サービスロールの作成 (コンソール) サービスロールの作成 (CLI) サービスロール ARN の取得 (コンソール) サービスロール ARN の取得 (CLI)

ステップ 2: CodeDeployのサービスのロールを作成する

では AWS、サービスロールを使用して AWS サービスにアクセス許可を付与し、 AWS リソースにアクセスできるようにします。サービスロールにアタッチするポリシーによって、どのリソースにサービスがアクセスできるか、およびそれらのリソースで何ができるかが決まります。

CodeDeploy に作成するサービスロールで、コンピューティングプラットフォームに必要なアクセス許可がを付与する必要があります。複数のコンピューティングプラットフォームにデプロイした場合、それぞれにサービスロールを 1 つずつ作成します。アクセス許可を追加するには、次の AWS 指定されたポリシーを 1 つ以上アタッチします。

EC2/オンプレミスのデプロイには、AWSCodeDeployRole ポリシーをアタッチします。これは、サービスロールで以下を実行するためのアクセス許可を提供します。

インスタンスのタグを読み取る、または Amazon EC2 Auto Scaling グループ名により Amazon EC2 インスタンスを識別します。
Amazon EC2 Auto Scaling グループ、ライフサイクルフック、スケーリングポリシーの読み取り、作成、更新、削除を行います。
Amazon SNS トピックに情報を公開します。
CloudWatch アラームに関する情報を取得します。
Elastic Load Balancing を読み、更新します。
注記
起動テンプレートを使用して Auto Scaling グループを作成する場合は、次のアクセス許可を追加する必要があります。
- ec2:RunInstances
- ec2:CreateTags
- iam:PassRole
詳細については、「Amazon EC2 Auto Scaling ユーザーガイド」、「Auto Scaling グループの起動テンプレートの作成」、および「起動テンプレートサポート」にはの「ステップ 2: サービスロールを作成する」を参照してください。

Amazon ECS のデプロイの場合、サポートサービスへのフルアクセスが必要な場合は、 AWSCodeDeployRoleForECS ポリシーをアタッチします。これは、サービスロールで以下を実行するためのアクセス許可を提供します。

Amazon ECS タスクセットを読んで、更新、削除します。
Elastic Load Balancing ターゲットグループ、リスナー、ルールを更新します。
AWS Lambda 関数を呼び出します。
Amazon S3 バケットのリビジョンファイルにアクセスします。
CloudWatch アラームに関する情報を取得します。
Amazon SNS トピックに情報を公開します。

Amazon ECS のデプロイの場合、サポートサービスへの制限付きのアクセスが必要な場合は、AWSCodeDeployRoleForECSLimited ポリシーをアタッチします。これは、サービスロールで以下を実行するためのアクセス許可を提供します。

Amazon ECS タスクセットを読んで、更新、削除します。
CloudWatch アラームに関する情報を取得します。
Amazon SNS トピックに情報を公開します。

AWS Lambda デプロイの場合、Amazon SNS への発行を許可するには、 AWSCodeDeployRoleForLambdaポリシーをアタッチします。これは、サービスロールで以下を実行するためのアクセス許可を提供します。

AWS Lambda 関数とエイリアスの読み取り、更新、呼び出しを行います。
Amazon S3 バケットのリビジョンファイルにアクセスします。
CloudWatch アラームに関する情報を取得します。
Amazon SNS トピックに情報を公開します。

AWS Lambda デプロイでは、Amazon SNS へのアクセスを制限する場合は、 AWSCodeDeployRoleForLambdaLimitedポリシーをアタッチします。これは、サービスロールで以下を実行するためのアクセス許可を提供します。

AWS Lambda 関数とエイリアスの読み取り、更新、呼び出しを行います。
Amazon S3 バケットのリビジョンファイルにアクセスします。
CloudWatch アラームに関する情報を取得します。

また、サービスロールの設定の一環として、アクセス許可を付与するエンドポイントを指定するために信頼関係を更新します。

サービスロールは、IAM コンソール、、 AWS CLIまたは IAM APIs を使用して作成できます。

サービスロールの作成 (コンソール)

にサインイン AWS Management Console し、https://console.aws.amazon.com/iam/://www.com」で IAM コンソールを開きます。
ナビゲーションペインで ロール を選択してから、ロールを作成する を選択します。
AWS サービスを選択し、「ユースケース」のドロップダウンリストから [CodeDeploy] を選択します。
ユースケースを選択します。
- EC2/オンプレミスのデプロイ CodeDeploy を選択
- AWS Lambda デプロイの場合は、CodeDeploy for Lambda を選択します。
- Amazon ECS デプロイの場合は、CodeDeploy-ECS を選択
[Next (次へ)] を選択します。
「アクセス許可を追加」ページに、そのユースケースに適したアクセス許可ポリシーが表示されます。[Next (次へ)] を選択します。
[名前、確認、および作成] ページで、[ロール名] にサービスロールの名前 (例えば、CodeDeployServiceRole) を入力し、[ロールを作成] を選択します。

このサービスロールの説明を、[Role description] ボックスに入力することもできます。
現在サポートされているすべてのエンドポイントへのアクセス許可をサービスロールに付与する場合は、この手順を終了します。

このサービスロールから一部のエンドポイントへのアクセスを制限するには、この手順の残りのステップに進みます。
ロールの一覧で、作成したロール (CodeDeployServiceRole) を検索し、選択します。
[信頼関係] タブを選択します。

[信頼ポリシーを編集] を選択します。

次のポリシーでは、サポートされているすべてのエンドポイントにアクセスする権限をサービスロールに付与します。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "codedeploy.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

サポートされているエンドポイントの一部にのみアクセスする権限をサービスロールに付与するには、信頼ポリシーテキストボックスの内容を以下のポリシーに置き換えます。アクセスを除外するエンドポイントの行を削除し、[ポリシーの更新] を選択します。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    
                    "codedeploy.us-east-1.amazonaws.com",
                    "codedeploy.us-east-2.amazonaws.com",
                    "codedeploy.us-west-1.amazonaws.com",
                    "codedeploy.us-west-2.amazonaws.com",
                    "codedeploy.ca-central-1.amazonaws.com",
                    "codedeploy.ap-east-1.amazonaws.com",                  
                    "codedeploy.ap-northeast-1.amazonaws.com",
                    "codedeploy.ap-northeast-2.amazonaws.com",
                    "codedeploy.ap-northeast-3.amazonaws.com",
                    "codedeploy.ap-southeast-1.amazonaws.com",
                    "codedeploy.ap-southeast-2.amazonaws.com",
                    "codedeploy.ap-southeast-3.amazonaws.com",
                    "codedeploy.ap-southeast-4.amazonaws.com",
                    "codedeploy.ap-south-1.amazonaws.com",
                    "codedeploy.ap-south-2.amazonaws.com",
                    "codedeploy.ca-central-1.amazonaws.com",
                    "codedeploy.eu-west-1.amazonaws.com",
                    "codedeploy.eu-west-2.amazonaws.com",
                    "codedeploy.eu-west-3.amazonaws.com",
                    "codedeploy.eu-central-1.amazonaws.com",
                    "codedeploy.eu-central-2.amazonaws.com",
                    "codedeploy.eu-north-1.amazonaws.com",
                    "codedeploy.eu-south-1.amazonaws.com",
                    "codedeploy.eu-south-2.amazonaws.com",
                    "codedeploy.il-central-1.amazonaws.com",
                    "codedeploy.me-central-1.amazonaws.com",
                    "codedeploy.me-south-1.amazonaws.com",
                    "codedeploy.sa-east-1.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

サービスロールの作成の詳細については、IAM ユーザーガイドの「 AWS サービスにアクセス許可を委任するロールの作成」を参照してください。

サービスロールの作成 (CLI)

開発マシンで、たとえば、CodeDeployDemo-Trust.json という名前のテキストファイルを作成します。このファイルは、CodeDeploy がユーザーの代理操作の実行を許可するのに使用されます。

次のいずれかを行います：

サポートされているすべての AWS リージョンへのアクセスを許可するには、次のコンテンツをファイルに保存してください。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "codedeploy.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

サポートされているリージョンの一部にのみアクセスする権限を付与するには、ファイルに次の内容を入力し、アクセスを除外するリージョンの行を削除します。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    
                    "codedeploy.us-east-1.amazonaws.com",
                    "codedeploy.us-east-2.amazonaws.com",
                    "codedeploy.us-west-1.amazonaws.com",
                    "codedeploy.us-west-2.amazonaws.com",
                    "codedeploy.ca-central-1.amazonaws.com",
                    "codedeploy.ap-east-1.amazonaws.com",                  
                    "codedeploy.ap-northeast-1.amazonaws.com",
                    "codedeploy.ap-northeast-2.amazonaws.com",
                    "codedeploy.ap-northeast-3.amazonaws.com",
                    "codedeploy.ap-southeast-1.amazonaws.com",
                    "codedeploy.ap-southeast-2.amazonaws.com",
                    "codedeploy.ap-southeast-3.amazonaws.com",
                    "codedeploy.ap-southeast-4.amazonaws.com",
                    "codedeploy.ap-south-1.amazonaws.com",
                    "codedeploy.ap-south-2.amazonaws.com",
                    "codedeploy.ca-central-1.amazonaws.com",
                    "codedeploy.eu-west-1.amazonaws.com",
                    "codedeploy.eu-west-2.amazonaws.com",
                    "codedeploy.eu-west-3.amazonaws.com",
                    "codedeploy.eu-central-1.amazonaws.com",
                    "codedeploy.eu-central-2.amazonaws.com",
                    "codedeploy.eu-north-1.amazonaws.com",
                    "codedeploy.eu-south-1.amazonaws.com",
                    "codedeploy.eu-south-2.amazonaws.com",
                    "codedeploy.il-central-1.amazonaws.com",
                    "codedeploy.me-central-1.amazonaws.com",
                    "codedeploy.me-south-1.amazonaws.com",
                    "codedeploy.sa-east-1.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

注記

リストにある最後のエンドポイントの後にコンマを使用しないでください。

同じディレクトリから、create-role コマンドを呼び出し、先ほど作成したテキストファイルの情報に基づく CodeDeployServiceRole という名前のサービスロールを作成します。
```
aws iam create-role --role-name CodeDeployServiceRole --assume-role-policy-document file://CodeDeployDemo-Trust.json
```
重要
ファイル名の前に必ず file:// を含めてください。このコマンドでは必須です。

コマンドの出力で、Arn オブジェクトの下にある Role エントリの値を書きとめておきます。これは、後でデプロイグループを作成する際に必要になります。値を忘れた場合は、サービスロール ARN の取得 (CLI) の手順に従います。
使用する管理ポリシーは、コンピューティングプラットフォームによって異なります。
- EC2/オンプレミスコンピューティングプラットフォームにデプロイする場合は、以下を行います。
  
  attach-role-policy コマンドを呼び出し、CodeDeployServiceRole という名前のサービスロールに対して、AWSCodeDeployRole という名前の IAM マネージドポリシーに基づくアクセス許可を付与します。以下に例を示します。
```
aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSCodeDeployRole
```
- デプロイ先が AWS Lambda コンピューティングプラットフォームの場合：
  
  attach-role-policy コマンドを呼び出し、CodeDeployServiceRole という名前のサービスロールに対して、AWSCodeDeployRoleForLambda または AWSCodeDeployRoleForLambdaLimited という名前の IAM マネージドポリシーに基づくアクセス許可を付与します。例:
```
aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSCodeDeployRoleForLambda
```
- Amazon ECS コンピューティングプラットフォームへのデプロイの場合。
  
  attach-role-policy コマンドを呼び出し、CodeDeployServiceRole という名前のサービスロールに対して、AWSCodeDeployRoleForECS または AWSCodeDeployRoleForECSLimited という名前の IAM マネージドポリシーに基づくアクセス許可を付与します。例:
```
aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/AWSCodeDeployRoleForECS
```

サービスロールの作成の詳細については、IAM ユーザーガイドの「 AWS サービスのロールの作成」を参照してください。

サービスロール ARN の取得 (コンソール)

IAM コンソールを使用してサービスロールの ARN を取得するには:

にサインイン AWS Management Console し、https://console.aws.amazon.com/iam/://www.com」で IAM コンソールを開きます。
ナビゲーションペインで Roles (ロール) を選択します。
[フィルタ] テキストボックスに、「CodeDeployServiceRole」と入力して、Enter キーを押します。
[CodeDeployServiceRole] を選択します。
[ロールの ARN] フィールドの値を書き留めます。

サービスロール ARN の取得 (CLI)

を使用してサービスロールの ARN AWS CLI を取得するには、という名前のサービスロールに対して get-role コマンドを呼び出しますCodeDeployServiceRole。


aws iam get-role --role-name CodeDeployServiceRole --query "Role.Arn" --output text

返される値はサービスロールの ARN です。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ステップ 1: セットアップ

ステップ 3: CodeDeploy ユーザーのアクセス許可を制限する