Paso 3: Limitar los permisos del usuario de CodeDeploy - AWS CodeDeploy

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 3: Limitar los permisos del usuario de CodeDeploy

Por motivos de seguridad, le recomendamos que limite los permisos del usuario administrativo que creó en Paso 1: Configurar a solo los necesarios para crear y gestionar las implementaciones en CodeDeploy.

Utilice la siguiente serie de procedimientos para limitar los permisos del usuario administrativo de CodeDeploy.

Antes de empezar

  • Asegúrese de haber creado un usuario administrativo de CodeDeploy en el Centro de identidades de IAM siguiendo las instrucciones que se indican en Paso 1: Configurar.

Para crear un conjunto de permisos

Asignará este conjunto de permisos al usuario administrativo de CodeDeploy más adelante.

  1. Inicie sesión en la AWS Management Console y abra la consola de AWS IAM Identity Center en https://console.aws.amazon.com/singlesignon/.

  2. En el panel de navegación, elija Conjuntos de permisos y, a continuación, elija Crear conjunto de permisos.

  3. Elija Conjunto de permisos personalizado.

  4. Elija Siguiente.

  5. Elija Política insertada.

  6. Elimine el código de muestra.

  7. Añada el código de política siguiente:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeDeployAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "autoscaling:*",
        "codedeploy:*",
        "ec2:*",
        "lambda:*",
        "ecs:*",
        "elasticloadbalancing:*",
        "iam:AddRoleToInstanceProfile",
        "iam:AttachRolePolicy",
        "iam:CreateInstanceProfile",
        "iam:CreateRole",
        "iam:DeleteInstanceProfile",
        "iam:DeleteRole",
        "iam:DeleteRolePolicy",
        "iam:GetInstanceProfile",
        "iam:GetRole",
        "iam:GetRolePolicy",
        "iam:ListInstanceProfilesForRole",
        "iam:ListRolePolicies",
        "iam:ListRoles",
        "iam:PutRolePolicy",
        "iam:RemoveRoleFromInstanceProfile",
        "s3:*",
        "ssm:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeDeployRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/CodeDeployServiceRole"
    }
  ]
}

    En esta política, sustituya arn:aws:iam::account-ID:role/CodeDeployServiceRole por el valor de ARN del rol de servicio de CodeDeploy que creó en Paso 2: Crear un rol de servicio para CodeDeploy. Puede encontrar el valor del ARN en la página de detalles del rol de servicio en la consola de IAM.

    La política anterior le permite implementar una aplicación en una plataforma de informática de AWS Lambda, una plataforma de informática de EC2/en las instalaciones y una plataforma de informática de Amazon ECS.

    Puede utilizar las plantillas de AWS CloudFormation que se incluyen en esta documentación para lanzar instancias de Amazon EC2 compatibles con CodeDeploy. Para usar plantillas de AWS CloudFormation para crear aplicaciones, grupos de implementación o configuraciones de implementación, debe proporcionar acceso a AWS CloudFormation (y a los servicios y acciones de AWS de los que depende AWS CloudFormation) añadiendo el permiso cloudformation:* a la política de permisos del usuario administrativo de CodeDeploy, de la siguiente manera:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        ...
        "cloudformation:*"        
      ],
      "Resource": "*"
    }
  ]
}

  8. Elija Siguiente.

  9. En Nombre del conjunto de permisos, introduzca:

    CodeDeployUserPermissionSet

  10. Elija Siguiente.

  11. En la página Revisión, revise la información y, a continuación, elija Crear grupo.

Para asignar el conjunto de permisos al usuario administrativo de CodeDeploy

  1. En el panel de navegación, elija Cuentas de AWS y, a continuación, seleccione la casilla de verificación situada junto a la Cuenta de AWS en la que ha iniciado sesión.

  2. Seleccione el botón Asignar usuarios o grupos.

  3. Elija la pestaña Usuarios.

  4. Seleccione la casilla situada junto al usuario administrativo de CodeDeploy.

  5. Elija Siguiente.

  6. Seleccione la casilla situada junto a CodeDeployUserPermissionSet.

  7. Elija Siguiente.

  8. Revise la información y seleccione Enviar.

    Ahora ha asignado el usuario administrativo de CodeDeploy y CodeDeployUserPermissionSet a su Cuenta de AWS, uniéndolos.

Para cerrar sesión y volver a iniciarla como usuario administrativo de CodeDeploy

  1. Antes de cerrar sesión, asegúrese de tener la URL del portal de acceso de AWS y el nombre de usuario y la contraseña de un solo uso para el usuario administrativo de CodeDeploy.

    nota

    Si no dispone de esta información, vaya a la página de detalles del usuario administrativo de CodeDeploy en el Centro de identidades de IAM, seleccione Restablecer contraseña, Generar una contraseña de un solo uso [...] y de nuevo Restablecer contraseña para que aparezca la información en la pantalla.

  2. Cierre la sesión de AWS.

  3. Pegue la URL del portal de acceso a AWS en la barra de direcciones del navegador.

  4. Inicie sesión como usuario administrativo de CodeDeploy.

    Aparece un cuadro de Cuenta de AWS en la pantalla.

  5. Elija Cuenta de AWS y, a continuación, elija el nombre del Cuenta de AWS al que asignó el usuario administrativo y el conjunto de permisos de CodeDeploy.

  6. Junto a CodeDeployUserPermissionSet, seleccione Consola de administración.

    Aparecerá la AWS Management Console. Ahora ha iniciado sesión como usuario administrativo de CodeDeploy con los permisos limitados. Puede realizar operaciones relacionadas con CodeDeploy, y solo operaciones relacionadas con CodeDeploy, como este usuario.