Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen Sie eine Pipeline CodePipeline , in der Ressourcen von einem anderen AWS Konto verwendet werden
Sie möchten möglicherweise eine Pipeline erstellen, die Ressourcen verwendet, die von einem anderen AWS -Konto erstellt oder verwaltet werden. Möglicherweise möchten Sie beispielsweise ein Konto für Ihre Pipeline und ein anderes für Ihre CodeDeploy Ressourcen verwenden.
Anmerkung
Beim Erstellen einer Pipeline mit Aktionen aus mehreren Konten müssen Sie Ihre Aktionen so konfigurieren, dass mit ihnen innerhalb der Einschränkungen von kontoübergreifenden Pipelines weiterhin auf Artefakte zugegriffen werden kann. Die folgenden Einschränkungen gelten für kontoübergreifende Aktionen:
-
Im Allgemeinen kann eine Aktion nur ein Artefakt verbrauchen, wenn:
-
Die Aktion befindet sich im selben Konto wie das Pipeline-Konto ODER
-
das Artefakt im Pipeline-Konto für eine Aktion in einem anderen Konto erstellt wurde ODER
-
Das Artefakt wurde durch eine frühere Aktion im selben Konto wie die Aktion erzeugt
Anders gesagt, ist es nicht möglich, ein Artefakt von einem Konto an ein anderes Konto zu übergeben, wenn keines der Konten ein Pipeline-Konto ist.
-
-
Für die folgenden Aktionstrypen werden keine kontoübergreifenden Aktionen unterstützt:
-
Jenkins-Build-Aktionen
-
In diesem Beispiel müssen Sie einen zu verwendenden Schlüssel AWS Key Management Service (AWS KMS) erstellen, den Schlüssel zur Pipeline hinzufügen und Kontorichtlinien und Rollen einrichten, um den kontoübergreifenden Zugriff zu ermöglichen. Für einen AWS KMS-Schlüssel können Sie die Schlüssel-ID, den Schlüssel-ARN oder den Alias-ARN verwenden.
Anmerkung
Aliase werden nur in dem Konto erkannt, das den KMS-Schlüssel erstellt hat. Für kontoübergreifende Aktionen können Sie zum Identifizieren des Schlüssels nur die Schlüssel-ID oder den Schlüssel-ARN vewenden. Bei kontoübergreifenden Aktionen wird die Rolle des anderen Kontos (AccountB) verwendet, sodass bei Angabe der Schlüssel-ID der Schlüssel des anderen Kontos (AccountB) verwendet wird.
In dieser Anleitung und den entsprechenden Beispielen ist AccountA
das Konto, das ursprünglich zur Erstellung der Pipeline verwendet wurde. Es hat Zugriff auf den Amazon S3 S3-Bucket, der zum Speichern von Pipeline-Artefakten verwendet wird, und auf die Servicerolle, die von verwendet wird AWS CodePipeline. AccountB
ist das Konto, mit dem ursprünglich die CodeDeploy Anwendung, die Bereitstellungsgruppe und die Servicerolle erstellt wurden, die von verwendet wurden CodeDeploy.
Damit
AccountA
eine Pipeline bearbeiten kann, um die von AccountB erstellte CodeDeploy Anwendung zu verwenden, muss AccountA
:
-
Die ARN oder Konto-ID von
AccountB
anfordern (in dieser Anleitung ist die ID vonAccountB
012ID_ACCOUNT_B
). -
Erstellen oder verwenden Sie einen vom AWS KMS Kunden verwalteten Schlüssel in der Region für die Pipeline und gewähren Sie der Servicerolle (
CodePipeline_Service_Role
) und AccountB Berechtigungen zur Verwendung dieses Schlüssels. -
Erstellen Sie eine Amazon S3 S3-Bucket-Richtlinie, die
AccountB
Zugriff auf den Amazon S3 S3-Bucket gewährt (z. B.codepipeline-us-east-2-1234567890
). -
Erstellen Sie eine Richtlinie, die es
AccountA
ermöglicht, eine vonAccountB
konfigurierte Rolle anzunehmen, und fügen Sie diese Richtlinie der Servicerolle (CodePipeline_Service_Role
) hinzu. -
Bearbeiten Sie die Pipeline so, dass der vom Kunden verwaltete AWS KMS Schlüssel anstelle des Standardschlüssels verwendet wird.
Damit AccountB
einer in AccountA
erstellten Pipeline Zugriff auf seine Ressourcen gestattet, muss AccountB
:
-
Die ARN oder Konto-ID von
AccountA
anfordern (in dieser Anleitung ist die ID vonAccountA
012ID_ACCOUNT_A
). -
Erstellen Sie eine Richtlinie, die auf die Amazon EC2 EC2-Instance-Rolle angewendet wird CodeDeploy , für die der Zugriff auf den Amazon S3 S3-Bucket (
codepipeline-us-east-2-1234567890
) konfiguriert ist. -
Erstellen Sie eine Richtlinie, die auf die für CodeDeploy die Amazon EC2 EC2-Instance-Rolle konfigurierte Amazon EC2-Instance-Rolle angewendet wird und den Zugriff auf den vom AWS KMS Kunden verwalteten Schlüssel ermöglicht, der zur Verschlüsselung der Pipeline-Artefakte in AccountA verwendet wird.
-
Konfigurieren und fügen Sie eine IAM-Rolle (
CrossAccount_Role
) mit einer Vertrauensbeziehungsrichtlinie hinzu, die es der CodePipeline Servicerolle inAccountA
ermöglicht, die Rolle zu übernehmen. -
Erstellen Sie eine Richtlinie, die den Zugriff auf die Bereitstellungsressourcen ermöglicht, die für die Pipeline benötigt werden, und hängen Sie sie an _Role an. CrossAccount
-
Erstellen Sie eine Richtlinie, die den Zugriff auf den Amazon S3 S3-Bucket (
codepipeline-us-east-2-1234567890
) ermöglicht, und hängen Sie sie an _Role an. CrossAccount
Themen
Voraussetzung: Erstellen eines AWS KMS -Verschlüsselungsschlüssels
Vom Kunden verwaltete Schlüssel sind spezifisch für eine Region, ebenso wie alle Schlüssel. AWS KMS Sie müssen Ihren vom Kunden verwalteten AWS KMS Schlüssel in derselben Region erstellen, in der die Pipeline erstellt wurde (z. B.us-east-2
).
Um einen vom Kunden verwalteten Schlüssel zu erstellen AWS KMS
-
Melden Sie sich AWS Management Console mit
AccountA
an und öffnen Sie die AWS KMS Konsole. -
Wählen Sie links Customer managed keys (Vom Kunden verwaltete Schlüssel) aus.
-
Klicken Sie auf Create key. Lassen Sie unter Configure key (Schlüssel konfigurieren) die Standardeinstellung Symmetric (Symmetrisch) ausgewählt und wählen Sie Next (Weiter) aus.
-
Geben Sie im Feld Alias einen Alias ein, der für diesen Schlüssel verwendet werden soll (z. B.
PipelineName-Key
). Geben Sie optional eine Beschreibung und die Tags für den Schlüssel ein und wählen Sie dann Next (Weiter) aus. -
Wählen Sie unter Wichtige Administratorberechtigungen definieren die Rolle oder Rollen aus, die Sie als Administratoren für diesen Schlüssel verwenden möchten, und klicken Sie dann auf Weiter.
-
Wählen Sie unter Schlüsselverwendungsberechtigungen definieren unter Dieses Konto den Namen der Servicerolle für die Pipeline aus (z. B. CodePipeline _Service_Role). Wählen Sie unter Andere AWS Konten die Option Weiteres Konto hinzufügen aus. AWS Geben Sie die Konto-ID für
AccountB
ein, um den ARN abzuschließen, und wählen Sie Next (Weiter) aus. -
Überprüfen Sie die Richtlinie in Preview Key Policy (Vorschau der Schlüsselrichtlinie) und wählen Sie dann Finish (Beenden) aus.
-
Wählen Sie aus der Liste der Schlüssel den Alias Ihres Schlüssels aus und kopieren Sie dessen ARN (z. B.
). Sie benötigen diese Informationen, wenn Sie Ihre Pipeline bearbeiten und Richtlinien konfigurieren.arn:aws:kms:us-east-2:012ID_ACCOUNT_A:key/2222222-3333333-4444-556677EXAMPLE
Schritt 1: Einrichten von Kontorichtlinien und Rollen
Nachdem Sie den AWS KMS Schlüssel erstellt haben, müssen Sie Richtlinien erstellen und anhängen, die den kontoübergreifenden Zugriff ermöglichen. Dies erfordert Aktionen sowohl von AccountA
als auch von AccountB
.
Themen
Konfigurieren von Richtlinien und Rollen in dem Konto, das die Pipeline erstellen wird (AccountA
)
Um eine Pipeline zu erstellen, die CodeDeploy Ressourcen verwendet, die mit einem anderen AWS Konto verknüpft sind, muss AccountA
Richtlinien sowohl für den Amazon S3 S3-Bucket, der zum Speichern von Artefakten verwendet wird, als auch für die Servicerolle für CodePipeline konfigurieren.
Um eine Richtlinie für den Amazon S3 S3-Bucket zu erstellen, der Zugriff auf AccountB (Konsole) gewährt
-
Melden Sie sich AWS Management Console mit
AccountA
an und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/. -
Wählen Sie in der Liste der Amazon S3 S3-Buckets den Amazon S3 S3-Bucket aus, in dem Artefakte für Ihre Pipelines gespeichert sind.
Dieser Bucket ist benannt
codepipeline-
, wobeiregion
-1234567EXAMPLE
Region die Region
ist, in der Sie die AWS Pipeline erstellt haben, und1234567EXAMPLE eine zehnstellige Zufallszahl ist, die sicherstellt, dass der Bucket-Name eindeutig ist (z. B.
-2-1234567890). codepipeline-us-east -
Wählen Sie auf der Detailseite für den Amazon S3 S3-Bucket die Option Eigenschaften aus.
-
Erweitern Sie im Eigenschaftenbereich das Feld Permissions und wählen Sie Add bucket policy aus.
Anmerkung
Wenn Ihrem Amazon S3 S3-Bucket bereits eine Richtlinie zugeordnet ist, wählen Sie Bucket-Richtlinie bearbeiten aus. Danach können Sie die Anweisungen im folgenden Beispiel zur vorhandenen Richtlinie hinzufügen. Um eine neue Richtlinie hinzuzufügen, wählen Sie den Link und folgen Sie den Anweisungen im AWS Policy Generator. Weitere Informationen finden Sie unter Überblick über die IAM-Richtlinien.
-
Geben Sie die folgende Richtlinie in das Fenster Bucket Policy Editor ein. Dies ermöglicht
AccountB
den Zugriff auf die Pipeline-Artefakte und bietetAccountB
die Möglichkeit zum Hinzufügen von Ausgabe-Artefakten, falls diese von einer Aktion (z. B. eine benutzerdefinierte Quell- oder Build-Aktion) erstellt werden.Im folgenden Beispiel ist für
AccountB
der ARN012ID_ACCOUNT_B
. Der ARN für den Amazon S3 S3-Bucket lautetcodepipeline-us-east-2-1234567890
. Ersetzen Sie diese ARNs durch den ARN für das Konto, dem Sie Zugriff gewähren möchten, und den ARN für den Amazon S3 S3-Bucket:{ "Version": "2012-10-17", "Id": "SSEAndSSLPolicy", "Statement": [ { "Sid": "DenyUnEncryptedObjectUploads", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::
codepipeline-us-east-2-1234567890
/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "DenyInsecureConnections", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::codepipeline-us-east-2-1234567890
/*", "Condition": { "Bool": { "aws:SecureTransport": false } } }, { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012ID_ACCOUNT_B:root
" }, "Action": [ "s3:Get*", "s3:Put*" ], "Resource": "arn:aws:s3:::codepipeline-us-east-2-1234567890
/*" }, { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012ID_ACCOUNT_B:root
" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::codepipeline-us-east-2-1234567890
" } ] } -
Wählen Sie Save und schließen Sie dann den Richtlinien-Editor.
-
Wählen Sie Speichern, um die Berechtigungen für den Amazon S3 S3-Bucket zu speichern.
Um eine Richtlinie für die Servicerolle für CodePipeline (Konsole) zu erstellen
-
Wählen Sie im Navigationsbereich Rollen aus.
-
Wählen Sie in der Rollenliste unter Rollenname den Namen der Servicerolle für aus. CodePipeline
-
Wählen Sie in der Registerkarte Permissions (Berechtigungen) die Option Add inline policy (Inline-Richtlinie hinzufügen).
-
Wählen Sie die Registerkarte JSON und geben Sie die folgende Richtlinie ein, damit
AccountB
die Rolle übernehmen kann. Im folgenden Beispiel ist012ID_ACCOUNT_B
der ARN fürAccountB
:{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::
012ID_ACCOUNT_B
:role/*" ] } } -
Wählen Sie Richtlinie prüfen.
-
Geben Sie unter Name einen Namen für diese Richtlinie ein. Wählen Sie Richtlinie erstellen aus.
Konfigurieren Sie Richtlinien und Rollen in dem Konto, dem die AWS Ressource gehört (AccountB
)
Wenn Sie eine Anwendungs-, Bereitstellungs- und Bereitstellungsgruppe in erstellen CodeDeploy, erstellen Sie auch eine Amazon EC2 EC2-Instance-Rolle. (Diese Rolle wird für Sie erstellt, wenn Sie den Assistenten für die Ausführung der Bereitstellungsanleitung verwenden. Sie können sie jedoch auch manuell erstellen.) Damit eine in AccountA
erstellte Pipeline CodeDeploy Ressourcen verwenden kann, die in AccountB
erstellt wurden, müssen Sie:
-
Konfigurieren Sie eine Richtlinie für die Instance-Rolle, die ihr den Zugriff auf den Amazon S3 S3-Bucket ermöglicht, in dem Pipeline-Artefakte gespeichert sind.
-
Eine zweite Rolle in
AccountB
erstellen, die für den kontoübergreifenden Zugriff konfiguriert ist.Diese zweite Rolle muss nicht nur Zugriff auf den Amazon S3 S3-Bucket in
AccountA
haben, sie muss auch eine Richtlinie enthalten, die den Zugriff auf die CodeDeploy Ressourcen ermöglicht, und eine Vertrauensbeziehungsrichtlinie, die es der CodePipeline Servicerolle inAccountA
ermöglicht, die Rolle zu übernehmen.Anmerkung
Diese Richtlinien sind spezifisch für die Einrichtung von CodeDeploy Ressourcen, die in einer Pipeline verwendet werden sollen, die mit einem anderen AWS Konto erstellt wurde. Für andere AWS Ressourcen sind Richtlinien erforderlich, die auf ihre jeweiligen Ressourcenanforderungen zugeschnitten sind.
Um eine Richtlinie für die Amazon EC2 EC2-Instance-Rolle zu erstellen, die für CodeDeploy (Konsole) konfiguriert ist
-
Wählen Sie im Navigationsbereich Rollen aus.
-
Wählen Sie in der Rollenliste unter Rollenname den Namen der Servicerolle aus, die als Amazon EC2 EC2-Instance-Rolle für die CodeDeploy Anwendung verwendet wird. Der Rollenname kann unterschiedlich sein. Von einer Bereitstellungsgruppe kann mehr als eine Instance-Rolle verwendet werden. Weitere Informationen finden Sie unter Erstellen eines IAM-Instance-Profils für Ihre Amazon EC2 EC2-Instances.
-
Wählen Sie in der Registerkarte Permissions (Berechtigungen) die Option Add inline policy (Inline-Richtlinie hinzufügen).
-
Wählen Sie die Registerkarte JSON und geben Sie die folgende Richtlinie ein, um Zugriff auf den Amazon S3 S3-Bucket zu gewähren, der von
AccountA
zum Speichern von Artefakten für Pipelines verwendet wird (in diesem Beispielcodepipeline-us-east-2-1234567890
):{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*" ], "Resource": [ "arn:aws:s3:::
codepipeline-us-east-2-1234567890
/*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::codepipeline-us-east-2-1234567890
" ] } ] } -
Wählen Sie Richtlinie prüfen.
-
Geben Sie unter Name einen Namen für diese Richtlinie ein. Wählen Sie Richtlinie erstellen aus.
-
Erstellen Sie eine zweite Richtlinie dafür, AWS KMS wo sich der ARN des vom Kunden verwalteten Schlüssels
befindet, der inarn:aws:kms:us-east-1:012ID_ACCOUNT_A:key/2222222-3333333-4444-556677EXAMPLE
AccountA
erstellt und so konfiguriert ist, dassAccountB ihn
verwenden kann:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:GenerateDataKey*", "kms:Encrypt", "kms:ReEncrypt*", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:us-east-1:
012ID_ACCOUNT_A:key/2222222-3333333-4444-556677EXAMPLE
" ] } ] }Wichtig
Sie müssen die Konto-ID von
AccountA
in dieser Richtlinie als Teil des Ressourcen-ARN für den AWS KMS Schlüssel verwenden, wie hier gezeigt, sonst funktioniert die Richtlinie nicht. -
Wählen Sie Richtlinie prüfen.
-
Geben Sie unter Name einen Namen für diese Richtlinie ein. Wählen Sie Richtlinie erstellen aus.
Erstellen Sie nun eine IAM-Rolle, die für den kontoübergreifenden Zugriff verwendet werden soll, und konfigurieren Sie sie so, dass die CodePipeline Servicerolle in AccountA
die Rolle übernehmen kann. Diese Rolle muss Richtlinien enthalten, die den Zugriff auf die CodeDeploy Ressourcen und den Amazon S3 S3-Bucket ermöglichen, der zum Speichern von Artefakten in AccountA
verwendet wird.
Um die kontoübergreifende Rolle in IAM zu konfigurieren
-
Wählen Sie im Navigationsbereich Rollen aus. Wählen Sie Rolle erstellen aus.
-
Wählen Sie unter Typ der vertrauenswürdigen Entität auswählen die Option Weiteres AWS -Konto aus. Geben Sie unter Konten angeben, die diese Rolle verwenden können, im Feld Konto-ID die AWS Konto-ID für das Konto ein, das die Pipeline in CodePipeline (
AccountA
) erstellen soll, und wählen Sie dann Weiter: Berechtigungen aus.Wichtig
In diesem Schritt wird die Vertrauensstellungsrichtlinie zwischen
AccountA
undAccountB
erstellt.Dadurch wird jedoch Zugriff auf das Konto auf Root-Ebene gewährt und es wird CodePipeline empfohlen, diesen Zugriff auf die CodePipeline Servicerolle in AccountA zu beschränken.
Folgen Sie Schritt 16, um die Berechtigungen einzuschränken. -
Wählen Sie unter Richtlinien zum Anhängen von Berechtigungen die Option ReadOnlyAccess AmazonS3 und dann Weiter: Tags aus.
Anmerkung
Dies ist nicht die Richtlinie, die Sie verwenden werden. Sie müssen eine Richtlinie auswählen, um den Assistenten abzuschließen.
-
Wählen Sie Weiter: Prüfen aus. Geben Sie im Feld Rollenname einen Namen für diese Rolle ein (z. B.
CrossAccount_Role
). Sie können dieser Rolle einen beliebigen Namen geben, solange sie den Benennungskonventionen in IAM entspricht. Geben Sie der Rolle einen Namen, der ihren Zweck eindeutig beschreibt. Wählen Sie Create Role (Rolle erstellen) aus. -
Wählen Sie aus der Rollenliste die Rolle aus, die Sie gerade erstellt haben (z. B.
CrossAccount_Role), um die Übersichtsseite für diese Rolle
zu öffnen. -
Wählen Sie in der Registerkarte Permissions (Berechtigungen) die Option Add inline policy (Inline-Richtlinie hinzufügen).
-
Wählen Sie die Registerkarte JSON und geben Sie die folgende Richtlinie ein, um den Zugriff auf CodeDeploy Ressourcen zu gewähren:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "codedeploy:CreateDeployment", "codedeploy:GetDeployment", "codedeploy:GetDeploymentConfig", "codedeploy:GetApplicationRevision", "codedeploy:RegisterApplicationRevision" ], "Resource": "*" } ] }
-
Wählen Sie Richtlinie prüfen.
-
Geben Sie unter Name einen Namen für diese Richtlinie ein. Wählen Sie Richtlinie erstellen aus.
-
Wählen Sie in der Registerkarte Permissions (Berechtigungen) die Option Add inline policy (Inline-Richtlinie hinzufügen).
-
Wählen Sie die Registerkarte JSON und geben Sie die folgende Richtlinie ein, damit diese Rolle Eingabeartefakte aus dem Amazon S3 S3-Bucket in
AccountA
abrufen und Ausgabeartefakte dort ablegen kann:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject*", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::
codepipeline-us-east-2-1234567890
/*" ] } ] } -
Wählen Sie Richtlinie prüfen.
-
Geben Sie unter Name einen Namen für diese Richtlinie ein. Wählen Sie Richtlinie erstellen aus.
-
Suchen Sie auf der Registerkarte Berechtigungen ReadOnlyAccess in der Liste der Richtlinien unter Richtlinienname nach AmazonS3 und wählen Sie das Löschsymbol (X) neben der Richtlinie aus. Wählen Sie nach Aufforderung Detach aus.
-
Wählen Sie die Registerkarte Vertrauensverhältnis und dann Vertrauensrichtlinie bearbeiten aus. Wählen Sie in der linken Spalte die Option Principal hinzufügen aus. Wählen Sie als Principaltyp die Option IAM-Rollen aus, und geben Sie dann den ARN für die CodePipeline Servicerolle in
AccountA
ein. Entfernen Sie esarn:aws:iam::Account_A:root
aus der Liste für AWS Principals und wählen Sie dann Richtlinie aktualisieren aus.
Schritt 2: Bearbeiten der Pipeline
Sie können die CodePipeline Konsole nicht verwenden, um eine Pipeline zu erstellen oder zu bearbeiten, die Ressourcen verwendet, die mit einem anderen AWS Konto verknüpft sind. Sie können jedoch die Konsole verwenden, um die allgemeine Struktur der Pipeline zu erstellen und dann die Pipeline AWS CLI zu bearbeiten und diese Ressourcen hinzuzufügen. Alternativ können Sie die Struktur einer vorhandenen Pipeline verwenden und dieser die Ressourcen manuell hinzufügen.
Um die Ressourcen hinzuzufügen, die einem anderen AWS Konto zugeordnet sind (AWS CLI)
-
Führen Sie an einem Terminal (Linux, macOS oder Unix) oder einer Befehlszeile (Windows) den get-pipeline Befehl für die Pipeline aus, zu der Sie Ressourcen hinzufügen möchten. Kopieren Sie die Ausgabe des Befehls in eine JSON-Datei. Für eine Pipeline mit dem Namen würden Sie MyFirstPipeline beispielsweise etwas Ähnliches wie das Folgende eingeben:
aws codepipeline get-pipeline --name
MyFirstPipeline
>pipeline.json
Die Ausgabe wird an die Datei
pipeline.json
gesendet. -
Öffnen Sie die JSON-Datei in einem beliebigen Texteditor. Fügen Sie anschließend
"type": "S3"
im Artefaktspeicher den KMS-Verschlüsselungsschlüssel, die ID und die Typinformationen hinzu, wobeicodepipeline-us-east-2-1234567890
der Name des Amazon S3 S3-Buckets ist, der zum Speichern von Artefakten für die Pipeline verwendet wird, und der ARN des vom Kunden verwalteten Schlüssels
ist, den Sie gerade erstellt haben:arn:aws:kms:us-east-1:012ID_ACCOUNT_A:key/2222222-3333333-4444-556677EXAMPLE
{ "artifactStore”: { "location": "
codepipeline-us-east-2-1234567890
", "type": "S3", "encryptionKey": { "id": "arn:aws:kms:us-east-1:012ID_ACCOUNT_A:key/2222222-3333333-4444-556677EXAMPLE
", "type": "KMS" } }, -
Fügen Sie in einer Phase eine Bereitstellungsaktion hinzu, um die mit
AccountB
verknüpften CodeDeploy Ressourcen zu verwenden, einschließlich derroleArn
Werte für die von Ihnen erstellte kontenübergreifende Rolle (CrossAccount_Role
).Das folgende Beispiel zeigt JSON, das eine Bereitstellungsaktion mit dem Namen hinzufügt.
ExternalDeploy
Es verwendet die inAccountB
erstellten CodeDeploy Ressourcen in einer Phase namensStaging
. Im folgenden Beispiel lautet der ARN fürAccountB
012ID_ACCOUNT_B
:, { "name": "Staging", "actions": [ { "inputArtifacts": [ { "name": "MyAppBuild" } ], "name": "
ExternalDeploy
", "actionTypeId": { "category": "Deploy", "owner": "AWS", "version": "1", "provider": "CodeDeploy" }, "outputArtifacts": [], "configuration": { "ApplicationName": "AccountBApplicationName
", "DeploymentGroupName": "AccountBApplicationGroupName
" }, "runOrder": 1, "roleArn": "arn:aws:iam::012ID_ACCOUNT_B
:role/CrossAccount_Role
" } ] }Anmerkung
Dies ist nicht der JSON-Code für die gesamte Pipeline. Es handelt sich nur um die Struktur für die Aktion in einer Stufe.
-
Sie müssen die
metadata
-Zeilen aus der Datei entfernen, damit der Befehl update-pipeline sie verwenden kann. Entfernen Sie den Abschnitt aus der Pipeline-Struktur in der JSON-Datei (die"metadata": { }
-Zeilen und die Fehler"created"
,"pipelineARN"
und"updated"
).Entfernen Sie z. B. die folgenden Zeilen aus der Struktur:
"metadata": { "pipelineArn": "arn:aws:codepipeline:
region
:account-ID
:pipeline-name
", "created": "date
", "updated": "date
" }Speichern Sie die Datei.
-
Führen Sie den Befehl update-pipeline aus, um die Änderungen zu übernehmen. Geben Sie die Pipeline-JSON-Datei dabei folgendermaßen an:
Wichtig
Achten Sie darauf, dass
file://
vor dem Dateinamen steht. Dies ist bei diesem Befehl erforderlich.aws codepipeline update-pipeline --cli-input-json file://
pipeline.json
Dieser Befehl gibt die gesamte Struktur der bearbeiteten Pipeline zurück.
Um die Pipeline zu testen, die Ressourcen verwendet, die einem anderen Konto zugeordnet sind AWS
-
Führen Sie den Befehl an einem Terminal (Linux, macOS oder Unix) oder einer Befehlszeile (Windows) aus und geben Sie dabei den Namen der Pipeline an, ähnlich wie im Folgenden: start-pipeline-execution
aws codepipeline start-pipeline-execution --name MyFirstPipeline
Weitere Informationen finden Sie unter Manuelles Starten einer Pipeline.
-
Melden Sie sich AWS Management Console mit
AccountA
an und öffnen Sie die CodePipeline Konsole unter http://console.aws.amazon.com/codesuite/codepipeline/home. Die Namen aller mit Ihrem AWS Konto verknüpften Pipelines werden angezeigt.
-
Wählen Sie im Feld Name den Namen der Pipeline, die Sie soeben bearbeitet haben. Auf diese Weise wird eine detaillierte Ansicht der Pipeline geöffnet (einschließlich des Status der einzelnen Aktionen in den einzelnen Stufen der Pipeline).
-
Sehen Sie sich den Fortschritt in der Pipeline an. Warten Sie auf eine Erfolgsmeldung für die Aktion, die die mit einem anderen AWS Konto verknüpfte Ressource verwendet.
Anmerkung
Sie erhalten eine Fehlermeldung, wenn Sie versuchen, Details für eine Aktion anzuzeigen, während Sie mit
AccountA
angemeldet sind. Melden Sie sich ab und melden Sie sich dann mitAccountB
an, um die Bereitstellungsdetails unter CodeDeploy einzusehen.