Langkah 3: Batasi izin CodeDeploy pengguna - AWS CodeDeploy

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 3: Batasi izin CodeDeploy pengguna

Untuk alasan keamanan, sebaiknya Anda membatasi izin pengguna administratif yang Anda buat hanya Langkah 1: Menyiapkan untuk yang diperlukan untuk membuat dan mengelola penerapan. CodeDeploy

Gunakan serangkaian prosedur berikut untuk membatasi izin pengguna CodeDeploy administratif.

Sebelum Anda mulai

  • Pastikan Anda telah membuat pengguna CodeDeploy administratif di IAM Identity Center mengikuti petunjuk diLangkah 1: Menyiapkan.

Untuk membuat set izin

Anda akan menetapkan izin ini disetel ke pengguna CodeDeploy administratif nanti.

  1. Masuk ke AWS Management Console dan buka AWS IAM Identity Center konsol di https://console.aws.amazon.com/singlesignon/.

  2. Di panel navigasi, pilih Set izin, lalu pilih Buat set izin.

  3. Pilih Set izin khusus.

  4. Pilih Selanjutnya.

  5. Pilih kebijakan Inline.

  6. Hapus kode sampel.

  7. Tambahkan kode kebijakan berikut:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeDeployAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "autoscaling:*",
        "codedeploy:*",
        "ec2:*",
        "lambda:*",
        "ecs:*",
        "elasticloadbalancing:*",
        "iam:AddRoleToInstanceProfile",
        "iam:AttachRolePolicy",
        "iam:CreateInstanceProfile",
        "iam:CreateRole",
        "iam:DeleteInstanceProfile",
        "iam:DeleteRole",
        "iam:DeleteRolePolicy",
        "iam:GetInstanceProfile",
        "iam:GetRole",
        "iam:GetRolePolicy",
        "iam:ListInstanceProfilesForRole",
        "iam:ListRolePolicies",
        "iam:ListRoles",
        "iam:PutRolePolicy",
        "iam:RemoveRoleFromInstanceProfile",
        "s3:*",
        "ssm:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeDeployRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/CodeDeployServiceRole"
    }
  ]
}

    Dalam kebijakan ini, ganti arn:aws:iam: :account-id:role/ dengan nilai ARN dari peran layanan CodeDeployServiceRole yang Anda buat. CodeDeploy Langkah 2: Buat peran layanan untuk CodeDeploy Anda dapat menemukan nilai ARN di halaman detail peran layanan di konsol IAM.

    Kebijakan sebelumnya memungkinkan Anda menerapkan aplikasi ke platform komputasi AWS Lambda, platform komputasi EC2/lokal, dan platform komputasi Amazon ECS.

    Anda dapat menggunakan AWS CloudFormation templat yang disediakan dalam dokumentasi ini untuk meluncurkan instans Amazon EC2 yang kompatibel dengannya. CodeDeploy Untuk menggunakan AWS CloudFormation templat untuk membuat aplikasi, grup penyebaran, atau konfigurasi penerapan, Anda harus menyediakan akses ke AWS CloudFormation—dan AWS layanan serta tindakan yang AWS CloudFormation bergantung pada—dengan menambahkan cloudformation:* izin ke kebijakan izin pengguna CodeDeploy administratif, seperti ini:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        ...
        "cloudformation:*"        
      ],
      "Resource": "*"
    }
  ]
}

  8. Pilih Selanjutnya.

  9. Dalam nama set Izin, masukkan:

    CodeDeployUserPermissionSet

  10. Pilih Selanjutnya.

  11. Pada halaman Tinjau dan buat, tinjau informasi dan pilih Buat.

Untuk menetapkan izin yang disetel ke pengguna CodeDeploy administratif

  1. Di panel navigasi, pilih Akun AWS, lalu pilih kotak centang di Akun AWS samping tempat Anda masuk saat ini.

  2. Pilih tombol Tetapkan pengguna atau grup.

  3. Pilih tab Pengguna.

  4. Pilih kotak centang di sebelah pengguna CodeDeploy administratif.

  5. Pilih Selanjutnya.

  6. Pilih kotak centang di sebelahCodeDeployUserPermissionSet.

  7. Pilih Selanjutnya.

  8. Tinjau informasi dan pilih Kirim.

    Anda sekarang telah menetapkan pengguna CodeDeploy administratif dan CodeDeployUserPermissionSet untuk Anda Akun AWS, mengikat mereka bersama-sama.

Untuk keluar dan masuk kembali sebagai pengguna CodeDeploy administratif

  1. Sebelum Anda keluar, pastikan Anda memiliki URL portal AWS akses dan nama pengguna dan kata sandi satu kali untuk pengguna CodeDeploy admin.

    catatan

    Jika Anda tidak memiliki informasi ini, buka halaman detail pengguna CodeDeploy admin di IAM Identity Center, pilih Reset password, Hasilkan password satu kali [...] , dan Reset kata sandi lagi untuk menampilkan informasi di layar.

  2. Keluar dari AWS.

  3. Rekatkan URL portal AWS akses ke bilah alamat browser Anda.

  4. Masuk sebagai pengguna CodeDeploy adminstratif.

    Sebuah Akun AWSkotak muncul di layar.

  5. Pilih Akun AWS, lalu pilih nama yang Anda tetapkan pengguna CodeDeploy adminstratif dan set izin. Akun AWS

  6. Di sebelahCodeDeployUserPermissionSet, pilih Konsol manajemen.

    AWS Management Console Muncul. Anda sekarang masuk sebagai pengguna CodeDeploy adminstratif dengan izin terbatas. Anda sekarang dapat melakukan operasi CodeDeploy -related, dan hanya operasi CodeDeploy -related, sebagai pengguna ini.