Contoh kebijakan berbasis identitas AWS CodeDeploy - AWS CodeDeploy
Contoh kebijakan yang dikelola pelangganPraktik terbaik kebijakanMenggunakan konsolMengizinkan pengguna melihat izin mereka sendiri

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh kebijakan berbasis identitas AWS CodeDeploy

Secara default, pengguna tidak memiliki izin untuk membuat atau memodifikasi CodeDeploy sumber daya. Mereka juga tidak dapat melakukan tugas menggunakan AWS Management Console, AWS CLI, atau AWS API. Anda harus membuat IAM kebijakan yang memberikan izin IAM peran untuk melakukan API operasi pada sumber daya tertentu yang mereka butuhkan. Anda kemudian harus melampirkan IAM peran tersebut ke pengguna atau grup yang memerlukan izin tersebut.

Untuk mempelajari cara membuat kebijakan IAM berbasis identitas menggunakan contoh dokumen JSON kebijakan ini, lihat Membuat kebijakan pada JSON tab di Panduan Pengguna. IAM

Dalam CodeDeploy, kebijakan berbasis identitas digunakan untuk mengelola izin ke berbagai sumber daya yang terkait dengan proses penyebaran. Anda dapat mengontrol akses ke jenis sumber daya berikut:

  • Aplikasi dan revisi aplikasi.

  • Penerapan.

  • Konfigurasi penerapan.

  • Instans dan instans lokal.

Kemampuan yang dikendalikan oleh kebijakan sumber daya bervariasi tergantung pada jenis sumber daya, seperti yang diuraikan dalam tabel berikut:

Jenis sumber daya

Kemampuan

Semua

Lihat dan daftar detail tentang sumber daya

Aplikasi

Konfigurasi penerapan

Grup penyebaran

Buat sumber daya

Hapus sumber daya

Deployment

Buat deployment

Hentikan penerapan

Revisi aplikasi

Daftarkan revisi aplikasi

Aplikasi

Grup penyebaran

Perbarui sumber daya

Instans lokal

Tambahkan tag ke instance

Hapus tag dari instance

Daftar contoh

Contoh deregister

Contoh berikut menunjukkan kebijakan izin yang memungkinkan pengguna menghapus grup penyebaran bernama WordPress_DepGroup terkait dengan aplikasi bernama WordPress_App di us-west-2 Wilayah.

{
  "Version": "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "codedeploy:DeleteDeploymentGroup"
      ],
      "Resource" : [
        "arn:aws:codedeploy:us-west-2:444455556666:deploymentgroup:WordPress_App/WordPress_DepGroup"
      ]
    }
  ]
}

Contoh kebijakan yang dikelola pelanggan

Di bagian ini, Anda dapat menemukan contoh kebijakan yang memberikan izin untuk berbagai CodeDeploy tindakan. Kebijakan ini berfungsi saat Anda menggunakan CodeDeploy API, AWS SDKs, atau AWS CLI. Anda harus memberikan izin tambahan untuk tindakan yang Anda lakukan di konsol. Untuk mempelajari lebih lanjut tentang pemberian izin konsol, lihat. Menggunakan konsol CodeDeploy

catatan

Semua contoh menggunakan Wilayah Barat AS (Oregon) (us-west-2) dan berisi akun fiktif. IDs

Contoh

Contoh 1: Izinkan izin untuk melakukan CodeDeploy operasi di satu Wilayah

Contoh berikut memberikan izin untuk melakukan CodeDeploy operasi di us-west-2 Wilayah saja:

{
  "Version": "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "codedeploy:*"
      ],
      "Resource" : [
        "arn:aws:codedeploy:us-west-2:444455556666:*"
      ]
    }
  ]
}

Contoh 2: Izinkan izin untuk mendaftarkan revisi untuk satu aplikasi

Contoh berikut memberikan izin untuk mendaftarkan revisi aplikasi untuk semua aplikasi yang dimulai dengan Test di Wilayah: us-west-2

{
  "Version": "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "codedeploy:RegisterApplicationRevision"
      ],
      "Resource" : [
        "arn:aws:codedeploy:us-west-2:444455556666:application:Test*"
      ]
    }
  ]
}

Contoh 3: Izinkan izin untuk membuat penerapan untuk satu grup penyebaran

Contoh berikut memungkinkan izin untuk membuat penerapan untuk grup penyebaran bernama WordPress_DepGroup terkait dengan aplikasi bernama, konfigurasi penerapan kustom bernama WordPress_AppThreeQuartersHealthy, dan revisi aplikasi apa pun yang terkait dengan aplikasi bernama. WordPress_App Semua sumber daya ini ada di us-west-2 Wilayah.

{
  "Version": "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "codedeploy:CreateDeployment"
      ],
      "Resource" : [
        "arn:aws:codedeploy:us-west-2:444455556666:deploymentgroup:WordPress_App/WordPress_DepGroup"
      ]
    },
    {
      "Effect" : "Allow",
      "Action" : [
        "codedeploy:GetDeploymentConfig"
      ],
      "Resource" : [
        "arn:aws:codedeploy:us-west-2:444455556666:deploymentconfig:ThreeQuartersHealthy"
      ]
    },
    {
      "Effect" : "Allow",
      "Action" : [
        "codedeploy:GetApplicationRevision"
      ],
      "Resource" : [
        "arn:aws:codedeploy:us-west-2:444455556666:application:WordPress_App"
      ]
    }
  ]
}

Praktik terbaik kebijakan

Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus CodeDeploy sumber daya di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:

  • Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin kepada pengguna dan beban kerja Anda, gunakan kebijakan AWS terkelola yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat kebijakan AWSAWS terkelola atau kebijakan terkelola untuk fungsi pekerjaan di Panduan IAM Pengguna.

  • Menerapkan izin hak istimewa paling sedikit — Saat Anda menetapkan izin dengan IAM kebijakan, berikan hanya izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai izin dengan hak akses paling rendah. Untuk informasi selengkapnya tentang penggunaan IAM untuk menerapkan izin, lihat Kebijakan dan izin IAM di IAM Panduan Pengguna.

  • Gunakan ketentuan dalam IAM kebijakan untuk membatasi akses lebih lanjut — Anda dapat menambahkan kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Misalnya, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakanSSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti AWS CloudFormation. Untuk informasi selengkapnya, lihat elemen IAM JSON kebijakan: Kondisi dalam Panduan IAM Pengguna.

  • Gunakan IAM Access Analyzer untuk memvalidasi IAM kebijakan Anda guna memastikan izin yang aman dan fungsional — IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan mematuhi bahasa IAM kebijakan () JSON dan praktik terbaik. IAM IAMAccess Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat Validasi kebijakan IAM Access Analyzer di IAMPanduan Pengguna.

  • Memerlukan otentikasi multi-faktor (MFA) - Jika Anda memiliki skenario yang mengharuskan IAM pengguna atau pengguna root di Anda Akun AWS, aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA kapan API operasi dipanggil, tambahkan MFA kondisi ke kebijakan Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi API akses MFA yang dilindungi di IAMPanduan Pengguna.

Untuk informasi selengkapnya tentang praktik terbaik diIAM, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.

Menggunakan konsol CodeDeploy

Jika Anda menggunakan CodeDeploy konsol, Anda harus memiliki set izin minimum yang memungkinkan Anda menjelaskan AWS sumber daya lain untuk AWS akun Anda. Untuk digunakan CodeDeploy di CodeDeploy konsol, Anda harus memiliki izin dari layanan berikut:

  • EC2Auto Scaling Amazon

  • AWS CodeDeploy

  • Amazon Elastic Compute Cloud

  • Penyeimbang Beban Elastis

  • AWS Identity and Access Management

  • Amazon Simple Storage Service

  • Amazon Simple Notification Service

  • Amazon CloudWatch

Jika Anda membuat IAM kebijakan yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana dimaksudkan untuk pengguna yang memiliki peran dengan kebijakan tersebutIAM. Untuk memastikan bahwa pengguna tersebut masih dapat menggunakan CodeDeploy konsol, lampirkan juga kebijakan AWSCodeDeployReadOnlyAccess terkelola ke peran yang ditetapkan kepada pengguna, seperti yang dijelaskan dalamAWS kebijakan terkelola (standar) untuk CodeDeploy.

Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau. CodeDeploy API

Mengizinkan pengguna melihat izin mereka sendiri

Contoh ini menunjukkan cara Anda membuat kebijakan yang memungkinkan IAM pengguna melihat kebijakan sebaris dan terkelola yang dilampirkan pada identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau secara terprogram menggunakan atau. AWS CLI AWS API

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}