CodeDeploy アクセス許可

IAM アイデンティティにアタッチできるアクセスポリシーと書き込みアクセス許可ポリシー (アイデンティティベースのポリシー) を設定する場合は、次の表を使用します。この表には、各 CodeDeploy API オペレーション、アクションを実行するためのアクセス権限を付与できるアクション、およびアクセス権限を付与するためのリソース ARN の形式が示されています。アクションは、ポリシーの Action フィールドで指定します。ポリシーの Resource フィールドでリソース値として、ワイルドカード文字 (*) を使用して、または使用せずに ARN を指定します。

CodeDeploy ポリシーで AWS 全体の条件キーを使用して、条件を表現できます。AWS 全体を対象とするすべてのキーのリストについては、「」を参照してください。使用できるキー()IAM ユーザーガイド。

アクションを指定するには、API オペレーション名 (たとえば、codedeploy:GetApplication や codedeploy:CreateApplication) の前に codedeploy: プレフィックスを使用します。単一のステートメントに複数のアクションを指定するには、コンマで区切ります (たとえば、"Action": ["codedeploy:action1", "codedeploy:action2"])。

ワイルドカード文字の使用

ARN でワイルドカード文字 (*) を使用して、複数のアクションまたはリソースを指定できます。例:codedeploy:*はすべてのCodeDeploy アクションを指定し、codedeploy:Get*という単語で始まるすべての CodeDeploy アクションを指定しますGet。次の例では、West で始まり、名前が Test で始まるアプリケーションに関連付けられている名前を持つすべてのデプロイグループにアクセス権限を付与します。


arn:aws:codedeploy:us-west-2:80398EXAMPLE:deploymentgroup:Test*/West*

表に表示されている次のリソースでワイルドカードを使用できます。

application-name
deployment-group-name
deployment-configuration-name
instance-ID

ワイルドカードは region または account-id では使用できません。ワイルドカードの詳細については、「」を参照してください。IAM IDがIAM ユーザーガイド。

注記

各アクションの ARN ではリソースの後にコロン (:) が続きます。また、リソースの後にスラッシュ (/) を使用できます。詳細については、「」を参照してください。CodeDeploy の例。

スクロールバーを使用して、テーブルの残りの部分を確認します。

CodeDeploy API オペレーションおよびアクションに必要なアクセス許可
CodeDeploy API	必要なアクセス許可 (API アクション)	リソース
AddTagsToOnPremisesInstances	`codedeploy:AddTagsToOnPremisesInstances` 1 つ以上のオンプレミスインスタンスにタグを追加するために必要です。	arn: aws: コードデプロイ:`リージョン`:`account-id`:インスタンス:`instance-ID`
BatchGetApplicationRevisions	`codedeploy:BatchGetApplicationRevisions` IAM ユーザーに関連付けられた複数のアプリケーションリビジョンに関する情報を取得するために必要です。	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
BatchGetApplications	`codedeploy:BatchGetApplications` IAM ユーザーに関連付けられた複数のアプリケーションに関する情報を取得するために必要です。	arn:aws:codedeploy:`region`:`account-id`:application:*
BatchGetDeploymentGroups	`codedeploy:BatchGetDeploymentGroups` IAM ユーザーに関連付けられた複数のデプロイグループに関する情報を取得するために必要です。	arn:aws:codedeploy:`region`:`account-id`:deploymentgroup:`application-name`/`deployment-group-name`
BatchGetDeploymentInstances	`codedeploy:BatchGetDeploymentInstances` デプロイグループ内の 1 つ以上のインスタンスに関する情報を取得するために必要です。	arn:aws:codedeploy:`region`:`account-id`:deploymentgroup:`application-name`/`deployment-group-name`
BatchGetDeployments	`codedeploy:BatchGetDeployments` IAM ユーザーに関連付けられた複数のデプロイに関する情報を取得するために必要です。	arn:aws:codedeploy:`region`:`account-id`:deploymentgroup:`application-name`/`deployment-group-name`
BatchGetOnPremisesInstances	`codedeploy:BatchGetOnPremisesInstances` 1 つ以上のオンプレミスインスタンスに関する情報を取得するために必要です。	arn:aws:codedeploy:`region`:`account-id`:*
ContinueDeployment	`codedeploy:ContinueDeployment` Blue/Green デプロイ中に、Elastic Load Balancing ロードバランサーを使用して置き換え先環境にインスタンスを登録するプロセスを開始するために必要です。	arn:aws:codedeploy:`region`:`account-id`:deploymentgroup:`application-name`/`deployment-group-name`
CreateApplication	`codedeploy:CreateApplication` IAM ユーザーに関連付けられたアプリケーションを作成するために必要です。	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
CreateDeployment ¹	`codedeploy:CreateDeployment` IAM ユーザーに関連付けられたアプリケーションのデプロイを作成するために必要です。	arn:aws:codedeploy:`region`:`account-id`:deploymentgroup:`application-name`/`deployment-group-name`
CreateDeploymentConfig	`codedeploy:CreateDeploymentConfig` IAM ユーザーに関連付けられたカスタムデプロイ設定を作成するために必要です。	arn: aws: コードデプロイ:`リージョン`:`account-id`:DeploymentConfig:`deployment-configuration-name`
CreateDeploymentGroup	`codedeploy:CreateDeploymentGroup` IAM ユーザーに関連付けられたアプリケーション用のデプロイグループを作成するために必要です。	arn:aws:codedeploy:`region`:`account-id`:deploymentgroup:`application-name`/`deployment-group-name`
DeleteApplication	`codedeploy:DeleteApplication` IAM ユーザーに関連付けられたアプリケーションを削除するために必要です。	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
DeleteDeploymentConfig	`codedeploy:DeleteDeploymentConfig` IAM ユーザーに関連付けられたカスタムデプロイ設定を削除するために必要です。	arn: aws: コードデプロイ:`リージョン`:`account-id`:DeploymentConfig:`deployment-configuration-name`
DeleteDeploymentGroup	`codedeploy:DeleteDeploymentGroup` IAM ユーザーに関連付けられたアプリケーション用のデプロイグループを削除するために必要です。	arn:aws:codedeploy:`region`:`account-id`:deploymentgroup:`application-name`/`deployment-group-name`
DeregisterOnPremisesInstance	`codedeploy:DeregisterOnPremisesInstance` オンプレミスインスタンスを登録解除するために必要です。	arn: aws: コードデプロイ:`リージョン`:`account-id`:インスタンス:`instance-ID`
GetApplication	`codedeploy:GetApplication` IAM ユーザーに関連付けられた単一のアプリケーションに関する情報を取得するために必要です。	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
GetApplicationRevision	`codedeploy:GetApplicationRevision` IAM ユーザーに関連付けられたアプリケーションについて、単一のアプリケーションリビジョンに関する情報を取得するために必要です。	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
GetDeployment	`codedeploy:GetDeployment` IAM ユーザーに関連付けられたアプリケーションのデプロイグループへの単一のデプロイに関する情報を取得するために必要です。	arn:aws:codedeploy:`region`:`account-id`:deploymentgroup:`application-name`/`deployment-group-name`
GetDeploymentConfig	`codedeploy:GetDeploymentConfig` IAM ユーザーに関連付けられた単一のデプロイ設定に関する情報を取得するために必要です。	arn: aws: コードデプロイ:`リージョン`:`account-id`:DeploymentConfig:`deployment-configuration-name`
GetDeploymentGroup	`codedeploy:GetDeploymentGroup` IAM ユーザーに関連付けられたアプリケーションについて、単一のデプロイグループに関する情報を取得するために必要です。	arn:aws:codedeploy:`region`:`account-id`:deploymentgroup:`application-name`/`deployment-group-name`
GetDeploymentInstance	`codedeploy:GetDeploymentInstance` IAM ユーザーに関連付けられたデプロイの単一のインスタンスに関する情報を取得するために必要です。	arn:aws:codedeploy:`region`:`account-id`:deploymentgroup:`application-name`/`deployment-group-name`
GetDeploymentTarget	`codedeploy:GetDeploymentTarget` IAM ユーザーに関連付けられたデプロイのターゲットに関する情報を取得するために必要です。	arn:aws:codedeploy:`region`:`account-id`:deploymentgroup:`application-name`/`deployment-group-name`
GetOnPremisesInstance	`codedeploy:GetOnPremisesInstance` 単一のオンプレミスインスタンスに関する情報を取得するために必要です。	arn: aws: コードデプロイ:`リージョン`:`account-id`:インスタンス:`instance-ID`
ListApplicationRevisions	`codedeploy:ListApplicationRevisions` IAM ユーザーに関連付けられたアプリケーションのすべてのアプリケーションリビジョンに関する情報を取得するために必要です。	arn:aws:codedeploy:`region`:`account-id`:application:*
ListApplications	`codedeploy:ListApplications` IAM ユーザーに関連付けられたすべてのアプリケーションに関する情報を取得するために必要です。	arn:aws:codedeploy:`region`:`account-id`:application:*
ListDeploymentConfigs	`codedeploy:ListDeploymentConfigs` IAM ユーザーに関連付けられたすべてのデプロイ設定に関する情報を取得するために必要です。	arn: aws: コードデプロイ:`リージョン`:`account-id`:deploymentconfig: *
ListDeploymentGroups	`codedeploy:ListDeploymentGroups` IAM ユーザーに関連付けられたアプリケーションのすべてのデプロイグループに関する情報を取得するために必要です。	arn: aws: コードデプロイ:`リージョン`:`account-id`:展開グループ:`application-name`/*
ListDeploymentInstances	`codedeploy:ListDeploymentInstances` IAM ユーザーまたは AWS アカウントに関連付けられたデプロイのすべてのインスタンスに関する情報を取得するために必要です。	arn:aws:codedeploy:`region`:`account-id`:deploymentgroup:`application-name`/`deployment-group-name`
ListDeployments	`codedeploy:ListDeployments` IAM ユーザーに関連付けられたデプロイグループへのすべてのデプロイに関する情報、または IAM ユーザーまたは AWS アカウントに関連付けられたすべてのデプロイに関する情報を取得するために必要です。	arn:aws:codedeploy:`region`:`account-id`:deploymentgroup:`application-name`/`deployment-group-name`
ListDeploymentTargets	`codedeploy:ListDeploymentTargets` IAM ユーザーまたは AWS アカウントに関連付けられたデプロイのすべてのインスタンスに関する情報を取得するために必要です。	arn:aws:codedeploy:`region`:`account-id`:deploymentgroup:`application-name`/`deployment-group-name`
ListGitHubAccountTokenNames	`codedeploy:ListGitHubAccountTokenNames` GitHub アカウントへの保存された接続の名前を一覧表示するために必要です。	arn:aws:codedeploy:`region`:`account-id`:*
ListOnPremisesInstances	`codedeploy:ListOnPremisesInstances` 1 つ以上のオンプレミスインスタンス名のリストを取得するために必要です。	arn:aws:codedeploy:`region`:`account-id`:*
PutLifecycleEventHookExecutionStatus	`codedeploy:PutLifecycleEventHookExecutionStatus` ライフサイクルフックイベントの実行ステータスの通知を提供する場合は必須です。	arn:aws:codedeploy:`region`:`account-id`:deploymentgroup:`application-name`/`deployment-group-name`
RegisterApplicationRevision	`codedeploy:RegisterApplicationRevision` IAM ユーザーに関連付けられたアプリケーションのアプリケーションリビジョンに関する情報を登録するために必要です。	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
RegisterOnPremisesInstance	`codedeploy:RegisterOnPremisesInstance` オンプレミスインスタンスを CodeDeploy で登録するために必要です。	arn: aws: コードデプロイ:`リージョン`:`account-id`:インスタンス:`instance-ID`
RemoveTagsFromOnPremisesInstances	`codedeploy:RemoveTagsFromOnPremisesInstances` 1 つ以上のオンプレミスインスタンスからタグを削除するために必要です。	arn: aws: コードデプロイ:`リージョン`:`account-id`:インスタンス:`instance-ID`
SkipWaitTimeForInstanceTermination	`codedeploy:SkipWaitTimeForInstanceTermination` 指定された待機時間をオーバーライドし、元の環境でインスタンスを直ちに終了させるために Blue/Green デプロイで必要です。	arn: aws: コードデプロイ:`リージョン`:`account-id`:インスタンス:`instance-ID`
StopDeployment	`codedeploy:StopDeployment` IAM ユーザーに関連付けられたアプリケーションのデプロイグループへの進行中のデプロイを停止するために必要です。	arn:aws:codedeploy:`region`:`account-id`:deploymentgroup:`application-name`/`deployment-group-name`
UpdateApplication ³	`codedeploy:UpdateApplication` IAM ユーザーに関連付けられたアプリケーションに関する情報を変更するために必要です。	arn:aws:codedeploy:`region`:`account-id`:application:`application-name`
UpdateDeploymentGroup ³	`codedeploy:UpdateDeploymentGroup` IAM ユーザーに関連付けられたアプリケーションについて、単一のデプロイグループに関する情報を変更するために必要です。	arn:aws:codedeploy:`region`:`account-id`:deploymentgroup:`application-name`/`deployment-group-name`
¹ 指定する場合`CreateDeployment`のアクセス許可を使用する場合は、も指定する必要があります。`GetDeploymentConfig`デプロイ設定用のアクセス許可と`GetApplicationRevision`または`RegisterApplicationRevision`アプリケーションリビジョンのアクセス許可です。に有効な 2`ListDeployments`特定のデプロイグループを指定する場合のには有効ですが、IAM ユーザーに関連付けられたすべてのデプロイをリスト化する場合には有効ではありません。 ³ 用`UpdateApplication`必要なもの`UpdateApplication`古いアプリケーション名と新しいアプリケーション名の両方に対するアクセス許可。デプロイグループの名前の変更を伴う `UpdateDeploymentGroup` アクションの場合、古いデプロイグループ名と新しいデプロイグループ名の両方に対する `UpdateDeploymentGroup` アクセス許可が必要です。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

トラブルシューティング

インシデントへの対応