Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Gestisci il ruolo CodePipeline di servizio

PDF
RSS
Modalità Focus
Gestisci il ruolo CodePipeline di servizio - AWS CodePipeline
Rimozione delle autorizzazioni dal ruolo di servizio CodePipelineAggiunta delle autorizzazioni dal ruolo di servizio CodePipelineAutorizzazioni per i ruoli di servizio: azione CodeCommitAutorizzazioni per i ruoli di servizio: azione AWS OpsWorksAutorizzazioni per i ruoli di servizio: azione AWS CloudFormationAutorizzazioni per i ruoli di servizio: azione CodeBuild Autorizzazioni per i ruoli di servizio: azione AWS Device FarmAutorizzazioni del ruolo di servizio: azione Service CatalogAutorizzazioni per ruoli di servizio: azione Amazon ECRAutorizzazioni per ruoli di servizio: azione standard di Amazon ECSAutorizzazioni per i ruoli di servizio: azione CodeDeployToECSAutorizzazioni per i ruoli di servizio: azione CodeConnectionsAutorizzazioni per i ruoli di servizio: azione StepFunctionsAutorizzazioni per i ruoli di servizio: azione AppConfigAutorizzazioni per i ruoli di servizio: supporto alle CodeBuild azioni per le build in batchAutorizzazioni per i ruoli di servizio: azione CloudFormationStackSetAutorizzazioni per i ruoli di servizio: azione CloudFormationStackInstancesAutorizzazioni per i ruoli di servizio: supporto CodeCommit all'azione per la clonazione completaAutorizzazioni per i ruoli di servizio: ElasticBeanstalk distribuzione dell'azioneAutorizzazioni per i ruoli di servizio: registra l'azione CloudWatch Autorizzazioni per i ruoli di servizio: azione CommandsAutorizzazioni per i ruoli di servizio: azione ECRBuildAndPublishAutorizzazioni per i ruoli di servizio: azione InspectorScan

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Il ruolo CodePipeline di servizio è configurato con una o più politiche che controllano l'accesso alle AWS risorse utilizzate dalla pipeline. Potresti voler allegare più politiche a questo ruolo, modificare la politica associata al ruolo o configurare politiche per altri ruoli di servizio in AWS. Potrebbe inoltre essere necessario collegare una policy a un ruolo durante la configurazione dell'accesso tra più account alla pipeline.

Importante

Modificando una dichiarazione di policy o collegando un'altra policy al ruolo può impedire il funzionamento delle pipeline. Assicurati di comprendere le implicazioni prima di modificare CodePipeline in qualsiasi modo il ruolo di servizio. Assicurati di testare le pipeline dopo aver apportato eventuali modifiche al ruolo del servizio.

Nota

Nella console, i ruoli del servizio creati prima di settembre 2018 vengono creati con il nome oneClick_AWS-CodePipeline-Service_ID-Number.

I ruoli del servizio creati dopo settembre 2018 utilizzano il formato del nome del ruolo del servizio AWSCodePipelineServiceRole-Region-Pipeline_Name. Ad esempio, per una pipeline denominata MyFirstPipeline ineu-west-2, la console assegna un nome al ruolo e alla policyAWSCodePipelineServiceRole-eu-west-2-MyFirstPipeline.

Rimozione delle autorizzazioni dal ruolo di servizio CodePipeline

Puoi modificare la dichiarazione del ruolo del servizio per rimuovere l'accesso alle risorse non utilizzate. Ad esempio, se nessuna delle tue pipeline include Elastic Beanstalk, puoi modificare l'informativa per rimuovere la sezione che concede l'accesso alle risorse Elastic Beanstalk.

Allo stesso modo, se nessuna delle tue pipeline include CodeDeploy, puoi modificare l'informativa per rimuovere la sezione che concede l'accesso alle risorse: CodeDeploy 

    {
    "Action": [
        "codedeploy:CreateDeployment",
        "codedeploy:GetApplicationRevision",
        "codedeploy:GetDeployment",
        "codedeploy:GetDeploymentConfig",
        "codedeploy:RegisterApplicationRevision"
    ],
    "Resource": "*",
    "Effect": "Allow"
},

Aggiunta delle autorizzazioni dal ruolo di servizio CodePipeline

Prima di poterla utilizzare nelle pipeline, è necessario aggiornare la dichiarazione sulla politica relativa al ruolo di servizio con le autorizzazioni relative a una dichiarazione Servizio AWS non ancora inclusa nell'informativa sulla politica del ruolo di servizio predefinita.

Ciò è particolarmente importante se il ruolo di servizio che utilizzi per le tue pipeline è stato creato prima dell'aggiunta del supporto per un CodePipeline . Servizio AWS

La tabella seguente mostra quando è stato aggiunto il supporto per altri Servizi AWS.

Servizio AWS CodePipeline data di supporto
EC2supporto all'azione aggiunto. Per informazioni, consulta Autorizzazioni relative alla policy del ruolo di servizio per l'azione di distribuzione EC2 . 21 febbraio 2025
CodePipeline è stato aggiunto il supporto all'azione invoke. Per informazioni, consulta Autorizzazioni relative alla policy del ruolo di servizio per l'azione di richiamo CodePipeline . 14 marzo 2025
EKSsupporto all'azione aggiunto. Per informazioni, consulta Autorizzazioni relative alla politica del ruolo di servizio. 20 febbraio 2025
È stato aggiunto il supporto per le ECRBuildAndPublish azioni di Amazon Elastic Container Registry. Per informazioni, consulta Autorizzazioni per i ruoli di servizio: azione ECRBuildAndPublish. 22 novembre 2024
È stato aggiunto il supporto per le InspectorScan azioni di Amazon Inspector. Per informazioni, consulta Autorizzazioni per i ruoli di servizio: azione InspectorScan. 22 novembre 2024
È stato aggiunto il supporto all'azione dei comandi. Per informazioni, consulta Autorizzazioni per i ruoli di servizio: azione Commands. 03 ottobre 2024
AWS CloudFormation supporto all'azione aggiunto. Consulta Autorizzazioni per i ruoli di servizio: azione CloudFormationStackSet e Autorizzazioni per i ruoli di servizio: azione CloudFormationStackInstances. 30 dicembre 2020
CodeCommit è stato aggiunto il supporto completo per l'azione in formato artefatto di output clone. Per informazioni, consulta Autorizzazioni per i ruoli di servizio: supporto CodeCommit all'azione per la clonazione completa. 11 novembre 2020
CodeBuild è stato aggiunto il supporto per le azioni di creazione in batch. Per informazioni, consulta Autorizzazioni per i ruoli di servizio: supporto alle CodeBuild azioni per le build in batch. 30 luglio 2020
AWS AppConfigsupporto per le azioni aggiunto. Per informazioni, consulta Autorizzazioni per i ruoli di servizio: azione AppConfig. 22 giugno 2020
AWS Step Functions supporto all'azione aggiunto. Per informazioni, consulta Autorizzazioni per i ruoli di servizio: azione StepFunctions. 27 maggio 2020
AWS CodeStar Aggiunto il supporto per le azioni di connessione. Per informazioni, consulta Autorizzazioni per i ruoli di servizio: azione CodeConnections. 18 dicembre 2019
È stato aggiunto il supporto per le CodeDeployToECS azioni. Per informazioni, consulta Autorizzazioni per i ruoli di servizio: azione CodeDeployToECS. 27 novembre 2018
È stato aggiunto il supporto per le azioni Amazon ECR. Per informazioni, consulta Autorizzazioni per ruoli di servizio: azione Amazon ECR. 27 novembre 2018
È stato aggiunto il supporto per l'azione Service Catalog. Per informazioni, consulta Autorizzazioni del ruolo di servizio: azione Service Catalog. 16 ottobre 2018
AWS Device Farm è stato aggiunto il supporto per le azioni. Per informazioni, consulta Autorizzazioni per i ruoli di servizio: azione AWS Device Farm. 19 luglio 2018
È stato aggiunto il supporto per le azioni di Amazon ECS. Per informazioni, consulta Autorizzazioni per ruoli di servizio: azione standard di Amazon ECS. 12 dicembre 2017 /Aggiornamento per l'attivazione dell'autorizzazione all'aggiunta di tag il 21 luglio 2017
CodeCommitsupporto all'azione aggiunto. Per informazioni, consulta Autorizzazioni per i ruoli di servizio: azione CodeCommit. 18 Aprile 2016
AWS OpsWorks supporto all'azione aggiunto. Per informazioni, consulta Autorizzazioni per i ruoli di servizio: azione AWS OpsWorks. 2 giugno 2016
AWS CloudFormation supporto all'azione aggiunto. Per informazioni, consulta Autorizzazioni per i ruoli di servizio: azione AWS CloudFormation. 3 Novembre 2016
AWS CodeBuild supporto all'azione aggiunto. Per informazioni, consulta Autorizzazioni per i ruoli di servizio: azione CodeBuild . 1° dicembre 2016
Aggiunto il supporto all'azione Elastic Beanstalk. Per informazioni, consulta Autorizzazioni per i ruoli di servizio: ElasticBeanstalk distribuzione dell'azione. Avvio iniziale del servizio

Per aggiungere le autorizzazioni per un servizio supportato, procedi nel seguente modo:

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nella console IAM, nel riquadro di navigazione, scegli Ruoli, quindi scegli il tuo AWS-CodePipeline-Service ruolo dall'elenco dei ruoli.

  3. Nella scheda Autorizzazioni, in Politiche in linea, nella riga relativa alla politica del ruolo di servizio, scegli Modifica politica.

  4. Aggiungi le autorizzazioni richieste nella casella del documento Policy.

    Nota

    Quando crei policy IAM, segui i consigli di sicurezza standard che prevedono la concessione del privilegio minimo, ovvero la concessione solo delle autorizzazioni necessarie per eseguire un'attività. Alcune chiamate API supportano autorizzazioni basate su risorse e permettono la limitazione degli accessi. Ad esempio, in questo caso, per limitare le autorizzazioni quando si chiamano le operazioni DescribeTasks e ListTasks, puoi sostituire il carattere jolly (*) con un ARN della risorsa o con ARN della risorsa che contiene un carattere jolly (*). Per ulteriori informazioni sulla creazione di una policy che garantisca l'accesso con privilegi minimi, consulta. https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege

  5. Scegliere Review policy (Esamina policy) per accertarsi che la policy non contenga errori. Quando la politica è priva di errori, scegli Applica politica.

Autorizzazioni per i ruoli di servizio: azione CodeCommit

Ad esempio, per ricevere CodeCommit assistenza, aggiungi quanto segue alla tua dichiarazione sulla politica:

{
  "Effect": "Allow",
  "Action": [  
      "codecommit:GetBranch",
      "codecommit:GetCommit",
      "codecommit:UploadArchive",
      "codecommit:GetUploadArchiveStatus",      
      "codecommit:CancelUploadArchive"
            ],
  "Resource": "resource_ARN"
},

Per ulteriori informazioni su questa azione, vedereCodeCommit riferimento all'azione di origine.

Autorizzazioni per i ruoli di servizio: azione AWS OpsWorks

Per AWS OpsWorks ricevere assistenza, aggiungi quanto segue alla tua dichiarazione sulla politica:

{
    "Effect": "Allow",
    "Action": [
        "opsworks:CreateDeployment",
        "opsworks:DescribeApps",
        "opsworks:DescribeCommands",
        "opsworks:DescribeDeployments",
        "opsworks:DescribeInstances",
        "opsworks:DescribeStacks",
        "opsworks:UpdateApp",
        "opsworks:UpdateStack"
    ],
    "Resource": "resource_ARN"
},

Autorizzazioni per i ruoli di servizio: azione AWS CloudFormation

Per AWS CloudFormation ricevere assistenza, aggiungi quanto segue alla tua dichiarazione sulla politica:

{
    "Effect": "Allow",
    "Action": [
        "cloudformation:CreateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeStacks",
        "cloudformation:UpdateStack",
        "cloudformation:CreateChangeSet",
        "cloudformation:DeleteChangeSet",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:SetStackPolicy",
        "cloudformation:ValidateTemplate",
        "iam:PassRole"
    ],
    "Resource": "resource_ARN"
},

Tieni presente che l'cloudformation:DescribeStackEventsautorizzazione è facoltativa. Consente all' AWS CloudFormation azione di mostrare un messaggio di errore più dettagliato. Questa autorizzazione può essere revocata dal ruolo IAM se non desideri che i dettagli delle risorse vengano visualizzati nei messaggi di errore della pipeline. Per ulteriori informazioni, consulta AWS CloudFormation distribuire un riferimento all'azione.

Nota

Il supporto per le build in batch è stato aggiunto in un secondo momento. Vedi il passaggio 11 per le autorizzazioni da aggiungere al ruolo di servizio per le build in batch.

Autorizzazioni per i ruoli di servizio: azione CodeBuild

Per CodeBuild ricevere assistenza, aggiungi quanto segue alla tua dichiarazione sulla politica:

{
    "Effect": "Allow",
    "Action": [
        "codebuild:BatchGetBuilds",
        "codebuild:StartBuild"
    ],
    "Resource": "resource_ARN"
},
Nota

Il supporto per le build in batch è stato aggiunto in un secondo momento. Vedi il passaggio 11 per le autorizzazioni da aggiungere al ruolo di servizio per le build in batch.

Per ulteriori informazioni su questa azione, consulta. AWS CodeBuild riferimento all'azione di compilazione e test

Autorizzazioni per i ruoli di servizio: azione AWS Device Farm

Per AWS Device Farm ricevere assistenza, aggiungi quanto segue alla tua dichiarazione sulla politica:

{
    "Effect": "Allow",
    "Action": [
        "devicefarm:ListProjects",
        "devicefarm:ListDevicePools",
        "devicefarm:GetRun",
        "devicefarm:GetUpload",
        "devicefarm:CreateUpload",
        "devicefarm:ScheduleRun"
    ],
    "Resource": "resource_ARN"
},

Per ulteriori informazioni su questa azione, consultaAWS Device Farm riferimento all'azione di test.

Autorizzazioni del ruolo di servizio: azione Service Catalog

Per il supporto di Service Catalog, aggiungi quanto segue alla tua informativa sulla politica:

{
    "Effect": "Allow",
    "Action": [
        "servicecatalog:ListProvisioningArtifacts",
        "servicecatalog:CreateProvisioningArtifact",
        "servicecatalog:DescribeProvisioningArtifact",
        "servicecatalog:DeleteProvisioningArtifact",
        "servicecatalog:UpdateProduct"
    ],
    "Resource": "resource_ARN"
},
{
    "Effect": "Allow",
    "Action": [
        "cloudformation:ValidateTemplate"
    ],
    "Resource": "resource_ARN"
}

Autorizzazioni per ruoli di servizio: azione Amazon ECR

Per il supporto di Amazon ECR, aggiungi quanto segue alla tua dichiarazione sulla politica:

{
    "Effect": "Allow",
    "Action": [
        "ecr:DescribeImages"
    ],
    "Resource": "resource_ARN"
},

Per ulteriori informazioni su questa azione, consultaRiferimento all'azione sorgente di Amazon ECR.

Autorizzazioni per ruoli di servizio: azione standard di Amazon ECS

Per Amazon ECS, le seguenti sono le autorizzazioni minime necessarie per creare pipeline con un'azione di distribuzione di Amazon ECS.

{
    "Effect": "Allow",
    "Action": [
        "ecs:DescribeServices",
        "ecs:DescribeTaskDefinition",
        "ecs:DescribeTasks",
        "ecs:ListTasks",
        "ecs:RegisterTaskDefinition",
        "ecs:TagResource",
        "ecs:UpdateService"
    ],
    "Resource": "resource_ARN"
},

Puoi scegliere di utilizzare l'autorizzazione all'etichettatura in Amazon ECS. Iscrivendoti, devi concedere le seguenti autorizzazioni:. ecs:TagResource Per ulteriori informazioni su come attivare e determinare se l'autorizzazione è richiesta e l'autorizzazione dei tag è applicata, consulta la cronologia dell'autorizzazione all'etichettatura nella Amazon Elastic Container Service Developer Guide.

È inoltre necessario aggiungere le iam:PassRole autorizzazioni per utilizzare i ruoli IAM per le attività. Per ulteriori informazioni, consulta il ruolo IAM di esecuzione delle attività di Amazon ECS e IAM Roles for Tasks. Utilizza il seguente testo di policy.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::aws_account_ID:role/ecsTaskExecutionRole_or_TaskRole_name"
            ]
        }
    ]
}

Per ulteriori informazioni su questa azione, vedereRiferimento all'azione di distribuzione di Amazon Elastic Container Service.

Autorizzazioni per i ruoli di servizio: azione CodeDeployToECS

Per l'CodeDeployToECSazione (azione di blue/green deployments), the following are the minimum permissions needed to create pipelines with a CodeDeploy to Amazon ECS blue/green distribuzione).

{
    "Effect": "Allow",
    "Action": [
        "codedeploy:CreateDeployment",
        "codedeploy:GetDeployment",
        "codedeploy:GetApplication",
        "codedeploy:GetApplicationRevision",
        "codedeploy:RegisterApplicationRevision",
        "codedeploy:GetDeploymentConfig",
        "ecs:RegisterTaskDefinition",
        "ecs:TagResource"
    ],
    "Resource": "resource_ARN"
},

Puoi scegliere di utilizzare l'autorizzazione all'etichettatura in Amazon ECS. Iscrivendoti, devi concedere le seguenti autorizzazioni:. ecs:TagResource Per ulteriori informazioni su come attivare e determinare se l'autorizzazione è richiesta e l'autorizzazione dei tag è applicata, consulta la cronologia dell'autorizzazione all'etichettatura nella Amazon Elastic Container Service Developer Guide.

È inoltre necessario aggiungere le iam:PassRole autorizzazioni per utilizzare i ruoli IAM per le attività. Per ulteriori informazioni, consulta il ruolo IAM di esecuzione delle attività di Amazon ECS e IAM Roles for Tasks. Utilizza il seguente testo di policy.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::aws_account_ID:role/ecsTaskExecutionRole_or_TaskRole_name"
            ]
        }
    ]
}

È inoltre possibile aggiungere ecs-tasks.amazonaws.com all'elenco dei servizi in base alla iam:PassedToService condizione, come illustrato in questo esempio.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "resource_ARN",
            "Condition": {
                "StringEqualsIfExists": {
                    "iam:PassedToService": [
                        "cloudformation.amazonaws.com",
                        "elasticbeanstalk.amazonaws.com",
                        "ec2.amazonaws.com",
                        "ecs-tasks.amazonaws.com"
                    ]
                }
            }
        },

Per ulteriori informazioni su questa azione, vedereRiferimento alle azioni di distribuzione di Amazon Elastic Container Service e CodeDeploy blue-green.

Autorizzazioni per i ruoli di servizio: azione CodeConnections

Infatti CodeConnections, è necessaria la seguente autorizzazione per creare pipeline con una fonte che utilizza una connessione, come Bitbucket Cloud.

{
    "Effect": "Allow",
    "Action": [
        "codeconnections:UseConnection"
    ],
    "Resource": "resource_ARN"
},

Per ulteriori informazioni sulle autorizzazioni IAM per le connessioni, consulta Connections permissions reference.

Per ulteriori informazioni su questa azione, consulta. CodeStarSourceConnection per Bitbucket Cloud, GitHub Enterprise Server GitHub, GitLab .com e GitLab azioni autogestite

Autorizzazioni per i ruoli di servizio: azione StepFunctions

Per l'StepFunctionsazione, le seguenti sono le autorizzazioni minime necessarie per creare pipeline con un'azione di invoca Step Functions.

{
    "Effect": "Allow",
    "Action": [
        "states:DescribeStateMachine",
        "states:DescribeExecution",
        "states:StartExecution"
    ],
    "Resource": "resource_ARN"
},

Per ulteriori informazioni su questa azione, vedere. AWS Step Functions richiama il riferimento all'azione

Autorizzazioni per i ruoli di servizio: azione AppConfig

Per l'AppConfigazione, le seguenti sono le autorizzazioni minime necessarie per creare pipeline con un' AWS AppConfig azione di richiamo.

{
    "Effect": "Allow",
    "Action": [
        "appconfig:StartDeployment",
        "appconfig:GetDeployment",
        "appconfig:StopDeployment"
    ],
    "Resource": "resource_ARN"
},

Per ulteriori informazioni su questa azione, vedere. AWS AppConfig distribuire un riferimento all'azione

Autorizzazioni per i ruoli di servizio: supporto alle CodeBuild azioni per le build in batch

Per il CodeBuild supporto per le build in batch, aggiungi quanto segue alla tua dichiarazione politica:

{
    "Effect": "Allow",
    "Action": [
        "codebuild:BatchGetBuildBatches",
        "codebuild:StartBuildBatch"
    ],
    "Resource": "resource_ARN"
},

Per ulteriori informazioni su questa azione, consultaAWS CodeBuild riferimento all'azione di compilazione e test.

Autorizzazioni per i ruoli di servizio: azione CloudFormationStackSet

Per AWS CloudFormation StackSets le azioni, sono richieste le seguenti autorizzazioni minime.

Per l'CloudFormationStackSetazione, aggiungi quanto segue alla tua dichiarazione politica:

{
    "Effect": "Allow",
    "Action": [
        "cloudformation:CreateStackSet",
        "cloudformation:UpdateStackSet",
        "cloudformation:CreateStackInstances",
        "cloudformation:DescribeStackSetOperation",
        "cloudformation:DescribeStackSet",
        "cloudformation:ListStackInstances"
    ],
    "Resource": "resource_ARN"
},

Per ulteriori informazioni su questa azione, consultaAWS CloudFormation StackSets distribuire un riferimento all'azione.

Autorizzazioni per i ruoli di servizio: azione CloudFormationStackInstances

Per l'CloudFormationStackInstancesazione, aggiungi quanto segue alla tua dichiarazione politica:

{
    "Effect": "Allow",
    "Action": [
        "cloudformation:CreateStackInstances",
        "cloudformation:DescribeStackSetOperation"
    ],
    "Resource": "resource_ARN"
},

Per ulteriori informazioni su questa azione, consultaAWS CloudFormation StackSets distribuire un riferimento all'azione.

Autorizzazioni per i ruoli di servizio: supporto CodeCommit all'azione per la clonazione completa

Per il CodeCommit supporto dell'opzione di clonazione completa, aggiungi quanto segue alla tua dichiarazione politica:

{
    "Effect": "Allow",
    "Action": [
        "codecommit:GetRepository"
    ],
    "Resource": "resource_ARN"
},
Nota

Per assicurarti che la tua CodeBuild azione possa utilizzare l'opzione full clone con una CodeCommit fonte, devi anche aggiungere l'codecommit:GitPullautorizzazione alla dichiarazione politica per il ruolo di CodeBuild servizio del tuo progetto.

Per ulteriori informazioni su questa azione, consultaCodeCommit riferimento all'azione di origine.

Autorizzazioni per i ruoli di servizio: ElasticBeanstalk distribuzione dell'azione

Per Elastic Beanstalk, le seguenti sono le autorizzazioni minime necessarie per creare pipeline con un'azione di distribuzione. ElasticBeanstalk

{
    "Effect": "Allow",
    "Action": [
        "elasticbeanstalk:*",
        "ec2:*",
        "elasticloadbalancing:*",
        "autoscaling:*",
        "cloudwatch:*",
        "s3:*",
        "sns:*",
        "cloudformation:*",
        "rds:*",
        "sqs:*",
        "ecs:*"
    ],
    "Resource": "resource_ARN"
},
Nota

È necessario sostituire i caratteri jolly nella politica delle risorse con le risorse dell'account a cui si desidera limitare l'accesso. Per ulteriori informazioni sulla creazione di una politica che garantisca l'accesso con privilegi minimi, consulta. https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege

Autorizzazioni per i ruoli di servizio: registra l'azione CloudWatch

Per una pipeline che desideri configurare per CloudWatch Logs, le seguenti sono le autorizzazioni minime che devi aggiungere al ruolo di servizio. CodePipeline 

{
    "Effect": "Allow",
    "Action": [
        "logs:DescribeLogGroups",
        "logs:PutRetentionPolicy"
    ],
    "Resource": "resource_ARN"
},
Nota

È necessario sostituire i caratteri jolly nella politica delle risorse con le risorse dell'account a cui si desidera limitare l'accesso. Per ulteriori informazioni sulla creazione di una politica che garantisca l'accesso con privilegi minimi, consulta. https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege

Autorizzazioni per i ruoli di servizio: azione Commands

Per il supporto all'azione Commands, aggiungi quanto segue alla tua dichiarazione politica:

{
    "Effect": "Allow",
    "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
    ],
    "Resource": [
        "arn:aws:logs:*:YOUR_AWS_ACCOUNT_ID:log-group:/aws/codepipeline/YOUR_PIPELINE_NAME",
        "arn:aws:logs:*:YOUR_AWS_ACCOUNT_ID:log-group:/aws/codepipeline/YOUR_PIPELINE_NAME:*"
   ]
}
Nota

Riduci le autorizzazioni a livello di risorsa della pipeline utilizzando le autorizzazioni basate sulle risorse nell'informativa sulla politica del ruolo del servizio. Per ulteriori informazioni, consulta l'esempio di policy in. Autorizzazioni relative ai ruoli di servizio

Per ulteriori informazioni su questa azione, vedereRiferimento all'azione dei comandi.

Autorizzazioni per i ruoli di servizio: azione ECRBuildAndPublish

Per il supporto ECRBuildAndPublish all'azione, aggiungi quanto segue alla tua dichiarazione politica:

{
    "Statement": [
         {
            "Sid": "ECRRepositoryAllResourcePolicy",
            "Effect": "Allow",
            "Action": [
                "ecr:DescribeRepositories",
                "ecr:GetAuthorizationToken",
                "ecr-public:DescribeRepositories",
                "ecr-public:GetAuthorizationToken"
            ],
        "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchCheckLayerAvailability"
            ],
            "Resource": "PrivateECR_Resource_ARN"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr-public:GetAuthorizationToken",
                "ecr-public:DescribeRepositories",
                "ecr-public:InitiateLayerUpload",
                "ecr-public:UploadLayerPart",
                "ecr-public:CompleteLayerUpload",
                "ecr-public:PutImage",
                "ecr-public:BatchCheckLayerAvailability",
                "sts:GetServiceBearerToken"
            ],
            "Resource": "PublicECR_Resource_ARN"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sts:GetServiceBearerToken"
            ],
            "Resource": "*"
        }
    ]
}

Inoltre, se non è già stato aggiunto all'Commandsazione, aggiungi le seguenti autorizzazioni al tuo ruolo di servizio per visualizzare i CloudWatch log.

{
    "Effect": "Allow",
    "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream", 
        "logs:PutLogEvents"
    ],
    "Resource": "resource_ARN"
},
Nota

Riduci le autorizzazioni a livello di risorsa della pipeline utilizzando le autorizzazioni basate sulle risorse nella dichiarazione sulla politica del ruolo di servizio.

Per ulteriori informazioni su questa azione, vedere. ECRBuildAndPublishcrea un riferimento all'azione

Autorizzazioni per i ruoli di servizio: azione InspectorScan

Per il supporto InspectorScan all'azione, aggiungi quanto segue alla tua dichiarazione politica:

{
        "Effect": "Allow",
        "Action": "inspector-scan:ScanSbom",
        "Resource": "*"
    },
    {
        "Effect": "Allow",
        "Action": [
            "ecr:GetDownloadUrlForLayer",
            "ecr:BatchGetImage",
            "ecr:BatchCheckLayerAvailability"
        ],
        "Resource": "resource_ARN"
    },

Inoltre, se non è già stato aggiunto all'azione Comandi, aggiungi le seguenti autorizzazioni al tuo ruolo di servizio per visualizzare i CloudWatch log.

{
    "Effect": "Allow",
    "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream", 
        "logs:PutLogEvents"
    ],
    "Resource": "resource_ARN"
},
Nota

Riduci le autorizzazioni a livello di risorsa della pipeline utilizzando le autorizzazioni basate sulle risorse nella dichiarazione sulla politica del ruolo di servizio.

Per ulteriori informazioni su questa azione, vedere. Riferimento all'azione di richiamo di Amazon InspectorScan Inspector

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.