungssätze und dann Berechtigungssatz erstellen aus.

3. Wählen Sie Benutzerdefinierter Berechtigungssatz aus.

4. Wählen Sie Weiter aus.

5. Wählen Sie Inline-Richtlinie.

6. Entfernen Sie den Beispielcode.

7. Fügen Sie den folgenden Richtliniencode hinzu:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "CodeDeployAccessPolicy",
         "Effect": "Allow",
         "Action": [
           "autoscaling:*",
           "codedeploy:*",
           "ec2:*",
           "lambda:*",
           "ecs:*",
           "elasticloadbalancing:*",
           "iam:AddRoleToInstanceProfile",
           "iam:AttachRolePolicy",
           "iam:CreateInstanceProfile",
           "iam:CreateRole",
           "iam:DeleteInstanceProfile",
           "iam:DeleteRole",
           "iam:DeleteRolePolicy",
           "iam:GetInstanceProfile",
           "iam:GetRole",
           "iam:GetRolePolicy",
           "iam:ListInstanceProfilesForRole",
           "iam:ListRolePolicies",
           "iam:ListRoles",
           "iam:PutRolePolicy",
           "iam:RemoveRoleFromInstanceProfile",
           "s3:*",
           "ssm:*"
         ],
         "Resource": "*"
       },
       {
         "Sid": "CodeDeployRolePolicy",
         "Effect": "Allow",
         "Action": [
           "iam:PassRole"
         ],
         "Resource": "arn:aws:iam::account-ID:role/CodeDeployServiceRole"
       }
     ]
   }

   Ersetzen Sie in dieser Richtlinie arn:aws:iam: :Account-ID:Role/ CodeDeployServiceRole durch den ARN-Wert der Servicerolle, in der Sie erstellt haben. CodeDeploy Schritt 2: Erstellen Sie eine Servicerolle für CodeDeploy Sie finden den ARN-Wert auf der Detailseite der Servicerolle in der IAM-Konsole.

   Mit der obigen Richtlinie können Sie eine Anwendung auf einer AWS Lambda-Rechenplattform, einer EC2/lokalen Rechenplattform und einer Amazon ECS-Rechenplattform bereitstellen.

   Sie können die in dieser Dokumentation bereitgestellten AWS CloudFormation Vorlagen verwenden, um Amazon EC2 EC2-Instances zu starten, die kompatibel sind mit CodeDeploy. Um AWS CloudFormation Vorlagen zum Erstellen von Anwendungen, Bereitstellungsgruppen oder Bereitstellungskonfigurationen zu verwenden, müssen Sie Zugriff auf AWS CloudFormation— und AWS Dienste und Aktionen, die AWS CloudFormation davon abhängen — gewähren, indem Sie die cloudformation:* entsprechende Berechtigung zur Berechtigungsrichtlinie des CodeDeploy Administratorbenutzers hinzufügen, etwa wie folgt:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           ...
           "cloudformation:*"        
         ],
         "Resource": "*"
       }
     ]
   }

8. Wählen Sie Weiter aus.

9. Geben Sie im Feld Name des Berechtigungssatzes Folgendes ein:

   CodeDeployUserPermissionSet

10. Wählen Sie Weiter aus.

11. Überprüfen Sie auf der Seite Überprüfen und erstellen die Informationen und wählen Sie Erstellen aus.

Um den Berechtigungssatz dem CodeDeploy Administratorbenutzer zuzuweisen

1. Wählen Sie im Navigationsbereich das Kontrollkästchen neben dem aus AWS-Konten, bei dem Sie derzeit angemeldet sind AWS-Konto , und aktivieren Sie es anschließend.

2. Wählen Sie die Schaltfläche Benutzer oder Gruppen zuweisen.

3. Wählen Sie die Registerkarte Users.

4. Aktivieren Sie das Kontrollkästchen neben dem Benutzer mit CodeDeploy Administratorrechten.

5. Wählen Sie Weiter aus.

6. Aktivieren Sie das Kontrollkästchen nebenCodeDeployUserPermissionSet.

7. Wählen Sie Weiter aus.

8. Überprüfen Sie die Informationen und wählen Sie Senden aus.

   Sie haben nun den CodeDeploy administrativen Benutzer CodeDeployUserPermissionSet zugewiesen und diese miteinander verknüpft. AWS-Konto

Um sich ab- und wieder als CodeDeploy Administratorbenutzer anzumelden

1. Bevor Sie sich abmelden, stellen Sie sicher, dass Sie die URL des AWS Zugriffsportals sowie den Benutzernamen und das Einmalkennwort für den CodeDeploy Administratorbenutzer haben.

   Anmerkung

   Wenn Sie diese Informationen nicht haben, rufen Sie die Seite mit den CodeDeploy administrativen Benutzerdetails im IAM Identity Center auf und wählen Sie Passwort zurücksetzen, Einmalpasswort generieren [...] , und setzen Sie das Passwort erneut zurück, um die Informationen auf dem Bildschirm anzuzeigen.

2. Melden Sie sich ab AWS.

3. Fügen Sie die URL des AWS Zugangsportals in die Adressleiste Ihres Browsers ein.

4. Melden Sie sich als CodeDeploy administrativer Benutzer an.

   Auf dem AWS-KontoBildschirm erscheint ein Feld.

5. Wählen Sie AWS-Kontound wählen Sie dann den Namen des Benutzers, AWS-Konto dem Sie den CodeDeploy Administratorbenutzer und den Berechtigungssatz zugewiesen haben.

6. Wählen Sie neben dem die CodeDeployUserPermissionSet Option Verwaltungskonsole aus.

   Das AWS Management Console erscheint. Sie sind jetzt als CodeDeploy administrativer Benutzer mit eingeschränkten Rechten angemeldet. Sie können jetzt verwandte CodeDeploy und nur verwandte Operationen CodeDeploy als dieser Benutzer ausführen.