Étape 3 : Limiter les autorisations de l' CodeDeploy utilisateur - AWS CodeDeploy

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 3 : Limiter les autorisations de l' CodeDeploy utilisateur

Pour des raisons de sécurité, nous vous recommandons de limiter les autorisations de l'utilisateur administratif que vous avez créé Étape 1 : Configuration à celles requises pour créer et gérer des déploiements dans CodeDeploy.

Utilisez la série de procédures suivante pour limiter les autorisations de l'utilisateur CodeDeploy administratif.

Avant de commencer

  • Assurez-vous d'avoir créé un utilisateur CodeDeploy administratif dans IAM Identity Center en Étape 1 : Configuration suivant les instructions de.

Pour créer un jeu d'autorisations

Vous attribuerez cet ensemble d'autorisations à l'utilisateur CodeDeploy administratif ultérieurement.

  1. Connectez-vous à la AWS IAM Identity Center console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/singlesignon/.

  2. Dans le volet de navigation, choisissez Ensembles d'autorisations, puis choisissez Créer un ensemble d'autorisations.

  3. Choisissez Ensemble d'autorisations personnalisé.

  4. Choisissez Suivant.

  5. Choisissez Inline policy.

  6. Supprimez l'exemple de code.

  7. Ajoutez le code de politique suivant :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeDeployAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "autoscaling:*",
        "codedeploy:*",
        "ec2:*",
        "lambda:*",
        "ecs:*",
        "elasticloadbalancing:*",
        "iam:AddRoleToInstanceProfile",
        "iam:AttachRolePolicy",
        "iam:CreateInstanceProfile",
        "iam:CreateRole",
        "iam:DeleteInstanceProfile",
        "iam:DeleteRole",
        "iam:DeleteRolePolicy",
        "iam:GetInstanceProfile",
        "iam:GetRole",
        "iam:GetRolePolicy",
        "iam:ListInstanceProfilesForRole",
        "iam:ListRolePolicies",
        "iam:ListRoles",
        "iam:PutRolePolicy",
        "iam:RemoveRoleFromInstanceProfile",
        "s3:*",
        "ssm:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeDeployRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/CodeDeployServiceRole"
    }
  ]
}

    Dans cette politique, remplacez arn:aws:iam : :account-id:role/ par la valeur ARN du rôle de service que vous avez créé CodeDeployServiceRole dans. CodeDeploy Étape 2 : créer un rôle de service pour CodeDeploy Vous trouverez la valeur ARN sur la page de détails du rôle de service de la console IAM.

    La politique précédente vous permet de déployer une application sur une plate-forme de calcul AWS Lambda, une plate-forme de calcul EC2/sur site et une plate-forme de calcul Amazon ECS.

    Vous pouvez utiliser les AWS CloudFormation modèles fournis dans cette documentation pour lancer des instances Amazon EC2 compatibles avec. CodeDeploy Pour utiliser des AWS CloudFormation modèles pour créer des applications, des groupes de déploiement ou des configurations de déploiement, vous devez fournir un AWS CloudFormation accès aux AWS services et aux actions qui en AWS CloudFormation dépendent en ajoutant l'cloudformation:*autorisation à la politique d'autorisation de l'utilisateur CodeDeploy administratif, comme suit :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        ...
        "cloudformation:*"        
      ],
      "Resource": "*"
    }
  ]
}

  8. Choisissez Suivant.

  9. Dans Nom du jeu d'autorisations, entrez :

    CodeDeployUserPermissionSet

  10. Choisissez Suivant.

  11. Sur la page Réviser et créer, passez en revue les informations et choisissez Créer.

Pour attribuer l'ensemble d'autorisations à l'utilisateur CodeDeploy administratif

  1. Dans le volet de navigation, choisissez Comptes AWS, puis cochez la case à côté de Compte AWS celle à laquelle vous êtes actuellement connecté.

  2. Cliquez sur le bouton Attribuer des utilisateurs ou des groupes.

  3. Sélectionnez l'onglet Utilisateurs.

  4. Cochez la case à côté de l'utilisateur CodeDeploy administratif.

  5. Choisissez Suivant.

  6. Cochez la case située à côté deCodeDeployUserPermissionSet.

  7. Choisissez Suivant.

  8. Vérifiez les informations et choisissez Soumettre.

    Vous avez maintenant attribué l'utilisateur CodeDeploy administratif et CodeDeployUserPermissionSet à votre Compte AWS, en les liant ensemble.

Pour vous déconnecter et vous reconnecter en tant qu'utilisateur CodeDeploy administratif

  1. Avant de vous déconnecter, assurez-vous d'avoir l'URL du portail AWS d'accès ainsi que le nom d'utilisateur et le mot de passe à usage unique de l'utilisateur CodeDeploy administratif.

    Note

    Si vous ne disposez pas de ces informations, rendez-vous sur la page des informations de l'utilisateur CodeDeploy administratif dans IAM Identity Center, choisissez Réinitialiser le mot de passe, Générer un mot de passe à usage unique [...] , et Réinitialisez à nouveau le mot de passe pour afficher les informations à l'écran.

  2. Déconnectez-vous de AWS.

  3. Collez l'URL du portail d' AWS accès dans la barre d'adresse de votre navigateur.

  4. Connectez-vous en tant qu' CodeDeploy utilisateur administratif.

    Une Compte AWSboîte apparaît à l'écran.

  5. Choisissez Compte AWS, puis choisissez le nom auquel vous avez attribué l'utilisateur CodeDeploy administratif et le jeu d'autorisations. Compte AWS

  6. À côté deCodeDeployUserPermissionSet, choisissez Console de gestion.

    Le AWS Management Console apparaît. Vous êtes maintenant connecté en tant qu'utilisateur CodeDeploy administratif avec les autorisations limitées. Vous pouvez désormais effectuer des CodeDeploy opérations connexes, et uniquement des CodeDeploy opérations connexes, en tant que cet utilisateur.