ステップ 2: CodeDeploy のサービスロールの作成 - AWS CodeDeploy

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 2: CodeDeploy のサービスロールの作成

AWS では、サービスロールを使用して AWS のサービスにアクセス許可を付与することで、このサービスから AWS リソースにアクセスできるようにします。サービスロールにアタッチするポリシーによって、どの リソースにサービスがアクセスできるか、およびそれらのリソースで何ができるかが決まります。

CodeDeploy 用に作成するサービスロールは、コンピューティングプラットフォームに必要なアクセス許可がを付与する必要があります。複数のコンピューティングプラットフォームにデプロイした場合、それぞれにサービスロールを 1 つずつ作成します。アクセス権限を追加するには、次の 1 つ以上をアタッチします。AWS提供されたポリシー:

EC2/オンプレミスのデプロイの場合、AWSCodeDeployRoleポリシー。これは、サービスロールで以下を実行するためのアクセス許可を提供します。

  • インスタンスのタグを読み取る、または Amazon EC2 Auto Scaling グループ名により Amazon EC2 インスタンスを識別します。

  • Amazon EC2 Auto Scaling グループ、ライフサイクルフック、スケーリングポリシーの読み取り、作成、更新、削除を行います。

  • Amazon SNS トピックに情報を公開します。

  • CloudWatch アラームに関する情報を取得します。

  • Elastic Load Balancing を読み、更新します。

    注記

    起動テンプレートを使用して Auto Scaling グループを作成する場合は、次のアクセス権限を追加する必要があります。

    • ec2:RunInstances

    • ec2:CreateTags

    • iam:PassRole

    詳細については、「」を参照してください。ステップ 2: サービスロールの作成,Auto Scaling グループの起動テンプレートの作成, および起動テンプレートのサポートAmazon EC2 Auto Scaling ユーザーガイド

Amazon ECS デプロイの場合、サポートサービスへのフルアクセスが必要な場合は、AWSCodeDeployRoleForECSポリシー。これは、サービスロールで以下を実行するためのアクセス許可を提供します。

  • Amazon ECS タスクセットを読んで、更新、削除します。

  • Elastic Load Balancing ターゲットグループ、リスナー、ルールを更新します。

  • AWS Lambda 関数を呼び出します。

  • Amazon S3 バケットのリビジョンファイルにアクセスします。

  • CloudWatch アラームに関する情報を取得します。

  • Amazon SNS トピックに情報を公開します。

Amazon ECS デプロイの場合、サポートサービスへの制限付きのアクセスが必要な場合は、AWSCodeDeployRoleForECSLimitedポリシー。これは、サービスロールで以下を実行するためのアクセス許可を提供します。

  • Amazon ECS タスクセットを読んで、更新、削除します。

  • CloudWatch アラームに関する情報を取得します。

  • Amazon SNS トピックに情報を公開します。

を使用する場合AWSLambda デプロイ。Amazon SNS への公開を許可する場合は、AWSCodeDeployRoleForLambdaポリシー。これは、サービスロールで以下を実行するためのアクセス許可を提供します。

  • AWS Lambda 関数およびエイリアスの読み取り、更新、呼び出しを行います。

  • Amazon S3 バケットのリビジョンファイルにアクセスします。

  • CloudWatch アラームに関する情報を取得します。

  • Amazon SNS トピックに情報を公開します。

を使用する場合AWSLambda デプロイ。Amazon SNS へのアクセスを制限する場合は、AWSCodeDeployRoleForLambdaLimitedポリシー。これは、サービスロールで以下を実行するためのアクセス許可を提供します。

  • AWS Lambda 関数およびエイリアスの読み取り、更新、呼び出しを行います。

  • Amazon S3 バケットのリビジョンファイルにアクセスします。

  • CloudWatch アラームに関する情報を取得します。

また、サービスロールの設定の一環として、アクセス権限を付与するエンドポイントを指定するために信頼関係を更新します。

IAM コンソールを使用して、サービスロールを作成できます。AWS CLI、または IAM API です。

サービスロールの作成 (コンソール)

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Roles] を選択し、続いて [Create role] を選択します。

  3. リポジトリの []ロールの作成[] ページで []AWSのサービスからこのロールを使用するサービスを選択リスト、[] を選択します。CodeDeploy

  4. [ユースケースの選択] で、ユースケースを選択します。

    • EC2/オンプレミスのデプロイの場合、[] を選択します。CodeDeploy

    • Amazon ECS デプロイの場合は、CodeDeploy-ECS

    • を使用する場合AWSLambda デプロイLambda 向けCodeDeploy

  5. [Next: (次へ:)] を選択します アクセス許可.

  6. [アタッチされたアクセス権限ポリシー] ページに、アクセス権限ポリシーが表示されます。[Next: (次へ:)] を選択します タグ

  7. リポジトリの []確認[] ページロール名に、サービスロールの名前を入力します (例:)CodeDeployServiceRole) を選択してから、[] を選択します。ロールの作成

    このサービスロールの説明を、[] に入力することもできます。ロールの説明

  8. 現在サポートされているすべてのエンドポイントへのアクセス権限をサービスロールに付与する場合は、この手順を終了します。

    このサービスロールが一部のエンドポイントにアクセスできないようにするには、ロールのリストで、作成したロールを参照して選択し、次のステップに進みます。

  9. [信頼関係] タブで、[信頼関係の編集] を選択します。

  10. 次のポリシーでは、サポートされているすべてのエンドポイントにアクセスする権限をサービスロールに付与します。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codedeploy.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }

    サポートされているエンドポイントの一部にのみアクセスする権限をサービスロールに付与するには、[Policy Document (ポリシードキュメント)] ボックスの内容を以下のポリシーで置き換えます。アクセスを除外するエンドポイントの行を削除し、[Update Trust Policy (信頼ポリシーの更新)] を選択します。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codedeploy.us-east-2.amazonaws.com", "codedeploy.us-east-1.amazonaws.com", "codedeploy.us-west-1.amazonaws.com", "codedeploy.us-west-2.amazonaws.com", "codedeploy.eu-west-3.amazonaws.com", "codedeploy.ca-central-1.amazonaws.com", "codedeploy.eu-west-1.amazonaws.com", "codedeploy.eu-west-2.amazonaws.com", "codedeploy.eu-central-1.amazonaws.com", "codedeploy.ap-east-1.amazonaws.com", "codedeploy.ap-northeast-1.amazonaws.com", "codedeploy.ap-northeast-2.amazonaws.com", "codedeploy.ap-southeast-1.amazonaws.com", "codedeploy.ap-southeast-2.amazonaws.com", "codedeploy.ap-south-1.amazonaws.com", "codedeploy.sa-east-1.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }

サービスロールの作成についての詳細は、「」を参照してください。にアクセス権限を委任するロールの作成AWSのサービスIAM ユーザーガイド

のサービスロールの作成 (CLI)

  1. 開発マシンで、たとえば、CodeDeployDemo-Trust.json という名前のテキストファイルを作成します。このファイルは、CodeDeploy がユーザーの代理操作の実行を許可するのに使用されます。

    以下のいずれかを実行します。

    • サポートされているすべてのアクセス権限を付与するにはAWS[Regions (リージョン)] で、ファイルに次の内容を保存します。

      { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codedeploy.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
    • サポートされているリージョンの一部にのみアクセスする権限を付与するには、ファイルに次の内容を入力し、アクセスを除外するリージョンの行を削除します。

      { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codedeploy.us-east-2.amazonaws.com", "codedeploy.us-east-1.amazonaws.com", "codedeploy.us-west-1.amazonaws.com", "codedeploy.us-west-2.amazonaws.com", "codedeploy.eu-west-3.amazonaws.com", "codedeploy.ca-central-1.amazonaws.com", "codedeploy.eu-west-1.amazonaws.com", "codedeploy.eu-west-2.amazonaws.com", "codedeploy.eu-central-1.amazonaws.com", "codedeploy.ap-east-1.amazonaws.com", "codedeploy.ap-northeast-1.amazonaws.com", "codedeploy.ap-northeast-2.amazonaws.com", "codedeploy.ap-southeast-1.amazonaws.com", "codedeploy.ap-southeast-2.amazonaws.com", "codedeploy.ap-south-1.amazonaws.com", "codedeploy.sa-east-1.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
      注記

      リストにある最後のエンドポイントの後にコンマを使用しないでください。

  2. 同じディレクトリから、create-role コマンドを呼び出し、先ほど作成したテキストファイルの情報に基づく CodeDeployServiceRole という名前のサービスロールを作成します。

    aws iam create-role --role-name CodeDeployServiceRole --assume-role-policy-document file://CodeDeployDemo-Trust.json
    重要

    ファイル名の前に必ず file:// を含めてください。このコマンドでは必須です。

    コマンドの出力で、Arn オブジェクトの下にある Role エントリの値を書きとめておきます。これは、後でデプロイグループを作成する際に必要になります。値を忘れた場合は、サービスロールを取得する (ARN) (CLI) の手順に従います。

  3. 使用する管理ポリシーは、コンピューティングプラットフォームによって異なります。

    • EC2/オンプレミスコンピューティングプラットフォームにデプロイする場合は、以下を行います。

      を呼び出します。attach-role-policyというサービスロールを与えるコマンドCodeDeployServiceRoleという名前の IAM 管理ポリシーに基づくアクセス許可AWSCodeDeployRole。以下がその例です。

      aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSCodeDeployRole
    • にデプロイする場合は、AWSLambda コンピューティングプラットフォーム:

      を呼び出します。attach-role-policyというサービスロールを与えるコマンドCodeDeployServiceRoleという名前の IAM 管理ポリシーに基づくアクセス許可AWSCodeDeployRoleForLambdaまたはAWSCodeDeployRoleForLambdaLimited。以下がその例です。

      aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSCodeDeployRoleForLambda
    • Amazon ECS コンピューティングプラットフォームにデプロイする場合は、以下を行います。

      を呼び出します。attach-role-policyというサービスロールを与えるコマンドCodeDeployServiceRoleという名前の IAM 管理ポリシーに基づくアクセス許可AWSCodeDeployRoleForECSまたはAWSCodeDeployRoleForECSLimited。以下がその例です。

      aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/AWSCodeDeployRoleForECS

サービスロールの作成についての詳細は、「」を参照してください。向けのロールの作成AWSのサービスIAM ユーザーガイド

サービスロール ARN の取得 (コンソール)

IAM コンソールを使用してサービスロールの ARN を取得するには:

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Roles (ロール) ] を選択します。

  3. [フィルタ] テキストボックスに、「CodeDeployServiceRole」と入力して、Enter キーを押します。

  4. [CodeDeployServiceRole] を選択します。

  5. [ロールの ARN] フィールドの値を書き留めます。

サービスロールを取得する (ARN) (CLI)

AWS CLI を使用してサービスロールの ARN を取得するには、CodeDeployServiceRole という名前のサービスロールに対して get-role コマンドを呼び出します。

aws iam get-role --role-name CodeDeployServiceRole --query "Role.Arn" --output text

返される値はサービスロールの ARN です。