Erstellen Sie eine Pipeline CodePipeline , in der Ressourcen von einem anderen AWS Konto verwendet werden - AWS CodePipeline
Voraussetzung: Erstellen eines AWS KMS -VerschlüsselungsschlüsselsSchritt 1: Einrichten von Kontorichtlinien und RollenSchritt 2: Bearbeiten der Pipeline

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie eine Pipeline CodePipeline , in der Ressourcen von einem anderen AWS Konto verwendet werden

Sie möchten möglicherweise eine Pipeline erstellen, die Ressourcen verwendet, die von einem anderen AWS -Konto erstellt oder verwaltet werden. Möglicherweise möchten Sie beispielsweise ein Konto für Ihre Pipeline und ein anderes für Ihre CodeDeploy Ressourcen verwenden.

Anmerkung

Beim Erstellen einer Pipeline mit Aktionen aus mehreren Konten müssen Sie Ihre Aktionen so konfigurieren, dass mit ihnen innerhalb der Einschränkungen von kontoübergreifenden Pipelines weiterhin auf Artefakte zugegriffen werden kann. Die folgenden Einschränkungen gelten für kontoübergreifende Aktionen:

  • Im Allgemeinen kann eine Aktion nur ein Artefakt verbrauchen, wenn:

    • Die Aktion befindet sich im selben Konto wie das Pipeline-Konto ODER

    • das Artefakt im Pipeline-Konto für eine Aktion in einem anderen Konto erstellt wurde ODER

    • Das Artefakt wurde durch eine frühere Aktion im selben Konto wie die Aktion erzeugt

    Anders gesagt, ist es nicht möglich, ein Artefakt von einem Konto an ein anderes Konto zu übergeben, wenn keines der Konten ein Pipeline-Konto ist.

  • Für die folgenden Aktionstrypen werden keine kontoübergreifenden Aktionen unterstützt:

    • Jenkins-Build-Aktionen

In diesem Beispiel müssen Sie einen zu verwendenden Schlüssel AWS Key Management Service (AWS KMS) erstellen, den Schlüssel zur Pipeline hinzufügen und Kontorichtlinien und Rollen einrichten, um den kontoübergreifenden Zugriff zu ermöglichen. Für einen AWS KMS-Schlüssel können Sie die Schlüssel-ID, den Schlüssel-ARN oder den Alias-ARN verwenden.

Anmerkung

Aliase werden nur in dem Konto erkannt, das den KMS-Schlüssel erstellt hat. Für kontoübergreifende Aktionen können Sie zum Identifizieren des Schlüssels nur die Schlüssel-ID oder den Schlüssel-ARN vewenden. Bei kontoübergreifenden Aktionen wird die Rolle des anderen Kontos (AccountB) verwendet, sodass bei Angabe der Schlüssel-ID der Schlüssel des anderen Kontos (AccountB) verwendet wird.

In dieser Anleitung und den entsprechenden Beispielen ist AccountA das Konto, das ursprünglich zur Erstellung der Pipeline verwendet wurde. Es hat Zugriff auf den Amazon S3 S3-Bucket, der zum Speichern von Pipeline-Artefakten verwendet wird, und auf die Servicerolle, die von verwendet wird AWS CodePipeline. AccountB ist das Konto, mit dem ursprünglich die CodeDeploy Anwendung, die Bereitstellungsgruppe und die Servicerolle erstellt wurden, die von verwendet wurden CodeDeploy.

Damit AccountA eine Pipeline bearbeiten kann, um die von AccountB erstellte CodeDeploy Anwendung zu verwenden, muss AccountA:

  • Die ARN oder Konto-ID von AccountB anfordern (in dieser Anleitung ist die ID von AccountB 012ID_ACCOUNT_B).

  • Erstellen oder verwenden Sie einen vom AWS KMS Kunden verwalteten Schlüssel in der Region für die Pipeline und gewähren Sie der Servicerolle (CodePipeline_Service_Role) und AccountB Berechtigungen zur Verwendung dieses Schlüssels.

  • Erstellen Sie eine Amazon S3 S3-Bucket-Richtlinie, die AccountB Zugriff auf den Amazon S3 S3-Bucket gewährt (z. B. codepipeline-us-east-2-1234567890).

  • Erstellen Sie eine Richtlinie, die es AccountA ermöglicht, eine von AccountB konfigurierte Rolle anzunehmen, und fügen Sie diese Richtlinie der Servicerolle (CodePipeline_Service_Role) hinzu.

  • Bearbeiten Sie die Pipeline so, dass der vom Kunden verwaltete AWS KMS Schlüssel anstelle des Standardschlüssels verwendet wird.

Damit AccountB einer in AccountA erstellten Pipeline Zugriff auf seine Ressourcen gestattet, muss AccountB:

  • Die ARN oder Konto-ID von AccountA anfordern (in dieser Anleitung ist die ID von AccountA 012ID_ACCOUNT_A).

  • Erstellen Sie eine Richtlinie, die auf die Amazon EC2 EC2-Instance-Rolle angewendet wird CodeDeploy , für die der Zugriff auf den Amazon S3 S3-Bucket (codepipeline-us-east-2-1234567890) konfiguriert ist.

  • Erstellen Sie eine Richtlinie, die auf die für CodeDeploy die Amazon EC2 EC2-Instance-Rolle konfigurierte Amazon EC2-Instance-Rolle angewendet wird und den Zugriff auf den vom AWS KMS Kunden verwalteten Schlüssel ermöglicht, der zur Verschlüsselung der Pipeline-Artefakte in AccountA verwendet wird.

  • Konfigurieren und fügen Sie eine IAM-Rolle (CrossAccount_Role) mit einer Vertrauensbeziehungsrichtlinie hinzu, die es der CodePipeline Servicerolle in AccountA ermöglicht, die Rolle zu übernehmen.

  • Erstellen Sie eine Richtlinie, die den Zugriff auf die Bereitstellungsressourcen ermöglicht, die für die Pipeline benötigt werden, und hängen Sie sie an _Role an. CrossAccount

  • Erstellen Sie eine Richtlinie, die den Zugriff auf den Amazon S3 S3-Bucket (codepipeline-us-east-2-1234567890) ermöglicht, und hängen Sie sie an _Role an. CrossAccount

Voraussetzung: Erstellen eines AWS KMS -Verschlüsselungsschlüssels

Vom Kunden verwaltete Schlüssel sind spezifisch für eine Region, ebenso wie alle Schlüssel. AWS KMS Sie müssen Ihren vom Kunden verwalteten AWS KMS Schlüssel in derselben Region erstellen, in der die Pipeline erstellt wurde (z. B.us-east-2).

Um einen vom Kunden verwalteten Schlüssel zu erstellen AWS KMS

  1. Melden Sie sich AWS Management Console mit AccountA an und öffnen Sie die AWS KMS Konsole.

  2. Wählen Sie links Customer managed keys (Vom Kunden verwaltete Schlüssel) aus.

  3. Klicken Sie auf Create key. Lassen Sie unter Configure key (Schlüssel konfigurieren) die Standardeinstellung Symmetric (Symmetrisch) ausgewählt und wählen Sie Next (Weiter) aus.

  4. Geben Sie im Feld Alias einen Alias ein, der für diesen Schlüssel verwendet werden soll (z. B. PipelineName-Key). Geben Sie optional eine Beschreibung und die Tags für den Schlüssel ein und wählen Sie dann Next (Weiter) aus.

  5. Wählen Sie unter Wichtige Administratorberechtigungen definieren die Rolle oder Rollen aus, die Sie als Administratoren für diesen Schlüssel verwenden möchten, und klicken Sie dann auf Weiter.

  6. Wählen Sie unter Schlüsselverwendungsberechtigungen definieren unter Dieses Konto den Namen der Servicerolle für die Pipeline aus (z. B. CodePipeline _Service_Role). Wählen Sie unter Andere AWS Konten die Option Weiteres Konto hinzufügen aus. AWS Geben Sie die Konto-ID für AccountB ein, um den ARN abzuschließen, und wählen Sie Next (Weiter) aus.

  7. Überprüfen Sie die Richtlinie in Preview Key Policy (Vorschau der Schlüsselrichtlinie) und wählen Sie dann Finish (Beenden) aus.

  8. Wählen Sie aus der Liste der Schlüssel den Alias Ihres Schlüssels aus und kopieren Sie dessen ARN (z. B. arn:aws:kms:us-east-2:012ID_ACCOUNT_A:key/2222222-3333333-4444-556677EXAMPLE). Sie benötigen diese Informationen, wenn Sie Ihre Pipeline bearbeiten und Richtlinien konfigurieren.

Schritt 1: Einrichten von Kontorichtlinien und Rollen

Nachdem Sie den AWS KMS Schlüssel erstellt haben, müssen Sie Richtlinien erstellen und anhängen, die den kontoübergreifenden Zugriff ermöglichen. Dies erfordert Aktionen sowohl von AccountA als auch von AccountB.

Konfigurieren von Richtlinien und Rollen in dem Konto, das die Pipeline erstellen wird (AccountA)

Um eine Pipeline zu erstellen, die CodeDeploy Ressourcen verwendet, die mit einem anderen AWS Konto verknüpft sind, muss AccountA Richtlinien sowohl für den Amazon S3 S3-Bucket, der zum Speichern von Artefakten verwendet wird, als auch für die Servicerolle für CodePipeline konfigurieren.

Um eine Richtlinie für den Amazon S3 S3-Bucket zu erstellen, der Zugriff auf AccountB (Konsole) gewährt

  1. Melden Sie sich AWS Management Console mit AccountA an und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie in der Liste der Amazon S3 S3-Buckets den Amazon S3 S3-Bucket aus, in dem Artefakte für Ihre Pipelines gespeichert sind. Dieser Bucket ist benanntcodepipeline-region-1234567EXAMPLE, wobei Region die Region ist, in der Sie die AWS Pipeline erstellt haben, und 1234567EXAMPLE eine zehnstellige Zufallszahl ist, die sicherstellt, dass der Bucket-Name eindeutig ist (z. B. -2-1234567890). codepipeline-us-east

  3. Wählen Sie auf der Detailseite für den Amazon S3 S3-Bucket die Option Eigenschaften aus.

  4. Erweitern Sie im Eigenschaftenbereich das Feld Permissions und wählen Sie Add bucket policy aus.

    Anmerkung

    Wenn Ihrem Amazon S3 S3-Bucket bereits eine Richtlinie zugeordnet ist, wählen Sie Bucket-Richtlinie bearbeiten aus. Danach können Sie die Anweisungen im folgenden Beispiel zur vorhandenen Richtlinie hinzufügen. Um eine neue Richtlinie hinzuzufügen, wählen Sie den Link und folgen Sie den Anweisungen im AWS Policy Generator. Weitere Informationen finden Sie unter Überblick über die IAM-Richtlinien.

  5. Geben Sie die folgende Richtlinie in das Fenster Bucket Policy Editor ein. Dies ermöglicht AccountB den Zugriff auf die Pipeline-Artefakte und bietet AccountB die Möglichkeit zum Hinzufügen von Ausgabe-Artefakten, falls diese von einer Aktion (z. B. eine benutzerdefinierte Quell- oder Build-Aktion) erstellt werden.

    Im folgenden Beispiel ist für AccountB der ARN 012ID_ACCOUNT_B. Der ARN für den Amazon S3 S3-Bucket lautet codepipeline-us-east-2-1234567890. Ersetzen Sie diese ARNs durch den ARN für das Konto, dem Sie Zugriff gewähren möchten, und den ARN für den Amazon S3 S3-Bucket:

     {
  "Version": "2012-10-17",
  "Id": "SSEAndSSLPolicy",
  "Statement": [
	{
  	"Sid": "DenyUnEncryptedObjectUploads",
	  "Effect": "Deny",
	  "Principal": "*",
	  "Action": "s3:PutObject",
	  "Resource": "arn:aws:s3:::codepipeline-us-east-2-1234567890/*",
	  "Condition": {
		"StringNotEquals": {
		"s3:x-amz-server-side-encryption": "aws:kms"
		}
	   }
	 },
	{
	  "Sid": "DenyInsecureConnections",
	  "Effect": "Deny",
	  "Principal": "*",
	  "Action": "s3:*",
	  "Resource": "arn:aws:s3:::codepipeline-us-east-2-1234567890/*",
	  "Condition": {
		"Bool": {
	  		"aws:SecureTransport": false
			}
		}
	  },
	{
	  "Sid": "",
	  "Effect": "Allow",
	  "Principal": {
		"AWS": "arn:aws:iam::012ID_ACCOUNT_B:root"
		},
	  "Action": [
            "s3:Get*",
            "s3:Put*"
        ],
	  "Resource": "arn:aws:s3:::codepipeline-us-east-2-1234567890/*"
	},
	{
	  "Sid": "",
	  "Effect": "Allow",
	  "Principal": {
	      "AWS": "arn:aws:iam::012ID_ACCOUNT_B:root"
			},
	  "Action": "s3:ListBucket",
  	"Resource": "arn:aws:s3:::codepipeline-us-east-2-1234567890"
	}
   ]
}

  6. Wählen Sie Save und schließen Sie dann den Richtlinien-Editor.

  7. Wählen Sie Speichern, um die Berechtigungen für den Amazon S3 S3-Bucket zu speichern.

Um eine Richtlinie für die Servicerolle für CodePipeline (Konsole) zu erstellen

  1. Melden Sie sich AWS Management Console mit AccountA an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Rollen aus.

  3. Wählen Sie in der Rollenliste unter Rollenname den Namen der Servicerolle für aus. CodePipeline

  4. Wählen Sie in der Registerkarte Permissions (Berechtigungen) die Option Add inline policy (Inline-Richtlinie hinzufügen).

  5. Wählen Sie die Registerkarte JSON und geben Sie die folgende Richtlinie ein, damit AccountB die Rolle übernehmen kann. Im folgenden Beispiel ist 012ID_ACCOUNT_B der ARN für AccountB:

    {
   "Version": "2012-10-17",
   "Statement": {
       "Effect": "Allow",
       "Action": "sts:AssumeRole",
       "Resource": [
           "arn:aws:iam::012ID_ACCOUNT_B:role/*"
       ]
   }
 }

  6. Wählen Sie Richtlinie prüfen.

  7. Geben Sie unter Name einen Namen für diese Richtlinie ein. Wählen Sie Richtlinie erstellen aus.

Konfigurieren Sie Richtlinien und Rollen in dem Konto, dem die AWS Ressource gehört (AccountB)

Wenn Sie eine Anwendungs-, Bereitstellungs- und Bereitstellungsgruppe in erstellen CodeDeploy, erstellen Sie auch eine Amazon EC2 EC2-Instance-Rolle. (Diese Rolle wird für Sie erstellt, wenn Sie den Assistenten für die Ausführung der Bereitstellungsanleitung verwenden. Sie können sie jedoch auch manuell erstellen.) Damit eine in AccountA erstellte Pipeline CodeDeploy Ressourcen verwenden kann, die in AccountB erstellt wurden, müssen Sie:

  • Konfigurieren Sie eine Richtlinie für die Instance-Rolle, die ihr den Zugriff auf den Amazon S3 S3-Bucket ermöglicht, in dem Pipeline-Artefakte gespeichert sind.

  • Eine zweite Rolle in AccountB erstellen, die für den kontoübergreifenden Zugriff konfiguriert ist.

    Diese zweite Rolle muss nicht nur Zugriff auf den Amazon S3 S3-Bucket in AccountA haben, sie muss auch eine Richtlinie enthalten, die den Zugriff auf die CodeDeploy Ressourcen ermöglicht, und eine Vertrauensbeziehungsrichtlinie, die es der CodePipeline Servicerolle in AccountA ermöglicht, die Rolle zu übernehmen.

    Anmerkung

    Diese Richtlinien sind spezifisch für die Einrichtung von CodeDeploy Ressourcen, die in einer Pipeline verwendet werden sollen, die mit einem anderen AWS Konto erstellt wurde. Für andere AWS Ressourcen sind Richtlinien erforderlich, die auf ihre jeweiligen Ressourcenanforderungen zugeschnitten sind.

Um eine Richtlinie für die Amazon EC2 EC2-Instance-Rolle zu erstellen, die für CodeDeploy (Konsole) konfiguriert ist

  1. Melden Sie sich AWS Management Console mit AccountB an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Rollen aus.

  3. Wählen Sie in der Rollenliste unter Rollenname den Namen der Servicerolle aus, die als Amazon EC2 EC2-Instance-Rolle für die CodeDeploy Anwendung verwendet wird. Der Rollenname kann unterschiedlich sein. Von einer Bereitstellungsgruppe kann mehr als eine Instance-Rolle verwendet werden. Weitere Informationen finden Sie unter Erstellen eines IAM-Instance-Profils für Ihre Amazon EC2 EC2-Instances.

  4. Wählen Sie in der Registerkarte Permissions (Berechtigungen) die Option Add inline policy (Inline-Richtlinie hinzufügen).

  5. Wählen Sie die Registerkarte JSON und geben Sie die folgende Richtlinie ein, um Zugriff auf den Amazon S3 S3-Bucket zu gewähren, der von AccountA zum Speichern von Artefakten für Pipelines verwendet wird (in diesem Beispiel codepipeline-us-east-2-1234567890):

    {
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Action": [
         "s3:Get*"
       ],
       "Resource": [
         "arn:aws:s3:::codepipeline-us-east-2-1234567890/*"
       ]
     },
     {
       "Effect": "Allow",
       "Action": [
         "s3:ListBucket"
       ],
       "Resource": [
         "arn:aws:s3:::codepipeline-us-east-2-1234567890"
       ]
     }
   ]
 }

  6. Wählen Sie Richtlinie prüfen.

  7. Geben Sie unter Name einen Namen für diese Richtlinie ein. Wählen Sie Richtlinie erstellen aus.

  8. Erstellen Sie eine zweite Richtlinie dafür, AWS KMS wo sich der ARN des vom Kunden verwalteten Schlüssels arn:aws:kms:us-east-1:012ID_ACCOUNT_A:key/2222222-3333333-4444-556677EXAMPLE befindet, der in AccountA erstellt und so konfiguriert ist, dass AccountB ihn verwenden kann:

    {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Action": [
           "kms:DescribeKey",
           "kms:GenerateDataKey*",
           "kms:Encrypt",
           "kms:ReEncrypt*",
           "kms:Decrypt"
          ],
        "Resource": [
           "arn:aws:kms:us-east-1:012ID_ACCOUNT_A:key/2222222-3333333-4444-556677EXAMPLE"
          ]
      }
   ]
}
    Wichtig

    Sie müssen die Konto-ID von AccountA in dieser Richtlinie als Teil des Ressourcen-ARN für den AWS KMS Schlüssel verwenden, wie hier gezeigt, sonst funktioniert die Richtlinie nicht.

  9. Wählen Sie Richtlinie prüfen.

  10. Geben Sie unter Name einen Namen für diese Richtlinie ein. Wählen Sie Richtlinie erstellen aus.

Erstellen Sie nun eine IAM-Rolle, die für den kontoübergreifenden Zugriff verwendet werden soll, und konfigurieren Sie sie so, dass die CodePipeline Servicerolle in AccountA die Rolle übernehmen kann. Diese Rolle muss Richtlinien enthalten, die den Zugriff auf die CodeDeploy Ressourcen und den Amazon S3 S3-Bucket ermöglichen, der zum Speichern von Artefakten in AccountA verwendet wird.

Um die kontoübergreifende Rolle in IAM zu konfigurieren

  1. Melden Sie sich AWS Management Console mit AccountB an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam.

  2. Wählen Sie im Navigationsbereich Rollen aus. Wählen Sie Rolle erstellen aus.

  3. Wählen Sie unter Typ der vertrauenswürdigen Entität auswählen die Option Weiteres AWS -Konto aus. Geben Sie unter Konten angeben, die diese Rolle verwenden können, im Feld Konto-ID die AWS Konto-ID für das Konto ein, das die Pipeline in CodePipeline (AccountA) erstellen soll, und wählen Sie dann Weiter: Berechtigungen aus.

    Wichtig

    In diesem Schritt wird die Vertrauensstellungsrichtlinie zwischen AccountA und AccountB erstellt. Dadurch wird jedoch Zugriff auf das Konto auf Root-Ebene gewährt und es wird CodePipeline empfohlen, diesen Zugriff auf die CodePipeline Servicerolle in AccountA zu beschränken. Folgen Sie Schritt 16, um die Berechtigungen einzuschränken.

  4. Wählen Sie unter Richtlinien zum Anhängen von Berechtigungen die Option ReadOnlyAccess AmazonS3 und dann Weiter: Tags aus.

    Anmerkung

    Dies ist nicht die Richtlinie, die Sie verwenden werden. Sie müssen eine Richtlinie auswählen, um den Assistenten abzuschließen.

  5. Wählen Sie Weiter: Prüfen aus. Geben Sie im Feld Rollenname einen Namen für diese Rolle ein (z. B. CrossAccount_Role). Sie können dieser Rolle einen beliebigen Namen geben, solange sie den Benennungskonventionen in IAM entspricht. Geben Sie der Rolle einen Namen, der ihren Zweck eindeutig beschreibt. Wählen Sie Create Role (Rolle erstellen) aus.

  6. Wählen Sie aus der Rollenliste die Rolle aus, die Sie gerade erstellt haben (z. B. CrossAccount_Role), um die Übersichtsseite für diese Rolle zu öffnen.

  7. Wählen Sie in der Registerkarte Permissions (Berechtigungen) die Option Add inline policy (Inline-Richtlinie hinzufügen).

  8. Wählen Sie die Registerkarte JSON und geben Sie die folgende Richtlinie ein, um den Zugriff auf CodeDeploy Ressourcen zu gewähren:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codedeploy:CreateDeployment",
        "codedeploy:GetDeployment",
        "codedeploy:GetDeploymentConfig",
        "codedeploy:GetApplicationRevision",
        "codedeploy:RegisterApplicationRevision"
      ],
      "Resource": "*"
    }
  ]
}

  9. Wählen Sie Richtlinie prüfen.

  10. Geben Sie unter Name einen Namen für diese Richtlinie ein. Wählen Sie Richtlinie erstellen aus.

  11. Wählen Sie in der Registerkarte Permissions (Berechtigungen) die Option Add inline policy (Inline-Richtlinie hinzufügen).

  12. Wählen Sie die Registerkarte JSON und geben Sie die folgende Richtlinie ein, damit diese Rolle Eingabeartefakte aus dem Amazon S3 S3-Bucket in AccountA abrufen und Ausgabeartefakte dort ablegen kann:

    {
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Action": [
         "s3:GetObject*",
         "s3:PutObject",
         "s3:PutObjectAcl"               
       ],
       "Resource": [
         "arn:aws:s3:::codepipeline-us-east-2-1234567890/*"
       ]
     }
   ]
}

  13. Wählen Sie Richtlinie prüfen.

  14. Geben Sie unter Name einen Namen für diese Richtlinie ein. Wählen Sie Richtlinie erstellen aus.

  15. Suchen Sie auf der Registerkarte Berechtigungen ReadOnlyAccess in der Liste der Richtlinien unter Richtlinienname nach AmazonS3 und wählen Sie das Löschsymbol (X) neben der Richtlinie aus. Wählen Sie nach Aufforderung Detach aus.

  16. Wählen Sie die Registerkarte Vertrauensverhältnis und dann Vertrauensrichtlinie bearbeiten aus. Wählen Sie in der linken Spalte die Option Principal hinzufügen aus. Wählen Sie als Principaltyp die Option IAM-Rollen aus, und geben Sie dann den ARN für die CodePipeline Servicerolle in AccountA ein. Entfernen Sie es arn:aws:iam::Account_A:root aus der Liste für AWS Principals und wählen Sie dann Richtlinie aktualisieren aus.

Schritt 2: Bearbeiten der Pipeline

Sie können die CodePipeline Konsole nicht verwenden, um eine Pipeline zu erstellen oder zu bearbeiten, die Ressourcen verwendet, die mit einem anderen AWS Konto verknüpft sind. Sie können jedoch die Konsole verwenden, um die allgemeine Struktur der Pipeline zu erstellen und dann die Pipeline AWS CLI zu bearbeiten und diese Ressourcen hinzuzufügen. Alternativ können Sie die Struktur einer vorhandenen Pipeline verwenden und dieser die Ressourcen manuell hinzufügen.

Um die Ressourcen hinzuzufügen, die einem anderen AWS Konto zugeordnet sind (AWS CLI)

  1. Führen Sie an einem Terminal (Linux, macOS oder Unix) oder einer Befehlszeile (Windows) den get-pipeline Befehl für die Pipeline aus, zu der Sie Ressourcen hinzufügen möchten. Kopieren Sie die Ausgabe des Befehls in eine JSON-Datei. Für eine Pipeline mit dem Namen würden Sie MyFirstPipeline beispielsweise etwas Ähnliches wie das Folgende eingeben:

    aws codepipeline get-pipeline --name MyFirstPipeline >pipeline.json

    Die Ausgabe wird an die Datei pipeline.json gesendet.

  2. Öffnen Sie die JSON-Datei in einem beliebigen Texteditor. Fügen Sie anschließend "type": "S3" im Artefaktspeicher den KMS-Verschlüsselungsschlüssel, die ID und die Typinformationen hinzu, wobei codepipeline-us-east-2-1234567890 der Name des Amazon S3 S3-Buckets ist, der zum Speichern von Artefakten für die Pipeline verwendet wird, und der ARN des vom Kunden verwalteten Schlüssels arn:aws:kms:us-east-1:012ID_ACCOUNT_A:key/2222222-3333333-4444-556677EXAMPLE ist, den Sie gerade erstellt haben:

    {
  "artifactStore”: {
    "location": "codepipeline-us-east-2-1234567890", 
    "type": "S3",
    "encryptionKey": {
      "id": "arn:aws:kms:us-east-1:012ID_ACCOUNT_A:key/2222222-3333333-4444-556677EXAMPLE",
      "type": "KMS"
    }
  },

  3. Fügen Sie in einer Phase eine Bereitstellungsaktion hinzu, um die mit AccountB verknüpften CodeDeploy Ressourcen zu verwenden, einschließlich der roleArn Werte für die von Ihnen erstellte kontenübergreifende Rolle (CrossAccount_Role).

    Das folgende Beispiel zeigt JSON, das eine Bereitstellungsaktion mit dem Namen hinzufügt. ExternalDeploy Es verwendet die in AccountB erstellten CodeDeploy Ressourcen in einer Phase namens Staging. Im folgenden Beispiel lautet der ARN für AccountB 012ID_ACCOUNT_B:

    ,
            {
                "name": "Staging",
                "actions": [
                    {
                        "inputArtifacts": [
                            {
                                "name": "MyAppBuild"
                            }
                        ],
                        "name": "ExternalDeploy",
                        "actionTypeId": {
                            "category": "Deploy",
                            "owner": "AWS",
                            "version": "1",
                            "provider": "CodeDeploy"
                        },
                        "outputArtifacts": [],
                        "configuration": {
                            "ApplicationName": "AccountBApplicationName",
                            "DeploymentGroupName": "AccountBApplicationGroupName"
                        },
                        "runOrder": 1,
                        "roleArn": "arn:aws:iam::012ID_ACCOUNT_B:role/CrossAccount_Role"
                    }
                ]
            }
    Anmerkung

    Dies ist nicht der JSON-Code für die gesamte Pipeline. Es handelt sich nur um die Struktur für die Aktion in einer Stufe.

  4. Sie müssen die metadata-Zeilen aus der Datei entfernen, damit der Befehl update-pipeline sie verwenden kann. Entfernen Sie den Abschnitt aus der Pipeline-Struktur in der JSON-Datei (die "metadata": { }-Zeilen und die Fehler "created", "pipelineARN" und "updated").

    Entfernen Sie z. B. die folgenden Zeilen aus der Struktur: 

    "metadata": {  
  "pipelineArn": "arn:aws:codepipeline:region:account-ID:pipeline-name",
  "created": "date",
  "updated": "date"
  }

    Speichern Sie die Datei.

  5. Führen Sie den Befehl update-pipeline aus, um die Änderungen zu übernehmen. Geben Sie die Pipeline-JSON-Datei dabei folgendermaßen an:

    Wichtig

    Achten Sie darauf, dass file:// vor dem Dateinamen steht. Dies ist bei diesem Befehl erforderlich.

    aws codepipeline update-pipeline --cli-input-json file://pipeline.json

    Dieser Befehl gibt die gesamte Struktur der bearbeiteten Pipeline zurück.

Um die Pipeline zu testen, die Ressourcen verwendet, die einem anderen Konto zugeordnet sind AWS

  1. Führen Sie den Befehl an einem Terminal (Linux, macOS oder Unix) oder einer Befehlszeile (Windows) aus und geben Sie dabei den Namen der Pipeline an, ähnlich wie im Folgenden: start-pipeline-execution

    aws codepipeline start-pipeline-execution --name MyFirstPipeline

    Weitere Informationen finden Sie unter Manuelles Starten einer Pipeline.

  2. Melden Sie sich AWS Management Console mit AccountA an und öffnen Sie die CodePipeline Konsole unter http://console.aws.amazon.com/codesuite/codepipeline/home.

    Die Namen aller mit Ihrem AWS Konto verknüpften Pipelines werden angezeigt.

  3. Wählen Sie im Feld Name den Namen der Pipeline, die Sie soeben bearbeitet haben. Auf diese Weise wird eine detaillierte Ansicht der Pipeline geöffnet (einschließlich des Status der einzelnen Aktionen in den einzelnen Stufen der Pipeline).

  4. Sehen Sie sich den Fortschritt in der Pipeline an. Warten Sie auf eine Erfolgsmeldung für die Aktion, die die mit einem anderen AWS Konto verknüpfte Ressource verwendet.

    Anmerkung

    Sie erhalten eine Fehlermeldung, wenn Sie versuchen, Details für eine Aktion anzuzeigen, während Sie mit AccountA angemeldet sind. Melden Sie sich ab und melden Sie sich dann mit AccountB an, um die Bereitstellungsdetails unter CodeDeploy einzusehen.