Paso 3: Limitar los permisos del CodeDeploy usuario - AWS CodeDeploy

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 3: Limitar los permisos del CodeDeploy usuario

Por motivos de seguridad, le recomendamos que limite los permisos del usuario administrativo que creó Paso 1: Configurar a solo los necesarios para crear y administrar las implementaciones en CodeDeploy él.

Utilice la siguiente serie de procedimientos para limitar los permisos del usuario CodeDeploy administrativo.

Antes de empezar

  • Asegúrese de haber creado un usuario CodeDeploy administrativo en el Centro de identidades de IAM siguiendo las instrucciones que se indican enPaso 1: Configurar.

Para crear un conjunto de permisos

Asignará este conjunto de permisos al usuario CodeDeploy administrativo más adelante.

  1. Inicie sesión en la AWS IAM Identity Center consola AWS Management Console y ábrala en https://console.aws.amazon.com/singlesignon/.

  2. En el panel de navegación, elija Conjuntos de permisos y, a continuación, elija Crear conjunto de permisos.

  3. Elija Conjunto de permisos personalizado.

  4. Elija Siguiente.

  5. Elija Política insertada.

  6. Elimine el código de muestra.

  7. Añada el código de política siguiente:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeDeployAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "autoscaling:*",
        "codedeploy:*",
        "ec2:*",
        "lambda:*",
        "ecs:*",
        "elasticloadbalancing:*",
        "iam:AddRoleToInstanceProfile",
        "iam:AttachRolePolicy",
        "iam:CreateInstanceProfile",
        "iam:CreateRole",
        "iam:DeleteInstanceProfile",
        "iam:DeleteRole",
        "iam:DeleteRolePolicy",
        "iam:GetInstanceProfile",
        "iam:GetRole",
        "iam:GetRolePolicy",
        "iam:ListInstanceProfilesForRole",
        "iam:ListRolePolicies",
        "iam:ListRoles",
        "iam:PutRolePolicy",
        "iam:RemoveRoleFromInstanceProfile",
        "s3:*",
        "ssm:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeDeployRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/CodeDeployServiceRole"
    }
  ]
}

    En esta política, sustituya arn:aws:iam: :account-ID:role/ por el valor ARN del rol de servicio en CodeDeployServiceRole el que creó. CodeDeploy Paso 2: Crear un rol de servicio para CodeDeploy Puede encontrar el valor del ARN en la página de detalles del rol de servicio en la consola de IAM.

    La política anterior le permite implementar una aplicación en una plataforma de informática de AWS Lambda, una plataforma de informática de EC2/en las instalaciones y una plataforma de informática de Amazon ECS.

    Puede utilizar las AWS CloudFormation plantillas que se proporcionan en esta documentación para lanzar instancias de Amazon EC2 que sean compatibles con. CodeDeploy Para usar AWS CloudFormation plantillas para crear aplicaciones, grupos de despliegues o configuraciones de despliegues, debe proporcionar acceso a AWS CloudFormation(y a AWS los servicios y acciones que AWS CloudFormation dependan de ellos) añadiendo el cloudformation:* permiso a la política de permisos del usuario CodeDeploy administrativo, de la siguiente manera:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        ...
        "cloudformation:*"        
      ],
      "Resource": "*"
    }
  ]
}

  8. Elija Siguiente.

  9. En Nombre del conjunto de permisos, introduzca:

    CodeDeployUserPermissionSet

  10. Elija Siguiente.

  11. En la página Revisión, revise la información y, a continuación, elija Crear grupo.

Para asignar el conjunto de permisos al usuario administrativo CodeDeploy

  1. En el panel de navegación, elija y Cuentas de AWS, a continuación, active la casilla de verificación situada junto a la casilla en la Cuenta de AWS que ha iniciado sesión actualmente.

  2. Seleccione el botón Asignar usuarios o grupos.

  3. Elija la pestaña Usuarios.

  4. Seleccione la casilla de verificación situada junto al usuario CodeDeploy administrativo.

  5. Elija Siguiente.

  6. Seleccione la casilla situada junto a CodeDeployUserPermissionSet.

  7. Elija Siguiente.

  8. Revise la información y seleccione Enviar.

    Ahora ha asignado el usuario CodeDeploy administrativo y CodeDeployUserPermissionSet el suyo Cuenta de AWS, uniéndolos.

Para cerrar sesión y volver a iniciarla como usuario CodeDeploy administrativo

  1. Antes de cerrar sesión, asegúrese de tener la URL del portal de AWS acceso y el nombre de usuario y la contraseña de un solo uso del usuario CodeDeploy administrativo.

    nota

    Si no dispone de esta información, vaya a la página de detalles del usuario CodeDeploy administrativo del Centro de Identidad de IAM, seleccione Restablecer la contraseña, Generar una contraseña de un solo uso [...] y vuelva a restablecer la contraseña para que aparezca la información en la pantalla.

  2. Cerrar sesión en AWS.

  3. Pegue la URL del portal de AWS acceso en la barra de direcciones del navegador.

  4. Inicie sesión como CodeDeploy usuario administrativo.

    Aparece un cuadro de Cuenta de AWS en la pantalla.

  5. Elija y Cuenta de AWS, Cuenta de AWS a continuación, elija el nombre del usuario CodeDeploy administrativo y el conjunto de permisos.

  6. Junto a CodeDeployUserPermissionSet, seleccione Consola de administración.

    Aparece el AWS Management Console . Ahora ha iniciado sesión como usuario CodeDeploy administrativo con los permisos limitados. Ahora puede realizar operaciones CodeDeploy relacionadas, y solo operaciones CodeDeploy relacionadas, como este usuario.