CodePipeline Referenz zu Berechtigungen

Verwenden Sie die folgende Tabelle als Referenz, wenn Sie die Zugriffskontrolle einrichten und Berechtigungsrichtlinien schreiben, die Sie einer IAM-Identität zuordnen können (identitätsbasierte Richtlinien). In der Tabelle sind die einzelnen CodePipeline API-Operationen und die entsprechenden Aktionen aufgeführt, für die Sie Berechtigungen zur Ausführung der Aktion erteilen können. Bei Vorgängen, die Berechtigungen auf Ressourcenebene unterstützen, ist in der Tabelle die AWS Ressource aufgeführt, für die Sie die Berechtigungen erteilen können. Sie geben die Aktionen im Feld Action der Richtlinie an.

Mit Berechtigungen auf Ressourcenebene können Sie angeben, für welche Ressourcen Benutzer Aktionen ausführen dürfen. AWS CodePipeline bietet teilweise Unterstützung für Berechtigungen auf Ressourcenebene. Das bedeutet, dass Sie bei einigen AWS CodePipeline API-Aufrufen steuern können, wann Benutzer diese Aktionen verwenden dürfen, je nachdem, welche Bedingungen erfüllt sein müssen, oder welche Ressourcen Benutzer verwenden dürfen. Beispielsweise können Sie Benutzern die Berechtigung erteilen, Ausführungsinformationen für die Pipeline aufzulisten, dies aber nur für eine oder mehrere bestimmte Pipeline bzw. Pipelines.

Anmerkung

In der Spalte Ressourcen werden die Ressourcen aufgeführt, die für API-Aufrufe erforderlich sind, die Berechtigungen auf Ressourcenebene unterstützen. Bei API-Aufrufen, die keine Berechtigungen auf Ressourcenebene unterstützen, können Sie den Benutzern die Berechtigung zu ihrer Verwendung erteilen, müssen aber für das Ressourcenelement in der Richtlinienanweisung einen Platzhalter (*) einfügen.

CodePipeline API-Operationen und erforderliche Berechtigungen für Aktionen
CodePipeline API-Operationen	Erforderliche Berechtigungen (API-Aktionen)	Ressourcen
AcknowledgeJob	codepipeline:AcknowledgeJob Erforderlich, um Informationen zu einem bestimmten Auftrag anzuzeigen und zu sehen, ob dieser vom Auftragsworker erhalten wurde. Wird nur für benutzerdefinierte Aktionen verwendet.	Unterstützt nur einen Platzhalter (*) im Resource-Richtlinienelement.
AcknowledgeThirdPartyJob	codepipeline:AcknowledgeThirdPartyJob Erforderlich, um zu bestätigen, dass ein Auftragsworker den angegebenen Auftrag erhalten hat. Wird nur für Partneraktionen verwendet.	Unterstützt nur einen Platzhalter (*) im Resource-Richtlinienelement.
CreateCustomActionType	codepipeline:CreateCustomActionType Erforderlich, um eine benutzerdefinierte Aktion zu erstellen, die in allen mit dem AWS Konto verknüpften Pipelines verwendet werden kann. Wird nur für benutzerdefinierte Aktionen verwendet.	Aktionstyp arn:aws:codepipeline:region:account:actiontype:owner/category/provider/version
CreatePipeline	codepipeline:CreatePipeline Erforderlich zum Erstellen einer Pipeline	Pipeline arn:aws:codepipeline:region:account:pipeline-name
DeleteCustomActionType	codepipeline:DeleteCustomActionType Erforderlich, um eine benutzerdefinierte Aktion als gelöscht zu markieren. PollForJobs für die benutzerdefinierte Aktion schlägt fehl, nachdem die Aktion zum Löschen markiert wurde. Wird nur für benutzerdefinierte Aktionen verwendet.	Aktionstyp arn:aws:codepipeline:region:account:actiontype:owner/category/provider/version
DeletePipeline	codepipeline:DeletePipeline Erforderlich zum Löschen einer Pipeline	Pipeline arn:aws:codepipeline:region:account:pipeline-name
DeleteWebhook	codepipeline:DeleteWebhook Erforderlich zum Löschen eines Webhooks.	Webhook arn:aws:codepipeline:region:account:webhook:webhook-name
DeregisterWebhookWithThirdParty	codepipeline:DeregisterWebhookWithThirdParty Bevor ein Webhook gelöscht wird, muss die Verbindung zwischen dem Webhook, der von erstellt wurde, CodePipeline und dem externen Tool, dessen Ereignisse erkannt werden sollen, entfernt werden. Wird derzeit nur für Webhooks unterstützt, die auf einen Aktionstyp von abzielen. GitHub	Webhook arn:aws:codepipeline:region:account:webhook:webhook-name
DisableStageTransition	codepipeline:DisableStageTransition Erforderlich, um zu verhindern, dass Artefakte in einer Pipeline zur nächsten Stufe übergehen	Pipeline arn:aws:codepipeline:region:account:pipeline-name
EnableStageTransition	codepipeline:EnableStageTransition Erforderlich, um Artefakten in einer Pipeline zu ermöglichen, zur einer Stufe in einer Pipeline überzugehen	Pipeline arn:aws:codepipeline:region:account:pipeline-name
GetJobDetails	codepipeline:GetJobDetails Erforderlich zum Abrufen von Informationen zu einem Auftrag. Wird nur für benutzerdefinierte Aktionen verwendet.	Keine Ressource erforderlich.
GetPipeline	codepipeline:GetPipeline Erforderlich zum Abrufen von Struktur, Phasen, Aktionen und Metadaten einer Pipeline einschließlich des Pipeline-ARN.	Pipeline arn:aws:codepipeline:region:account:pipeline-name
GetPipelineExecution	codepipeline:GetPipelineExecution Erforderlich zum Abrufen von Informationen zu einer Ausführung einer Pipeline, einschließlich Details zu Artefakten, Pipeline-Ausführungs-ID und Name, Version und Status der Pipeline	Pipeline arn:aws:codepipeline:region:account:pipeline-name
GetPipelineState	codepipeline:GetPipelineState Erforderlich zum Abrufen von Informationen zum Zustand einer Pipeline, einschließlich Stufen und Aktionen	Pipeline arn:aws:codepipeline:region:account:pipeline-name
GetThirdPartyJobDetails	codepipeline:GetThirdPartyJobDetails Erforderlich zum Abfragen der Details eines Auftrags für eine Drittanbieter-Aktion. Wird nur für Partneraktionen verwendet.	Unterstützt nur einen Platzhalter (*) im Resource-Richtlinienelement.
ListActionExecutions	codepipeline:ListActionExecutions Erforderlich, um eine Zusammenfassung aller Ausführungen für eine Aktion zu generieren.	Pipeline arn:aws:codepipeline:region:account:pipeline-name
ListActionTypes	codepipeline:ListActionTypes Erforderlich, um eine Zusammenfassung aller mit Ihrem Konto verknüpften CodePipeline Aktionstypen zu generieren.	Unterstützt nur einen Platzhalter (*) im Resource-Richtlinienelement.
ListPipelineExecutions	codepipeline:ListPipelineExecutions Erforderlich, um eine Zusammenfassung der neuesten Ausführungen für eine Pipeline zu generieren.	Pipeline arn:aws:codepipeline:region:account:pipeline-name
ListPipelines	codepipeline:ListPipelines Erforderlich, um eine Übersicht aller Pipelines zu generieren, die mit Ihrem Konto verknüpft sind.	Pipeline-ARN mit Platzhalter (Berechtigungen auf Ressourcenebene auf der Ebene des Pipeline-Namens werden nicht unterstützt) arn:aws:codepipeline:region:account:*
ListTagsForResource	codepipeline:ListTagsForResource Erforderlich, um Tags für eine angegebene Ressource aufzulisten. Ressourcen sind optional.	Aktionstyp arn:aws:codepipeline:region:account:actiontype:owner/category/provider/version
		Pipeline arn:aws:codepipeline:region:account:pipeline-name
		Webhook arn:aws:codepipeline:region:account:webhook:webhook-name
ListWebhooks	codepipeline:ListWebhooks Erforderlich zum Auflisten aller Webhooks im Konto für diese Region.	Webhook arn:aws:codepipeline:region:account:webhook:webhook-name
PollForJobs	codepipeline:PollForJobs Erforderlich zum Auflisten aller Webhooks in der Region für dieses Konto.	Aktionstyp arn:aws:codepipeline:region:account:actiontype:owner/category/provider/version
PollForThirdPartyJobs	codepipeline:PollForThirdPartyJobs Erforderlich, um zu bestimmen, ob es Drittanbieter-Aufträge gibt, für die ein Auftragsworker agiert. Wird nur für Partneraktionen verwendet.	Unterstützt nur einen Platzhalter (*) im Resource-Richtlinienelement.
PutActionRevision	codepipeline:PutActionRevision Erforderlich, um Informationen CodePipeline über neue Revisionen an eine Quelle zu melden	Aktion arn:aws:codepipeline:region:account:pipeline-name/stage-name/action-name
PutApprovalResult	codepipeline:PutApprovalResult Erforderlich, um die Antwort auf eine manuelle Genehmigungsanfrage an zu CodePipeline melden. Gültige Antworten sind Approved und Rejected.	Aktion arn:aws:codepipeline:region:account:pipeline-name/stage-name/action-name Anmerkung Dieser API-Aufruf unterstützt Berechtigungen auf Ressourcenebene. Es kann jedoch ein Fehler auftreten, wenn Sie die IAM-Konsole oder den Policy Generator nutzen, um Richtlinien mit "codepipeline:PutApprovalResult" zu erstellen, die einen Ressourcen-ARN angeben. Wenn ein Fehler auftritt, können Sie auf der JSON-Registerkarte in der IAM-Konsole oder mit der CLI eine Richtlinie erstellen.
PutJobFailureResult	codepipeline:PutJobFailureResult Erforderlich zum Melden des Scheiterns eines Auftrags, wie von einem Auftragsworker an die Pipeline zurückgegeben. Wird nur für benutzerdefinierte Aktionen verwendet.	Unterstützt nur einen Platzhalter (*) im Resource-Richtlinienelement.
PutJobSuccessResult	codepipeline:PutJobSuccessResult Erforderlich zum Melden des Erfolgs eines Auftrags, wie von einem Auftragsworker an die Pipeline zurückgegeben. Wird nur für benutzerdefinierte Aktionen verwendet.	Unterstützt nur einen Platzhalter (*) im Resource-Richtlinienelement.
PutThirdPartyJobFailureResult	codepipeline:PutThirdPartyJobFailureResult Erforderlich zum Melden des Scheiterns eines Drittanbieter-Auftrags, wie von einem Auftragsworker an die Pipeline zurückgegeben. Wird nur für Partneraktionen verwendet.	Unterstützt nur einen Platzhalter (*) im Resource-Richtlinienelement.
PutThirdPartyJobSuccessResult	codepipeline:PutThirdPartyJobSuccessResult Erforderlich zum Melden des Erfolgs eines Drittanbieter-Auftrags, wie von einem Auftragsworker an die Pipeline zurückgegeben. Wird nur für Partneraktionen verwendet.	Unterstützt nur einen Platzhalter (*) im Resource-Richtlinienelement.
PutWebhook	codepipeline:PutWebhook Erforderlich zum Erstellen eines Webhooks.	Pipeline arn:aws:codepipeline:region:account:pipeline-name
		Webhook arn:aws:codepipeline:region:account:webhook:webhook-name
RegisterWebhookWithThirdParty	codepipeline:RegisterWebhookWithThirdParty Nachdem ein Webhook erstellt wurde, müssen die unterstützten Drittanbieter konfiguriert werden, um die generierte Webhook-URL aufzurufen.	Webhook arn:aws:codepipeline:region:account:webhook:webhook-name
RetryStageExecution	codepipeline:RetryStageExecution Erforderlich zum Wiederaufnehmen der Pipeline-Ausführung durch Wiederholen der letzten fehlgeschlagenen Aktionen in einer Stufe.	Pipeline arn:aws:codepipeline:region:account:pipeline-name/stage-name
StartPipelineExecution	codepipeline:StartPipelineExecution Erforderlich, um die angegebene Pipeline zu starten (insbesondere, um mit der Verarbeitung des letzten Commits an den Quellspeicherort zu beginnen, der als Teil der Pipeline angegeben wurde).	Pipeline arn:aws:codepipeline:region:account:pipeline-name
StopPipelineExecution	codepipeline:StopPipelineExecution Erforderlich, um die angegebene Pipeline-Ausführung zu beenden. Sie können entweder die Pipeline-Ausführung beenden, indem Sie laufende Aktionen ausführen, ohne nachfolgende Aktionen zu starten, oder indem Sie laufende Aktionen abbrechen.	Pipeline arn:aws:codepipeline:region:account:pipeline-name
TagResource	codepipeline:TagResource Erforderlich, um die angegebene Ressource zu markieren. Ressourcen sind optional.	Aktionstyp arn:aws:codepipeline:region:account:actiontype:owner/category/provider/version
		Pipeline arn:aws:codepipeline:region:account:pipeline-name
		Webhook arn:aws:codepipeline:region:account:webhook:webhook-name
UntagResource	codepipeline:UntagResource Erforderlich, um das Tag der angegebenen Ressource zu entfernen. Ressourcen sind optional.	Aktionstyp arn:aws:codepipeline:region:account:actiontype:owner/category/provider/version
		Pipeline arn:aws:codepipeline:region:account:pipeline-name
		Webhook arn:aws:codepipeline:region:account:webhook:webhook-name
UpdatePipeline	codepipeline:UpdatePipeline Erforderlich zum Aktualisieren einer angegebenen Pipeline mit Bearbeitungen oder Änderungen an seiner Struktur.	Pipeline arn:aws:codepipeline:region:account:pipeline-name