Políticas administradas de AWS para AWS CodePipeline
Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.
Considere que es posible que las políticas administradas de AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.
No puede cambiar los permisos definidos en las políticas administradas de AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.
Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
importante
Las políticas administradas de AWSCodePipelineFullAccess y AWSCodePipelineReadOnlyAccess han sustituido. Utilice las políticas AWSCodePipeline_FullAccessAWSCodePipeline_ReadOnlyAccess
Política administrada de AWS: AWSCodePipeline_FullAccess
Esta es una política que concede acceso completo a CodePipeline. Para ver el documento de política de JSON en la consola de IAM, consulte AWSCodePipeline_FullAccess
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
codepipeline: otorga permisos a CodePipeline. -
chatbot: otorga permisos para permitir a las entidades principales administrar los recursos en AWS Chatbot. -
cloudformation: otorga permisos que permiten a las entidades principales administrar las pilas de recursos en AWS CloudFormation. -
cloudtrail: otorga permisos para que las entidades principales administren los recursos de registro en CloudTrail. -
codebuild: otorga permisos para permitir a las entidades principales acceder a los recursos de compilación en CodeBuild. -
codecommit: otorga permisos para permitir a las entidades principales acceder a los recursos de origen en CodeCommit. -
codedeploy: otorga permisos para permitir a las entidades principales acceder a los recursos de implementación en CodeDeploy. -
codestar-notifications: otorga permisos para permitir a las entidades principales acceder a los recursos de las notificaciones de AWS CodeStar. -
ec2: otorga permisos para permitir las implementaciones en CodeCatalyst para gestionar Elastic Load Balancing en Amazon EC2. -
ecr: otorga permisos para permitir el acceso a los recursos de Amazon ECR. -
elasticbeanstalk: otorga permisos para permitir a las entidades principales acceder a los recursos de Elastic Beanstalk. -
iam: otorga permisos que permiten a las entidades principales administrar las funciones y las políticas en IAM. -
lambda: otorga permisos para permitir a las entidades principales administrar los recursos en Lambda. -
events: otorga permisos para que los directores administren los recursos en Eventos de CloudWatch. -
opsworks: otorga permisos para permitir a las entidades principales administrar los recursos en AWS OpsWorks. -
s3: otorga permisos para permitir a las entidades principales administrar los recursos en Amazon S3. -
sns: otorga permisos para que los directores administren los recursos de notificaciones en Amazon SNS. -
states: otorga permisos que permiten a las entidades principales ver las máquinas estatales en ellas. AWS Step Functions Una máquina de estados consiste en un conjunto de estados que administran las tareas y la transición entre estados.
{ "Statement": [ { "Action": [ "codepipeline:*", "cloudformation:DescribeStacks", "cloudformation:ListStacks", "cloudformation:ListChangeSets", "cloudtrail:DescribeTrails", "codebuild:BatchGetProjects", "codebuild:CreateProject", "codebuild:ListCuratedEnvironmentImages", "codebuild:ListProjects", "codecommit:ListBranches", "codecommit:GetReferences", "codecommit:ListRepositories", "codedeploy:BatchGetDeploymentGroups", "codedeploy:ListApplications", "codedeploy:ListDeploymentGroups", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ecr:DescribeRepositories", "ecr:ListImages", "ecs:ListClusters", "ecs:ListServices", "elasticbeanstalk:DescribeApplications", "elasticbeanstalk:DescribeEnvironments", "iam:ListRoles", "iam:GetRole", "lambda:ListFunctions", "events:ListRules", "events:ListTargetsByRule", "events:DescribeRule", "opsworks:DescribeApps", "opsworks:DescribeLayers", "opsworks:DescribeStacks", "s3:ListAllMyBuckets", "sns:ListTopics", "codestar-notifications:ListNotificationRules", "codestar-notifications:ListTargets", "codestar-notifications:ListTagsforResource", "codestar-notifications:ListEventTypes", "states:ListStateMachines" ], "Effect": "Allow", "Resource": "*", "Sid": "CodePipelineAuthoringAccess" }, { "Action": [ "s3:GetObject", "s3:ListBucket", "s3:GetBucketPolicy", "s3:GetBucketVersioning", "s3:GetObjectVersion", "s3:CreateBucket", "s3:PutBucketPolicy" ], "Effect": "Allow", "Resource": "arn:aws:s3::*:codepipeline-*", "Sid": "CodePipelineArtifactsReadWriteAccess" }, { "Action": [ "cloudtrail:PutEventSelectors", "cloudtrail:CreateTrail", "cloudtrail:GetEventSelectors", "cloudtrail:StartLogging" ], "Effect": "Allow", "Resource": "arn:aws:cloudtrail:*:*:trail/codepipeline-source-trail", "Sid": "CodePipelineSourceTrailReadWriteAccess" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/service-role/cwe-role-*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "events.amazonaws.com" ] } }, "Sid": "EventsIAMPassRole" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "codepipeline.amazonaws.com" ] } }, "Sid": "CodePipelineIAMPassRole" }, { "Action": [ "events:PutRule", "events:PutTargets", "events:DeleteRule", "events:DisableRule", "events:RemoveTargets" ], "Effect": "Allow", "Resource": [ "arn:aws:events:*:*:rule/codepipeline-*" ], "Sid": "CodePipelineEventsReadWriteAccess" }, { "Sid": "CodeStarNotificationsReadWriteAccess", "Effect": "Allow", "Action": [ "codestar-notifications:CreateNotificationRule", "codestar-notifications:DescribeNotificationRule", "codestar-notifications:UpdateNotificationRule", "codestar-notifications:DeleteNotificationRule", "codestar-notifications:Subscribe", "codestar-notifications:Unsubscribe" ], "Resource": "*", "Condition": { "StringLike": { "codestar-notifications:NotificationsForResource": "arn:aws:codepipeline:*" } } }, { "Sid": "CodeStarNotificationsSNSTopicCreateAccess", "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:SetTopicAttributes" ], "Resource": "arn:aws:sns:*:*:codestar-notifications*" }, { "Sid": "CodeStarNotificationsChatbotAccess", "Effect": "Allow", "Action": [ "chatbot:DescribeSlackChannelConfigurations", "chatbot:ListMicrosoftTeamsChannelConfigurations" ], "Resource": "*" } ], "Version": "2012-10-17" }
Política administrada AWS: AWSCodePipeline_ReadOnlyAccess
Esta es una política que concede acceso de solo lectura a CodePipeline. Para ver el documento de política de JSON en la consola de IAM, consulte AWSCodePipeline_readOnlyAccess
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
codepipeline: otorga permisos a las acciones en CodePipeline. -
codestar-notifications: otorga permisos para permitir a las entidades principales acceder a los recursos de las notificaciones de AWS CodeStar. -
s3: otorga permisos para permitir a las entidades principales administrar los recursos en Amazon S3. -
sns: otorga permisos para que los directores administren los recursos de notificaciones en Amazon SNS.
{ "Statement": [ { "Action": [ "codepipeline:GetPipeline", "codepipeline:GetPipelineState", "codepipeline:GetPipelineExecution", "codepipeline:ListPipelineExecutions", "codepipeline:ListActionExecutions", "codepipeline:ListActionTypes", "codepipeline:ListPipelines", "codepipeline:ListTagsForResource", "s3:ListAllMyBuckets", "codestar-notifications:ListNotificationRules", "codestar-notifications:ListEventTypes", "codestar-notifications:ListTargets" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "s3:GetObject", "s3:ListBucket", "s3:GetBucketPolicy" ], "Effect": "Allow", "Resource": "arn:aws:s3::*:codepipeline-*" }, { "Sid": "CodeStarNotificationsReadOnlyAccess", "Effect": "Allow", "Action": [ "codestar-notifications:DescribeNotificationRule" ], "Resource": "*", "Condition": { "StringLike": { "codestar-notifications:NotificationsForResource": "arn:aws:codepipeline:*" } } } ], "Version": "2012-10-17" }
Política administrada de AWS: AWSCodePipelineApproverAccess
Se trata de una política que otorga permiso para aprobar o rechazar una acción de aprobación manual. Para ver el documento de políticas JSON en la consola de IAM, consulte AWSCodePipelineApproverAccess
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
codepipeline: otorga permisos a las acciones en CodePipeline.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "codepipeline:GetPipeline", "codepipeline:GetPipelineState", "codepipeline:GetPipelineExecution", "codepipeline:ListPipelineExecutions", "codepipeline:ListPipelines", "codepipeline:PutApprovalResult" ], "Effect": "Allow", "Resource": "*" } ] }
Política administrada AWS: AWSCodePipelineCustomActionAccess
Se trata de una política que permite crear acciones personalizadas en CodePipeline o integrar los recursos de Jenkins para crear o probar acciones. Para ver el documento de políticas JSON en la consola de IAM, consulte AWSCodePipelineCustomActionAccess
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
codepipeline: otorga permisos a las acciones en CodePipeline.
{ "Statement": [ { "Action": [ "codepipeline:AcknowledgeJob", "codepipeline:GetJobDetails", "codepipeline:PollForJobs", "codepipeline:PutJobFailureResult", "codepipeline:PutJobSuccessResult" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Políticas y notificaciones administradas por CodePipeline
CodePipeline admite notificaciones, que pueden notificar a los usuarios cambios importantes en las canalizaciones. La políticas administradas de CodePipeline incluyen instrucciones de política para la funcionalidad de notificación. Para obtener más información, consulte ¿Qué son las notificaciones?
Permisos relacionados con las notificaciones en políticas administradas de acceso total
Esta política administrada concede permisos a CodePipeline junto con los servicios relacionados CodeCommit, CodeBuild, CodeDeploy y Notifications. AWS CodeStar La política también otorga los permisos que necesita para trabajar con otros servicios que se integran con sus canalizaciones, como Amazon S3, Elastic Beanstalk, CloudTrail, Amazon EC2 y AWS CloudFormation. Los usuarios con esta política administrada aplicada también pueden crear y administrar temas de Amazon SNS para notificaciones, suscribirse y cancelar la suscripción de los usuarios a los temas, mostrar los temas que se pueden elegir como destinos para las reglas de notificación y mostrar los clientes de AWS Chatbot configurados para Slack.
La política administrada AWSCodePipeline_FullAccess incluye las siguientes instrucciones para permitir el acceso completo a las notificaciones.
{ "Sid": "CodeStarNotificationsReadWriteAccess", "Effect": "Allow", "Action": [ "codestar-notifications:CreateNotificationRule", "codestar-notifications:DescribeNotificationRule", "codestar-notifications:UpdateNotificationRule", "codestar-notifications:DeleteNotificationRule", "codestar-notifications:Subscribe", "codestar-notifications:Unsubscribe" ], "Resource": "*", "Condition" : { "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codepipeline:us-west-2:111222333444:MyFirstPipeline"} } }, { "Sid": "CodeStarNotificationsListAccess", "Effect": "Allow", "Action": [ "codestar-notifications:ListNotificationRules", "codestar-notifications:ListTargets", "codestar-notifications:ListTagsforResource", "codestar-notifications:ListEventTypes" ], "Resource": "*" }, { "Sid": "CodeStarNotificationsSNSTopicCreateAccess", "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:SetTopicAttributes" ], "Resource": "arn:aws:sns:*:*:codestar-notifications*" }, { "Sid": "SNSTopicListAccess", "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Sid": "CodeStarNotificationsChatbotAccess", "Effect": "Allow", "Action": [ "chatbot:DescribeSlackChannelConfigurations", "chatbot:ListMicrosoftTeamsChannelConfigurations" ], "Resource": "*" }
Permisos relacionados con las notificaciones en políticas administradas de solo lectura
La política administrada AWSCodePipeline_ReadOnlyAccess incluye las siguientes instrucciones para permitir el acceso de solo lectura a las notificaciones. Los usuarios que apliquen esta política pueden consultar notificaciones de recursos, pero no pueden crearlas, administrarlas ni suscribirse a ellas.
{ "Sid": "CodeStarNotificationsPowerUserAccess", "Effect": "Allow", "Action": [ "codestar-notifications:DescribeNotificationRule" ], "Resource": "*", "Condition" : { "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codepipeline:us-west-2:111222333444:MyFirstPipeline"} } }, { "Sid": "CodeStarNotificationsListAccess", "Effect": "Allow", "Action": [ "codestar-notifications:ListNotificationRules", "codestar-notifications:ListEventTypes", "codestar-notifications:ListTargets" ], "Resource": "*" }
Para obtener más información acerca de IAM y las notificaciones consulte Identity and Access Management para AWS CodeStar Notifications.
Actualizaciones de AWS CodePipeline a las políticas administradas de AWS
Es posible consultar los detalles sobre las actualizaciones de las políticas administradas de AWS para CodePipeline debido a que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de CodePipeline.
| Cambio | Descripción | Fecha |
|---|---|---|
| AWSCodePipeline_FullAccess: actualizaciones de la política existente | CodePipeline agregó un permiso a esta política para admitir ListStacks en AWS CloudFormation. |
15 de marzo de 2024 |
| AWSCodePipeline_FullAccess: actualizaciones de la política existente | Esta política se actualizó para añadir permisos para AWS Chatbot. Para obtener más información, consulte Políticas y notificaciones administradas por CodePipeline. | 21 de junio de 2023 |
|
Políticas administradas AWSCodePipeline_FullAccess y AWSCodePipeline_ReadOnlyAccess: actualizaciones de la política existente |
CodePipeline añadió un permiso a estas políticas para admitir un tipo de notificación adicional mediante AWS Chatbot, |
16 de mayo de 2023 |
|
AWSCodePipelineFullAccess: obsoleto |
Esta política ha sido reemplazada por Después del 17 de noviembre de 2022, esta política no se podrá adjuntar a ningún usuario, grupo o función nuevos. Para obtener más información, consulte Políticas administradas de AWS para AWS CodePipeline. |
17 de noviembre de 2022 |
|
AWSCodePipelineReadOnlyAccess: obsoleto |
Esta política ha sido reemplazada por Después del 17 de noviembre de 2022, esta política no se podrá adjuntar a ningún usuario, grupo o función nuevos. Para obtener más información, consulte Políticas administradas de AWS para AWS CodePipeline. |
17 de noviembre de 2022 |
|
CodePipeline comenzó a realizar el seguimiento de los cambios |
CodePipeline comenzó el seguimiento de los cambios de las políticas administradas de AWS. |
12 de marzo de 2021 |
