Passaggio 3: Limita le autorizzazioni CodeDeploy dell'utente - AWS CodeDeploy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Passaggio 3: Limita le autorizzazioni CodeDeploy dell'utente

Per motivi di sicurezza, ti consigliamo di limitare le autorizzazioni dell'utente amministrativo che hai creato solo Fase 1: Configurazione a quelle necessarie per creare e gestire le distribuzioni in. CodeDeploy

Utilizza la seguente serie di procedure per limitare le autorizzazioni dell'utente CodeDeploy amministrativo.

Prima di iniziare

  • Assicurati di aver creato un utente CodeDeploy amministrativo in IAM Identity Center seguendo le istruzioni riportate inFase 1: Configurazione.

Per creare un set di autorizzazioni

Assegnerai questo set di autorizzazioni all'utente CodeDeploy amministrativo in un secondo momento.

  1. Accedi a AWS Management Console e apri la AWS IAM Identity Center console all'indirizzo https://console.aws.amazon.com/singlesignon/.

  2. Nel riquadro di navigazione, scegli Set di autorizzazioni, quindi scegli Crea set di autorizzazioni.

  3. Scegli Set di autorizzazioni personalizzato.

  4. Scegli Next (Successivo).

  5. Scegli Inline policy.

  6. Rimuovi il codice di esempio.

  7. Aggiungi il seguente codice di policy:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeDeployAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "autoscaling:*",
        "codedeploy:*",
        "ec2:*",
        "lambda:*",
        "ecs:*",
        "elasticloadbalancing:*",
        "iam:AddRoleToInstanceProfile",
        "iam:AttachRolePolicy",
        "iam:CreateInstanceProfile",
        "iam:CreateRole",
        "iam:DeleteInstanceProfile",
        "iam:DeleteRole",
        "iam:DeleteRolePolicy",
        "iam:GetInstanceProfile",
        "iam:GetRole",
        "iam:GetRolePolicy",
        "iam:ListInstanceProfilesForRole",
        "iam:ListRolePolicies",
        "iam:ListRoles",
        "iam:PutRolePolicy",
        "iam:RemoveRoleFromInstanceProfile",
        "s3:*",
        "ssm:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeDeployRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/CodeDeployServiceRole"
    }
  ]
}

    In questa politica, sostituisci arn:aws:iam::account-ID:role/CodeDeployServiceRole con il ARN valore del ruolo di CodeDeploy servizio in cui hai creatoFase 2: Creare un ruolo di servizio per CodeDeploy. Puoi trovare il ARN valore nella pagina dei dettagli del ruolo di servizio nella IAM console.

    La politica precedente consente di distribuire un'applicazione su una piattaforma di calcolo AWS Lambda, una piattaforma di calcolo EC2 /On-Premises e una piattaforma di calcolo Amazon. ECS

    Puoi utilizzare i AWS CloudFormation modelli forniti in questa documentazione per avviare EC2 istanze Amazon compatibili con CodeDeploy. Per utilizzare i AWS CloudFormation modelli per creare applicazioni, gruppi di distribuzione o configurazioni di distribuzione, devi fornire l'accesso ai AWS servizi AWS CloudFormation e alle azioni da cui AWS CloudFormation dipendono aggiungendo l'cloudformation:*autorizzazione alla politica di autorizzazione dell'utente CodeDeploy amministrativo, come segue:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        ...
        "cloudformation:*"        
      ],
      "Resource": "*"
    }
  ]
}

  8. Scegli Next (Successivo).

  9. Nel nome del set di autorizzazioni, inserisci:

    CodeDeployUserPermissionSet

  10. Scegli Next (Successivo).

  11. Nella pagina Rivedi e crea, esamina le informazioni e scegli Crea.

Per assegnare il set di autorizzazioni all'utente CodeDeploy amministrativo

  1. Nel riquadro di navigazione, scegli Account AWS, quindi seleziona la casella di controllo accanto a Account AWS quella a cui hai attualmente effettuato l'accesso.

  2. Scegli il pulsante Assegna utenti o gruppi.

  3. Scegli la scheda Users (Utenti);

  4. Seleziona la casella di controllo accanto all'utente CodeDeploy amministrativo.

  5. Scegli Next (Successivo).

  6. Seleziona la casella di controllo accanto aCodeDeployUserPermissionSet.

  7. Scegli Next (Successivo).

  8. Controlla le informazioni e scegli Invia.

    Ora hai assegnato l'utente CodeDeploy amministrativo e CodeDeployUserPermissionSet il tuo utente Account AWS, associandoli insieme.

Per disconnetterti e accedere nuovamente come utente CodeDeploy amministrativo

  1. Prima di disconnetterti, assicurati di avere il portale di AWS accesso e il nome utente URL e la password monouso per l'utente CodeDeploy amministrativo.

    Nota

    Se non disponi di queste informazioni, vai alla pagina dei dettagli CodeDeploy amministrativi dell'utente in IAM Identity Center, scegli Reimposta password, Genera una password monouso [...] e Reimposta nuovamente la password per visualizzare le informazioni sullo schermo.

  2. Esci da AWS.

  3. Incolla il portale di AWS accesso URL nella barra degli indirizzi del browser.

  4. Accedi come utente CodeDeploy amministrativo.

    Sullo schermo viene visualizzata una Account AWScasella.

  5. Scegli Account AWS, quindi scegli il nome Account AWS a cui hai assegnato l'utente CodeDeploy amministrativo e il set di autorizzazioni.

  6. Accanto aCodeDeployUserPermissionSet, scegli Console di gestione.

    AWS Management Console Appare. Ora hai effettuato l'accesso come utente CodeDeploy amministrativo con le autorizzazioni limitate. Ora puoi eseguire operazioni CodeDeploy relative e solo CodeDeploy operazioni correlate come questo utente.