Crea una canalización CodePipeline que utilice recursos de otra AWS cuenta - AWS CodePipeline
Requisito previo: crear una clave de cifrado de AWS KMSPaso 1: Configurar roles y políticas de cuentaPaso 2: Editar la canalización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crea una canalización CodePipeline que utilice recursos de otra AWS cuenta

Puede ser conveniente crear una canalización que use recursos creados o administrados por otra cuenta de AWS . Por ejemplo, es posible que desees usar una cuenta para tu canalización y otra para tus CodeDeploy recursos.

nota

Al crear una canalización con acciones de varias cuentas, debe configurar sus acciones para que puedan obtener acceso a los artefactos en las limitaciones de las canalizaciones entre cuentas. Las siguientes limitaciones se aplican a las acciones entre cuentas:

  • En general, una acción solo puede consumir un artefacto si:

    • La acción está en la misma cuenta que la cuenta de canalización, o

    • El artefacto se creó en la cuenta de la canalización para una acción en otra cuenta, o

    • El artefacto se produjo por una acción anterior en la misma cuenta que la acción

    En otras palabras, no puede pasar un artefacto de una cuenta a otra si ninguna de las dos cuentas es la de canalización.

  • No se admiten las acciones entre cuentas para los siguientes tipos de acción:

    • Acciones de compilación Jenkins

Para este ejemplo, debes crear una clave AWS Key Management Service (AWS KMS) para usarla, añadir la clave a la canalización y configurar políticas y roles de cuenta para permitir el acceso entre cuentas. Para una clave AWS KMS, puede usar el ID de clave, el ARN de clave o el alias ARN.

nota

Los alias se reconocen únicamente en la cuenta que ha creado la clave de KMS. Para las acciones entre cuentas, solo puede utilizar el ID de clave o un ARN de clave para identificar la clave. Las acciones entre cuentas implican el uso del rol de la otra cuenta (AccountB), por lo que al especificar el ID de clave se utilizará la clave de la otra cuenta (AccountB).

En esta guía y sus ejemplos, AccountA es la cuenta utilizada originalmente para crear la canalización. Tiene acceso al bucket de Amazon S3 que se utiliza para almacenar los artefactos de la canalización y a la función de servicio que utiliza AWS CodePipeline. AccountB es la cuenta que se usó originalmente para crear la CodeDeploy aplicación, el grupo de implementación y el rol de servicio utilizados por. CodeDeploy

Para que AccountA edite una canalización para usar la CodeDeploy aplicación creada por AccountB, AccountA debe:

  • Solicitar el ARN o ID de cuenta de AccountB (en esta guía, el ID de AccountB es 012ID_ACCOUNT_B).

  • Crea o usa una clave administrada por el AWS KMS cliente en la región para la canalización y otorga permisos para usar esa clave al rol de servicio (CodePipeline_Service_Role) y a AccountB.

  • Crea una política de bucket de Amazon S3 que conceda a AccountB acceso al bucket de Amazon S3 (por ejemplo, codepipeline-us-east-2-1234567890).

  • Cree una política que permita a AccountA asumir un rol configurado por AccountB y adjunte esa política al rol de servicio (_Service_Role). CodePipeline

  • Edite la canalización para usar la AWS KMS clave administrada por el cliente en lugar de la clave predeterminada.

Para que AccountB permita el acceso a sus recursos a una canalización creada en AccountA, AccountB debe hacer lo siguiente:

  • Solicitar el ARN o ID de cuenta de AccountA (en esta guía, el ID de AccountA es 012ID_ACCOUNT_A).

  • Cree una política que se aplique al rol de instancia de Amazon EC2 configurado para CodeDeploy el acceso al bucket de Amazon S3 (codepipeline-us-east-2-1234567890).

  • Cree una política que se aplique al rol de instancia de Amazon EC2 configurado para el acceso a la clave administrada por el AWS KMS cliente CodeDeploy que se utiliza para cifrar los artefactos de la canalización en AccountA.

  • Configure y asocie un rol de IAM (CrossAccount_Role) con una política de relación de confianza que permita que el rol de CodePipeline servicio en AccountA asuma el rol.

  • Cree una política que permita el acceso a los recursos de despliegue necesarios para la canalización y adjúntela a _Role. CrossAccount

  • Cree una política que permita el acceso al bucket de Amazon S3 (codepipeline-us-east-2-1234567890) y adjúntela a _Role. CrossAccount

Requisito previo: crear una clave de cifrado de AWS KMS

Las claves administradas por el cliente son específicas de una región, al igual que todas las claves. AWS KMS Debes crear tu AWS KMS clave gestionada por el cliente en la misma región en la que se creó la canalización (por ejemplo,us-east-2).

Para crear una clave gestionada por el cliente en AWS KMS

  1. Inicia sesión en AWS Management Console with AccountA y abre la AWS KMS consola.

  2. A la izquierda, seleccione Claves administradas por el cliente.

  3. Elija Create key. En la Configurar clave, deje el valor predeterminado Simétrico seleccionado y elija Siguiente.

  4. En Alias, introduce un alias para usar con esta clave (por ejemplo, PipelineName-Key). Opcionalmente, proporcione una descripción y las etiquetas de esta clave; después, elija Paso siguiente.

  5. En Definir permisos de administración de claves, elija su usuario de y cualesquiera otros usuarios o grupos que desee que actúen como administradores de esta clave y, a continuación, elija Siguiente.

  6. En Definir permisos de uso de claves, en Esta cuenta, seleccione el nombre del rol de servicio para la canalización (por ejemplo, CodePipeline _Service_Role). En Otras AWS cuentas, selecciona Añadir otra cuenta. AWS Escriba el ID de AccountB para completar el ARN y elija Siguiente.

  7. En Revisar y editar política de claves, revise la política y, después, elija Terminar.

  8. En la lista de claves, elija el alias de la clave y copie su ARN (por ejemplo, arn:aws:kms:us-east-2:012ID_ACCOUNT_A:key/2222222-3333333-4444-556677EXAMPLE). Lo necesitará cuando edite la canalización y configure las políticas.

Paso 1: Configurar roles y políticas de cuenta

Después de crear la AWS KMS clave, debes crear y adjuntar políticas que permitan el acceso entre cuentas. Esto requiere acciones tanto desde AccountA como desde AccountB.

Configurar políticas y roles en la cuenta donde se va a crear la canalización (AccountA)

Para crear una canalización que utilice CodeDeploy los recursos asociados a otra AWS cuenta, AccountA debe configurar políticas tanto para el bucket de Amazon S3 que se utiliza para almacenar artefactos como para la función de servicio. CodePipeline

Para crear una política para el bucket de Amazon S3 que concede acceso a AccountB (consola)

  1. Inicie sesión en AWS Management Console with AccountA y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. En la lista de buckets de Amazon S3, elija el bucket de Amazon S3 en el que se almacenan los artefactos para la canalización. Se llama este depósitocodepipeline-region-1234567EXAMPLE, donde region es la AWS región en la que se creó la canalización y 1234567EXAMPLE es un número aleatorio de diez dígitos que garantiza que el nombre del bucket sea único (por ejemplo, -2-1234567890). codepipeline-us-east

  3. En la página de detalles del bucket de Amazon S3, elija Propiedades.

  4. En el panel de propiedades, expanda Permisos y después elija Añadir política de bucket.

    nota

    Si ya hay una política asociada al bucket de Amazon S3, elija Editar política de bucket. A continuación, puede añadir las instrucciones del siguiente ejemplo a la política. Para añadir una política nueva, elija el enlace y siga las instrucciones del generador de políticas. AWS Para obtener más información, consulte Información general de las políticas de IAM.

  5. En la ventana Editor de políticas e bucket, escriba la siguiente política. Esto permitirá el acceso de AccountB a los artefactos de canalización y brindará a AccountB la posibilidad de añadir artefactos de salida si una acción, como una fuente personalizada o acción de compilación, los crea.

    En el siguiente ejemplo, el ARN de Cuenta B es 012ID_ACCOUNT_B. El ARN del bucket de Amazon S3 es codepipeline-us-east -2-1234567890. Sustituya estos ARN con el ARN de la cuenta a la que desea permitir el acceso y el ARN del bucket de Amazon S3:

     {
  "Version": "2012-10-17",
  "Id": "SSEAndSSLPolicy",
  "Statement": [
	{
  	"Sid": "DenyUnEncryptedObjectUploads",
	  "Effect": "Deny",
	  "Principal": "*",
	  "Action": "s3:PutObject",
	  "Resource": "arn:aws:s3:::codepipeline-us-east-2-1234567890/*",
	  "Condition": {
		"StringNotEquals": {
		"s3:x-amz-server-side-encryption": "aws:kms"
		}
	   }
	 },
	{
	  "Sid": "DenyInsecureConnections",
	  "Effect": "Deny",
	  "Principal": "*",
	  "Action": "s3:*",
	  "Resource": "arn:aws:s3:::codepipeline-us-east-2-1234567890/*",
	  "Condition": {
		"Bool": {
	  		"aws:SecureTransport": false
			}
		}
	  },
	{
	  "Sid": "",
	  "Effect": "Allow",
	  "Principal": {
		"AWS": "arn:aws:iam::012ID_ACCOUNT_B:root"
		},
	  "Action": [
            "s3:Get*",
            "s3:Put*"
        ],
	  "Resource": "arn:aws:s3:::codepipeline-us-east-2-1234567890/*"
	},
	{
	  "Sid": "",
	  "Effect": "Allow",
	  "Principal": {
	      "AWS": "arn:aws:iam::012ID_ACCOUNT_B:root"
			},
	  "Action": "s3:ListBucket",
  	"Resource": "arn:aws:s3:::codepipeline-us-east-2-1234567890"
	}
   ]
}

  6. Elija Guardar y, a continuación, cierre el editor de políticas.

  7. Elija Guardar para guardar los permisos para el bucket de Amazon S3.

Para crear una política para el rol de servicio de (consola) CodePipeline

  1. Inicie sesión en AWS Management Console with AccountA y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles en el panel de navegación.

  3. En la lista de funciones, en Nombre de la función, elija el nombre de la función de servicio. CodePipeline

  4. En la pestaña Permisos, elija Añadir política en línea.

  5. Seleccione la pestaña JSON e introduzca la siguiente política para permitir que AccountB asuma el rol. En el siguiente ejemplo, 012ID_ACCOUNT_B es el ARN de AccountB:

    {
   "Version": "2012-10-17",
   "Statement": {
       "Effect": "Allow",
       "Action": "sts:AssumeRole",
       "Resource": [
           "arn:aws:iam::012ID_ACCOUNT_B:role/*"
       ]
   }
 }

  6. Elija Revisar política.

  7. En Name (Nombre), introduzca un nombre para esta política. Elija Crear política.

Configurar políticas y funciones en la cuenta propietaria del AWS recurso (AccountB)

Al crear una aplicación, una implementación y un grupo de implementaciones en CodeDeploy, también crea una función de instancia de Amazon EC2. (Este rol se crea automáticamente cuando se usa el asistente para ejecutar la implementación, pero también puede crearlo manualmente). Para que una canalización creada en AccountA utilice CodeDeploy los recursos creados en AccountB, debes:

  • Configurar una política para el rol de instancia que le permita el acceso al bucket de Amazon S3 donde se almacenan los artefactos de la canalización.

  • Crear un segundo rol en AccountB configurado para el acceso entre cuentas.

    Esta segunda función no solo debe tener acceso al bucket de Amazon S3 en AccountA, sino que también debe contener una política que permita el acceso a los CodeDeploy recursos y una política de relación de confianza que permita que la función de CodePipeline servicio en AccountA asuma esa función.

    nota

    Estas políticas son específicas para configurar CodeDeploy los recursos que se utilizarán en una canalización creada con una cuenta diferente AWS . Otros AWS recursos requerirán políticas específicas para sus necesidades de recursos.

Para crear una política para el rol de instancia de Amazon EC2 configurado para CodeDeploy (consola)

  1. Inicie sesión en AWS Management Console with AccountB y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles en el panel de navegación.

  3. En la lista de funciones, en Nombre de función, elija el nombre de la función de servicio utilizada como función de instancia de Amazon EC2 para la CodeDeploy aplicación. El nombre de este rol puede variar, y un grupo de implementaciones puede usar más de un rol de instancia. Para obtener más información, consulte Crear un perfil de instancia de IAM para sus instancias de Amazon EC2.

  4. En la pestaña Permisos, elija Añadir política en línea.

  5. Selecciona la pestaña JSON e introduce la siguiente política para conceder acceso al bucket de Amazon S3 que AccountA usa para almacenar artefactos para canalizaciones (en este ejemplo, codepipeline-us-east -2-1234567890):

    {
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Action": [
         "s3:Get*"
       ],
       "Resource": [
         "arn:aws:s3:::codepipeline-us-east-2-1234567890/*"
       ]
     },
     {
       "Effect": "Allow",
       "Action": [
         "s3:ListBucket"
       ],
       "Resource": [
         "arn:aws:s3:::codepipeline-us-east-2-1234567890"
       ]
     }
   ]
 }

  6. Elija Revisar política.

  7. En Name (Nombre), introduzca un nombre para esta política. Elija Crear política.

  8. Cree una segunda política para determinar AWS KMS dónde arn:aws:kms:us-east-1:012ID_ACCOUNT_A:key/2222222-3333333-4444-556677EXAMPLE está el ARN de la clave gestionada por el cliente creada en AccountA y configurada para permitir que AccountB la utilice:

    {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Action": [
           "kms:DescribeKey",
           "kms:GenerateDataKey*",
           "kms:Encrypt",
           "kms:ReEncrypt*",
           "kms:Decrypt"
          ],
        "Resource": [
           "arn:aws:kms:us-east-1:012ID_ACCOUNT_A:key/2222222-3333333-4444-556677EXAMPLE"
          ]
      }
   ]
}
    importante

    Debe usar el ID de cuenta de AccountA en esta política como parte del ARN del recurso para la AWS KMS clave, como se muestra aquí, o la política no funcionará.

  9. Elija Revisar política.

  10. En Name (Nombre), introduzca un nombre para esta política. Elija Crear política.

Ahora cree un rol de IAM para usarlo en el acceso entre cuentas y configúrelo para que el rol de CodePipeline servicio en AccountA pueda asumir ese rol. Esta función debe contener políticas que permitan el acceso a los CodeDeploy recursos y al bucket de Amazon S3 que se utiliza para almacenar artefactos en AccountA.

Para configurar el rol de acceso entre cuentas en IAM

  1. Inicie sesión en AWS Management Console with AccountB y abra la consola de IAM en https://console.aws.amazon.com/iam.

  2. Seleccione Roles en el panel de navegación. Elija Crear rol.

  3. En Seleccione el tipo de entidad de confianza, elija Otra cuenta de AWS ). En Especificar las cuentas que pueden usar este rol, en ID de cuenta, ingresa el ID de AWS cuenta de la cuenta que creará la canalización en CodePipeline (AccountA) y, a continuación, selecciona Next: Permissions.

    importante

    Este paso crea la política de relación de confianza entre AccountB y AccountA. Sin embargo, esto otorga acceso de nivel raíz a la cuenta y se CodePipeline recomienda limitarlo a la función de CodePipeline servicio en AccountA. Sigue el paso 16 para restringir los permisos.

  4. En Adjuntar políticas de permisos, selecciona AmazonS3 yReadOnlyAccess, a continuación, selecciona Siguiente: etiquetas.

    nota

    Esta no es la política que usará. Debe elegir una política para completar el asistente.

  5. Elija Siguiente: Revisar. Escriba un nombre para este rol en Nombre del rol (por ejemplo, CrossAccount_Role). Puede dar a este rol el nombre que desee, siempre y cuando siga las convenciones de nomenclatura de IAM. Considere dar al rol un nombre que indique claramente su finalidad. Elija Crear rol.

  6. En la lista de roles, elija el rol que acaba de crear (por ejemplo, CrossAccount_Role) para abrir la página de resumen de ese rol.

  7. En la pestaña Permisos, elija Añadir política en línea.

  8. Elija la pestaña JSON e introduzca la siguiente política para permitir el acceso a CodeDeploy los recursos:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codedeploy:CreateDeployment",
        "codedeploy:GetDeployment",
        "codedeploy:GetDeploymentConfig",
        "codedeploy:GetApplicationRevision",
        "codedeploy:RegisterApplicationRevision"
      ],
      "Resource": "*"
    }
  ]
}

  9. Elija Revisar política.

  10. En Name (Nombre), introduzca un nombre para esta política. Elija Crear política.

  11. En la pestaña Permisos, elija Añadir política en línea.

  12. Elija la pestaña JSON, e introduzca la siguiente política para que este rol recupere artefactos de entrada e introduzca los artefactos de salida en el bucket de Amazon S3 en AccountA:

    {
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Action": [
         "s3:GetObject*",
         "s3:PutObject",
         "s3:PutObjectAcl"               
       ],
       "Resource": [
         "arn:aws:s3:::codepipeline-us-east-2-1234567890/*"
       ]
     }
   ]
}

  13. Elija Revisar política.

  14. En Name (Nombre), introduzca un nombre para esta política. Elija Crear política.

  15. En la pestaña Permisos, busque AmazonS3 ReadOnlyAccess en la lista de políticas que aparece debajo del nombre de la política y elija el icono de eliminación (X) situado junto a la política. Cuando se le pregunte, elija Separar.

  16. Seleccione la pestaña Relación de confianza y, a continuación, elija Editar política de confianza. Elija la opción Añadir un principal en la columna de la izquierda. En el tipo principal, elija Funciones de IAM y, a continuación, proporcione el ARN para CodePipeline la función de servicio en AccountA. Elimine arn:aws:iam::Account_A:root de la lista de AWS directores y, a continuación, seleccione Actualizar política.

Paso 2: Editar la canalización

No puedes usar la CodePipeline consola para crear o editar una canalización que utilice recursos asociados a otra AWS cuenta. Sin embargo, puedes usar la consola para crear la estructura general de la canalización y, AWS CLI a continuación, usarla para editarla y añadir esos recursos. Como alternativa, puede usar la estructura de una canalización existente y agregarle los recursos manualmente.

Para añadir los recursos asociados a otra AWS cuenta (AWS CLI)

  1. En un terminal (Linux, macOS o Unix) o el símbolo del sistema (Windows), ejecute el comando get-pipeline para la canalización a la que desea añadir recursos. Copie el resultado del comando a un archivo JSON. Por ejemplo, en el caso de una canalización denominada MyFirstPipeline, escribirías algo parecido a lo siguiente:

    aws codepipeline get-pipeline --name MyFirstPipeline >pipeline.json

    El resultado se envía al archivo pipeline.json.

  2. Abra el archivo JSON en cualquier editor de texto sin formato. Después, "type": "S3" en el almacén de artefactos, añada la clave de cifrado de KMS, el ID y escriba la información, codepipeline-us-eastdonde -2-1234567890 es el nombre del depósito de Amazon S3 que se utiliza para almacenar los artefactos de la arn:aws:kms:us-east-1:012ID_ACCOUNT_A:key/2222222-3333333-4444-556677EXAMPLE canalización y es el ARN de la clave administrada por el cliente que acaba de crear:

    {
  "artifactStore”: {
    "location": "codepipeline-us-east-2-1234567890", 
    "type": "S3",
    "encryptionKey": {
      "id": "arn:aws:kms:us-east-1:012ID_ACCOUNT_A:key/2222222-3333333-4444-556677EXAMPLE",
      "type": "KMS"
    }
  },

  3. Agrega una acción de despliegue en una etapa para usar los CodeDeploy recursos asociados a AccountB, incluidos roleArn los valores del rol multicuenta que creaste (CrossAccount_Role).

    En el siguiente ejemplo, se muestra un JSON que añade una acción de despliegue denominada. ExternalDeploy Utiliza los CodeDeploy recursos creados en AccountB en una etapa denominada Staging. En el siguiente ejemplo, el ARN de AccountB es 012ID_ACCOUNT_B:

    ,
            {
                "name": "Staging",
                "actions": [
                    {
                        "inputArtifacts": [
                            {
                                "name": "MyAppBuild"
                            }
                        ],
                        "name": "ExternalDeploy",
                        "actionTypeId": {
                            "category": "Deploy",
                            "owner": "AWS",
                            "version": "1",
                            "provider": "CodeDeploy"
                        },
                        "outputArtifacts": [],
                        "configuration": {
                            "ApplicationName": "AccountBApplicationName",
                            "DeploymentGroupName": "AccountBApplicationGroupName"
                        },
                        "runOrder": 1,
                        "roleArn": "arn:aws:iam::012ID_ACCOUNT_B:role/CrossAccount_Role"
                    }
                ]
            }
    nota

    Este no es el JSON para toda la canalización, sino solo la estructura de la acción en una etapa.

  4. Debe eliminar las líneas metadata del archivo para que el comando update-pipeline pueda utilizarlo. Quite la sección de la estructura de canalizaciones del archivo JSON (las líneas "metadata": { } y los campos "created", "pipelineARN" y "updated" que contenga).

    Por ejemplo, quite las siguientes líneas de la estructura: 

    "metadata": {  
  "pipelineArn": "arn:aws:codepipeline:region:account-ID:pipeline-name",
  "created": "date",
  "updated": "date"
  }

    Guarde el archivo.

  5. Para aplicar los cambios, ejecute el comando update-pipeline, especificando el archivo JSON de la canalización, de forma similar a como se muestra a continuación:

    importante

    Asegúrese de incluir file:// antes del nombre de archivo. Es obligatorio en este comando.

    aws codepipeline update-pipeline --cli-input-json file://pipeline.json

    Este comando devuelve la estructura completa de la canalización editada.

Para probar la canalización que utiliza los recursos asociados a otra cuenta AWS

  1. En un terminal (Linux, macOS o Unix) o el símbolo del sistema (Windows), ejecute el comando start-pipeline-execution, especificando el nombre de la canalización, de un modo similar al siguiente:

    aws codepipeline start-pipeline-execution --name MyFirstPipeline

    Para obtener más información, consulte Iniciar la canalización manualmente.

  2. Inicia sesión en AWS Management Console with AccountA y abre la CodePipeline consola en http://console.aws.amazon.com/codesuite/codepipeline/home.

    Se muestran los nombres de todas las canalizaciones asociadas a tu AWS cuenta.

  3. En Name, elija el nombre de la canalización que acaba de editar. Esto abre una vista detallada de la canalización, que incluye el estado de cada acción en cada etapa de la canalización.

  4. Vea el progreso en la canalización. Espere a que aparezca un mensaje de éxito sobre la acción que utiliza el recurso asociado a otra AWS cuenta.

    nota

    Recibirá un error si intenta ver los detalles de la acción habiendo iniciado sesión con AccountA. Cierra sesión y, a continuación, inicia sesión con AccountB para ver los detalles de la implementación en. CodeDeploy